Wie soll man sich effizient gegen XSS (Cross Site Scripting) schützen? Was muss man als Entwickler von Browsern oder Web Anwendungen beachten? Falls Sie das interessiert, sollten Sie den Blueprint durchgehen, der diese Woche veröffentlicht wurde.

http://alcazar.sisl.rites.uic.edu/wiki/pub/Main/LibraryPublicationOakland09Blueprint/blueprint-oakland-final.pdf

Gruss
E1

Am 8. Mai 2008 wurde eine Cross Site Scripting Sicherheitslücke im Apache Webserver bekannt. Das Problem liegt bei der falschen Interpretation von UTF Zeichensätzen. Immer wieder gelangen Sicherheitslücken ans Tageslicht, die auf illegalen UTF-8 oder anderen Zeichensätzen basieren. Ich habe ein kurzes HowTo geschrieben, wie man manuell die Konvertierung von UTF-7 in UTF-8 oder andere Konversionen machen kann.

PDF zum Download

Insbesondere sollte man in Penetration Tests auch mit illegalen Zeichen, fremden Zeichensätzen und dergleichen testen.

Have a safe day

Ivan

Vor ein paar Jahren wurde bereits eine Unicode Sicherheitslücke beim IIS bekannt, mit welcher man auf das System zugreifen konnte. Viele Hacker Script Kiddies Tools haben danach gesucht und ausgenützt. Heute ist grundsätzlich das gleiche Problem im IIS Web DAV Handler publiziert worden. Ein Zusatz zum IIS der das gleiche Sicherheitsproblem hat wodurch man via Web DAV auf passwort geschützte Inhalte ohne Angabe von Passwörtern zugreifen kann (Bypass Authentication).

Info bei Microsoft

Info bei Security Focus (Exploit)

Gruss Ivan

Die coole Web Technologie AJAX, welches schnelle und interaktive GUI's im Browser des Benutzers erlaubt ist auch eine Herausforderung für die IT Security Verantwortlichen. Das Business möchte möglichst viel AJAX; weil man dadurch beinahe Windows-like Anwendungen programmieren kann. Die Security Verantwortlichen kommen in den Argumentations Notstand. Was genau ist denn das Problem bei AJAX? Warum soll Java Script so schlecht sein?

Eines der Probleme von AJAX besteht darin, dass Business Logik zum Client übertragen wird. Das hört sich recht allgemein und unspannend an, doch folgende Vulnerability Meldung hat genau dieses Problem:

AjaxTerm Session ID Collision

Ein AJAX Framework erstellt die Session beim Client mit Java Script und es wird bemängelt, dass die Entropy zu gering ist.

Die Empfehlung von Compass bleibt gleich:

• Ajax ist eine gute Sache, doch sollte die Security weiterhin beim Server geprüft werden!

Have a safe day
Ivan

The Snarf attack, also called bluesnarfing, is a Bluetooth-enabled hacking technique that allows hackers to access another Bluetooth device without the victim's knowledge. This attack raises obvious concerns, similar to Bluejacking where the attack gains access to the victims phone book, missed, received or dialled contacts. It is also possible for the attacker to use the phones commands through their own phone.

Watch YouTube Movie - 1.1 miles Bluetooth Hacking

Cheers
E1

Bekannterweise ist Cross Site Scripting die #1 der Web Schwachstellen. Der Angreifer platziert daraufhin meist malicious  JavaScript in die Webseite. Damit Hacker sich besser vor Reverse Engineering von Java Script schützen können (ja die Hacker schützen sich auch), gibt es das Java Script Exploitation Framework Durzosploit .

Zurzeit sind erst 2 Packer im Framework drin (minify, packr)

lagas:trunk ibuetler$ ruby durzosploit
(dz) > search obfuscators    
minify  -       simple clean of the javascript code
packr   -       DeanEdward's packer
(dz) >


Das Ergebnis ist jedoch bereits recht mächtig.

Ich gehe davon aus, dass es in Zukunft für Script Kiddies einfach sein wird, malicious Java Scripte zu generieren und zu verschleiern. Umso mehr ist es wichtig, immun gegen XSS zu sein.

Gruss
Ivan

Die FileBox ist eine sichere web-basierte Anwendung für den sicheren Dokumenten Austausch. Im Moment kann man die FileBox bei Compass als Service einkaufen. Der Nachteil für einige Kunden besteht jedoch darin, dass die Daten im Server Raum von Compass liegen. Insbesondere Banken sehen darin ein Problem.

Wir haben uns deshalb entschieden eine FileBox VMWare Appliance zu entwickeln, welche bereits zum ersten Mal beim Kunden eingesetzt wird. Als Kunde muss man eine VMWare Server Umgebung und eine E-Mail Anbindung in das Internet bereitstellen, damit die FileBox mit E-Mail Notification funktioniert. Die Authentisierung via SMS ist in der Appliance per default nicht enthalten. Wer mit der Appliance ebenfalls von den Vorzügen der SMS Benachrichtigung profitieren will (sicherer als E-Mail) beauftragt die Professional Services der FileBox mit der SMS Integration. Auch andere Features wie Active Directory Integration und ähnliches kann von den Professional Services umgesetzt werden.

Wir freuen uns auf viele FileBox Kunden!

Grüsse
Ivan

Compass Security AG verfügt über ein sehr gutes Security Labor, das als Basis für die qualitätiv hochstehende Ausbildungen dient. Das Herzstück ist die Webanwendung "Glocken-Emil", wo wir bewusst Sicherheitslücken für Schulungszwecke eingebaut haben. Das Labor ist seit längerem bereits über das Internet zugänglich. Neu haben wir eine Paypal Integration gemacht, so dass man das Labor schneller benützen kann. Was nützt ein Security Labor?

• Höhere Kompetenz durch "anwenden"
• Besseres Verständnis für das Thema
• Klarer Ausgangslage für Gegenmassnahmen

Das Compass Labor wird auch gerne bei Offsite und Team Meetings von Software Firmen eingesetzt. Im Team auf eine humorvolle Art und Weise, spielerisch im Team das Thema näher zu bringen macht einfach Spass!

Besuchen Sie die Online Wargames auf www.hacking-lab.com

Ivan Buetler

An der letzten BlackHat 2008 in Las Vegas hat ein Vertreter vom deutschen BKA erläutert, dass man bei Verdacht auf Internet Kriminalität und unter Berücksichtigung der amtlichen Verfahren (Richterlicher Beschluss) die Tatverdächtigen mit einem Bundestrojener ausspioniert. Das ist die elektronische Wanze, welche über Schuld oder Unschuld entscheiden soll. Bei der Auslieferung des Trojaners wurde erklärt, dass dies über Update Services von Windows geschehe. Das BKA modifiziert das Update des Verdächtigen und installiert auf diese Weise die Überwachungssoftware.

Am Swiss Cyber Storm II haben wir ein ähnliches Wargame vorgesehen. Die von uns vorgestellte Lösung arbeitete mit ettercap und etterfilter. Damit lassen sich ebenfalls Trojaner einspielen, aber auf einer recht umständlichen Art und Weise. Ein Wargame Teilnehmer hat uns auf "evilgrade" aufmerksam gemacht (Evil Upgrade), das sich speziell auf die Installation von Malware via Update Services fokussiert. Das Tool hat diverse fix-fertige Plugins, z.B. für Java Updates und kann von jedermann(frau) einfach bedient werden. Natürlich setzt evilgrade wie auch alle anderen Verfahren voraus, dass sich der Angreifer als Man-in-the-Middle in den Verkehr einbinden kann.

Die Hersteller von evilgrade haben einen Demo Video für den Einsatz von evilgrade erstellt. Im Film wird zuerst eine Kaminsky DNS Attacke durchgeführt (um die Voraussetzungen für die MitM Attacke zu schaffen) und anschliessend via evilgrade ein Angriff über JavaUpdates gemacht.

Gruss Ivan