Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
Mit Proxy und Proxykonfiguration gegen HTTPS
HTTPS kann auch ohne SSL/TLS-Schwachstelle angegriffen werden
Im
PHP Magazin 1.2017
ist ein Überblick über Angriffe auf SSL/TLS erschienen.
Links
- [1] Maxim Goncharov; Black Hat USA 2016: "badWPAD"
(Whitepaper als
PDF)
- [2] Rapid7: WPAD.dat File Server
- [3] Itzik Kotler, Amit Klein; Black Hat USA 2016: "Crippling HTTPS with Unholy PAC"
- [4] SafeBreach-Labs/pacdoor auf GitHub
- [5] Fabio Assolini, Andrey Makhnutin; Securelist: "PAC – the Problem Auto Config"
- [6] ThreatLabz; Zscaler Blog: "Banking Malware Uses PAC File"
- [7] Alex Chapman, Paul Stone; DEF CON 24: "Toxic Proxies - Bypassing HTTPS and VPNs to Pwn Your Online Identity"
(Präsentation als
PDF,
überarbeitetete Präsentation als
PDF,
Video
auf YouTube)
- [8] Alex Chapman, Paul Stone; Context Information Security: "Sniffing HTTPS URLS with malicious PAC files"
- [9] CVE-2016-1801
Apple: "Informationen zum Sicherheitsinhalt von OS X El Capitan 10.11.5 und zum Sicherheitsupdate 2016-003"
Apple: "Informationen zum Sicherheitsinhalt von iOS 9.3.2"
Apple: "Informationen zum Sicherheitsinhalt von tvOS 9.2.1"
- [10] CVE-2016-3763
Google: "Android Security Bulletin—July 2016"
Google: "Patch: Don't pass URL path and username/password to PAC scripts"
- [11] CVE-2016-5134
Google: "Chrome Releases - Stable Channel Update"
chromium-Tracker: Issue 593759 - Security: Proxy Auto-Config SSL/TLS Url Disclosure
Chromium Code Reviews: Issue 1996773002: Sanitize https:// URLs before sending them to PAC scripts. (Closed)
- [12] Alex Chapman, Paul Stone; Context Information Security: "Attacks on HTTPS via malicious PAC files"
- [13] ctxis/pac-leak-demo auf GitHub
- [14] Sergey Rublev; Positive Technologies: "WPAD Technology Weakness"
(PDF)
- [15] Erik Hjelmvik; NETRESEC Blog: "WPAD Man in the Middle"
- [16] Maxim Andreev; Mail.ru: "WPAD: User Manual" (Russisch)
- [17] darkk; Information Security Stack Exchange: Antwort in "tls - Can Web Proxy Autodiscovery leak HTTPS URLs?"
- [18] Nicolas Golubovic: "Attacking Browser Extensions"
(PDF)
- [19] US-CERT: "Alert (TA16-144A) - WPAD Name Collision Vulnerability"
Verisign: "WPAD Name Collision Vulnerability"
Qi Alfred Chen, Eric Osterweil, Matthew Thomas, Z. Morley Mao: "MitM Attack by Name Collision: Cause Analysis and Vulnerability Assessment in the New gTLD Era"
(PDF)
- [20] Bas Venis: "Widespread WPAD vulnerability breaking HTTPS in Chrome, Firefox, Internet explorer" auf YouTube
Kinine/SecurityResearch/CVE-2016-5134 Chrome Firefox WPAD auf GitHub
- [21] Carsten Eilers: "Flame? - Kein Grund zur Panik!"
- [22] Carsten Eilers: "Flame und die Windows-Updates"