(Double-)SQL-Injection Challenge
I would like to demonstrate a sample SQL-Injection attack. SQL-Injection occurs if user input is not correctly validated. Sensitive data could be read from the database, or administrative operations could be executed. First have a look at the vulnerable application code listing: function listBookmarks($searchTag,$s) { if($searchTag == NULL && $s == 0) { $sql = [...]
Was bedeutet IT- und Information-Security?
Hallo an alle, hier stelle ich eine kleine nette Präsentation zum Thema “Unterschied von IT- und Information-Security” bereit. Sehr oft sind die Unterschiede nicht so klar bzw. werden nicht verstanden. Begriffe und Definitionen können im angehängten PDF nachgelesen werden. Weiters findet sich auch eine Auflistung von Standards & Normen im Sicherheitsbereich. Have fun! Downlaod Link [...]
Jetty Security – Obfuscated Keystore Password (failing?)
Found some interesting lines in a jetty configuration file and just want to share it with you. <Set name=”Keystore”><SystemProperty name=”jetty.home” default=”.” />/../xxx/conf/keystore</Set> <Set name=”Password”>OBF:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</Set> <Set name=”KeyPassword”>OBF:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</Set> It is not the best idea to only obfuscate keystore passwords, isn’t it? (gg) But in this case jetty does not support encryption like MD5. So be sure to [...]
xssed.com – xssdl parses all XSS Attack Vectors and stores them to file
Have you ever tried to download all XSS Vectors from xssed.com? I provide you the following solution: The Perl Script below is named “xssdl” – a tool that parses the whole xssed.com archive and stores all XSS Attack Vectors to file. Then you are able to use grep or anything similar easily. You can use [...]
fsumParser: fsum integrity check & duplicate finder
Hi guys, one problem we have is to find duplicated files on our disks. I had the idea to combine an integrity check with a lookup for dupilcates. fsum is a tool for integrity checking and outputs a file comprised of hashes. This generated file serves as an input to my JAVA program. If you [...]
Bieten moderne Schutzmaßnahmen effiziente Abwehr gegenüber bösartigen Cross-Site-Scripting Angriffen?
Die Komponente Web ist im herrschenden Technologie-Zeitalter nahezu in alle Bereiche von Applikationen vorgedrungen. Unter dem Terminus “Applikation” versteht man in der Regel Software oder Programm. Eine Applikation stellt Benutzern individuelle Funktionen zur Verfügung und wird auf einem Computer betrieben. Sei es Shopping auf eBay, Amazon oder das Veröffentlichen von Informationen auf Social Media Webseiten, [...]