Überall liest man über Sicherheitslücken, über gefährliches Surfen im Internet, über Viren und Würmer.
Doch wann ist man eigentlich gefährdet? Das bloße nutzen des Internets? Bei dem betreiben einer eigenen Homepage?
Weiterlesen
Ich habe, wie hier beschrieben, vor kurzem eine Sicherheitslücke in MyBB veröffentlicht.
Die Lücke habe ich vor kurzem in MyBB gefunden, nachdem ich mir die Funktion des action=newpost-Parameter angeschaut habe, um die Integration des Google SEO Plugins zu verbessern.
Die Lücke habe ich an MyBB gemeldet, weil das in meinen Augen der richtige Weg ist.
Die Reaktionen darauf waren leider nicht besonders schön…
Heute wurde spontan MyBB 1.6.3 veröffentlicht, was ich sehr begrüße.
In dieser Version wurde eine MySQL-Injection in der Datei showthread.php geschlossen die, auch bei magic_quotes=On angreifbar ist und somit jedes MyBB Forum betrifft.
Die Lücke habe ich vor 3 Tagen an MyBB gemeldet – sehr schön zu lesen das diese Lücke so schnell geschlossen wurde! Blogeintrag auf MyBB
Wichtiger Hinweis: ich bin nicht der einzige der diese Lücke gefunden hat, und damit sich die Situation etwas entspannt hier die Nicks der Personen die diese Lücke ebenfalls kennen, warum die nicht gemeldet wurde kann ich nicht sagen. (ich hoffe ich habe niemanden vergessen):
h0yt3r (bzw. hoyter), aKiller47, Cheese, opcodez
Ich habe euch nichts gestohlen, ich will mich nur nicht streiten oder so, darauf habe ich keinen Bock.
In diesem Blogpost möchte ich etwas von der Theorie über die Sicherheit von Computersystem weggehen, und einige der gängigsten Methoden vorstellen die ein Angreifer nutzen kann um ein System zu kompromittieren.
Frei nach dem Motto “Kenne deinen Feind” werde ich beschreiben wie diese Angriffe funktionieren, und wie man sich dagegen schützen kann.
Von MySQL Injection über XSS bis hin zu sicherem Design, Race Condition versuche ich so viel wie möglich zu erklären. Der Post bezieht sich auf Sicherheitslücken in PHP-Applikationen, ist aber auch auf andere Software anwendbar.
Eine Frage die sich sicher jeder gestellt hat der mit E-Commerce-Software, wie Magento, zu tun hat.
Jedoch nicht nur Magento muss sicher sein, allgemein ist die Sicherheit bei Webbasierten Applikationen ein großes Thema.
Warum auch bei Magento aufgepasst werden muss, WordPress den Zugriff auf Bestellungen erlauben kann und RSS-Feeds und Twitter Webapplikationen absichern können möchte ich in diesem Artikel ansprechen.
Wie genau die Angriffe von statten gehen kann ich leider aufgrund des Umfangs und des benötigten Vorwissens nicht erklären, versuche aber das wichtigste zum Thema Websecurity zu erklären.