Art of Exploiting Moderne Angriffsvektoren erläutert
Versions datum: 2009-06
Inhalt
-
Hakin9 6/2009 jetzt frei downloaden!
-
Art of Exploiting Moderne Angriffsvektoren erläutert
Dieser Artikel erklärt wie Kriminelle populäre Angriffe ausführen. Dazu gehören Angriffe auf Clienten in Unternehmensnetzen, sowie die Ausnutzung von SQL-Injection Lücken und auch so genannte Mass Client Drive-By-Infections auf gehackten Webseiten.
-
Sicherheitsanalyse von 27 MHz Funktastaturen (Teil 2) Die technische Umsetzung
Nachdem wir uns im ersten Teil theoretischen Fragen eines Sniffers für schnurlose Tastaturen auf 27MHz-Funk-Basis gewidmet haben und auf die allgemeinen Schwächen im Design des Übertragungsprotokolls eingegangen sind, befassen wir uns im zweiten Teil dieser Artikelserie mit der technischen Umsetzung.
-
Web Application Security (Teil 4) Cross-Site Scripting
Im zweiten Teil dieser Artikelserie wurde ausführlich die Möglichkeit der Übernahme und Manipulation von HTTP Sessions dargestellt. Eine besonders einfache Art, die Session-ID zu manipulieren oder abzufangen, bietet Cross-Site-Scripting.
-
Metasploit Exploiting Framework – the basics
Vor allem im professionellen Pentesting Umfeld nehmen Exploiting Frameworks mittlerweile eine nicht mehr wegzudenkende Rolle ein. Neben den auf einschlägigen Webseiten erhältlichen Exploits bieten diese Frameworks teilweise eine vollständige Pentesting Umgebung an. Mit dieser Umgebung können neben dem eigentlichen Exploitingvorgang auch verschiedenste weitere Aufgaben eines Pentests erfüllt werden.
-
Von LFI zu RCE Wiederentdeckung einer alten Technik
Web Applikationen sind für viele Privatpersonen wie auch Firmen nicht mehr wegzudenken. Doch auch die Angriffstechniken, um an sensible Daten zu gelangen, werden immer ausgeklügelter. Dieser Artikel beschreibt eine ältere Technik, welche erst jetzt populär wird.
-
Zero-Knowledge Verfahren
Zero-Knowledge Verfahren sind ein wichtiges Konzept der Kryptographie und dienen dazu, jemand anderen hinreichend sicher davon zu überzeugen, im Besitz einer geheimen Information zu sein, ohne ihm diese Information jedoch preis zu geben. Typische Anwendungsfälle sind Authentifizierungsvorgänge, bei denen es um den Nachweis einer Identität geht. Kerstin Blossey
-
Crashkurs für Entwickler: PCI-Compliance bei Web-Anwendungen
Wer mit Online-Shops oder Kundenportalen zu tun hat – sei es als Entwickler, Qualitätsmanager, Security-Beauftragter oder Tester – kommt zwangsläufig mit dem PCI DSS (Payment Card Industry Data Security Standard) in Berührung. Er gilt für jedes Unternehmen, das Kreditkartendaten verarbeitet, überträgt oder speichert.
-
Informationssicherheit intelligent steuern
Die Frage nach der Steuerung von Informationssicherheit (IS) ist in vielen Unternehmen und Behörden noch immer offen, erst recht, wenn es um eine pragmatische und angemessene Art und Weise geht.
-
Heißer Herbst für den deutschen Datenschutz 2009 Praxisrelevante Aspekte der aktuellen Änderungen des BDSG
Durch die Skandale von Behörden und der freien Wirtschaft, die in der Weltpresse ihre Runden gezogen haben, hat sich ein politischer Druck aufgebaut, der 2009 endlich so hoch kochte, dass die Volksvertreter den seit Jahren von Fachverbänden und Datenschutzexperten geforderten Änderungen der Gesetzeslage Raum gegeben haben, statt diese Aufgabe in die nächste Legislaturperiode zu schieben, wie es allzu häufig zu beobachten war. Doch die Änderungen werden nicht von allen Fachleuten, die in der Datenschutzpraxis zu hause sind, als brauchbare Verbesserungen zum Schutz der Privatsphäre im Zeitalter globaler Informationszentralisierung interpretiert.
Transfer