WebspotBlogging ist ein kleines CMS das in PHP geschrieben ist und mit einer MySQL Datenbank verbunden. WSB ist relativ weit verbreitet und gern genutzt von Newsbloggern. Deshalb habe ich mich darum gekümmert ein paar Vulnerabilites dort zu finden. Nach kurzem suchen habe ich eine ziemlich schwerwiegende Sicherheitslücke gefunden die sich von potenziellen Angreifer ausnutzen lässt. Es handelt sich dabei um eine SQL-Injection bei einer unsicheren Abfrage über die “showpost.php”.
Weiterlesen »
Von GE TEAM am 27.07.2009 um 03:02 Uhr
gespeichert unter All
• kommentieren »
Da ich mich in den letzten Tagen ziemlich intensiv mit Browser Sicherheit beschäftigt habe, kann ich euch heute etwas neues präsentieren. In meinem PenTest geht es darum mit einem “Denial of Service” Vulnerability den Mozilla Firefox 3.5 Browser zum abstürzen zu bringen. Nach dem Absturz sollen natürlich alle Tabs verloren gehen die geöffnet waren, ohne [...]
weiterlesen »
Von GE TEAM
am 26.07.2009 um 04:12 Uhr
gespeichert unter All
• 1 Kommentar »
Egal ob Wortfilter umgehen oder Benutzernamen fälschen, mit Unicode Zeichen lässt sich das ganze ganz leicht bewerkstelligen. Einzige Vorraussetzung, ein Charset das gewisse Unicode-Zeichen unterstützt, beispielsweise UTF8. Für ein CMS ist es war wichtig was für ein Charset die Datenbank hat, jedoch können wir hoffen, dass das Charsets der Seite mit dem der Datenbank übereinstimmt. [...]
weiterlesen »
Von GE TEAM
am 18.07.2009 um 00:06 Uhr
gespeichert unter All
• kommentieren »
Da WordPress ja schon fast ein Monopol in der Blogosphäre hat, war das ein Grund für mich mal den (ehemals) stärksten Konkurrenten von WordPress anzuschauen. Die Software heisst TextPattern und macht einen recht guten Eindruck. Die Software wurde natürlich sofort einem kleinen Pen-Test unterzogen und ich musste eine nicht ganz unkritische Lücke feststellen. Da TextPattern [...]
weiterlesen »
Von GE TEAM
am 07.07.2009 um 23:14 Uhr
gespeichert unter All
• 1 Kommentar »
In den letzten Monaten habe ich mich mit SSL Zertifikaten im Browser beschäftigt. Das gute bei SSL Zertifikaten(AES & RSA) ist das die Identität einer Seite mit einer vertrauten (trusted) Verbindung ausstatten. So wird dem Gegenüber am Client gezeigt (SSL Button) das seine Daten verschlüsselt übertragen werden. Die meisten Banken die über Online-Banking verfügen brüsten [...]
weiterlesen »
Von GE TEAM
am 06.07.2009 um 22:14 Uhr
gespeichert unter All
• 4 Kommentare »
YoLinux bietet ein neues Front-end für LDAP Benutzer an was kostenlos zum download angeboten wird. WebDap v1.10 ist ein Web Front-end zu einem LDAP-Verzeichnis auf einem Server. Es bietet eine freundliche Art und Weise, der Datenverwaltung auf einem LDAP Server. Der Administrator kann Daten anschauen, editieren, löschen, Benutzer verwalten, Einstellungen konfigurieren & überprüfen. Das erreichbare [...]
weiterlesen »
Von GE TEAM
am 03.07.2009 um 18:38 Uhr
gespeichert unter All
• 2 Kommentare »
Da ich mich schon seit einigen Wochen mit der Software eines Freundes arbeite habe ich mich entschlossen dort mal einen kleinen PenTest zu machen. Das Programm ist zur Be/Verarbeitung von Videos und Musik. Es ist eine sehr einfach zu bedienende Software die viele Vorteile aufweist besonders bei Übergängen, Menüs, externen Komponenten & TitelBars. Auch die [...]
weiterlesen »
Von GE TEAM
am 01.07.2009 um 23:22 Uhr
gespeichert unter All
• 1 Kommentar »