In den letzten Wochen haben wir immer wieder an einer Reportage über Cross-Site-Scripting geschrieben die schnell an Umfang gewonnen hat. Heute wollen wir euch das White-paper präsentieren um anderen zu helfen sich gegen XSS zu schützen. In diesem Paper was noch erweitert wird haben wir uns die Mühe gemacht alle Techniken, Methoden & Abwehrmaßnahmen aufzulisten. [...]

GESEC Team discovered some remote vulnerabilities on US Marine Corps Website. A remote attacker is able to include malicious routines which can be execute against customers on server-side.  The inputs on PATH are not validated/parsed and an attacker could include malicious code/scripts which can be combined with other functions in the CMS. The result is [...]

Vermillion FTP Daemon 1.31 is a FTP Server product from arcanesoft.com which is a basic ftp server. VFTPD consistently receives rave reviews and its thousands of loyal users  around the world agree that it has an unbeatable combination of high efficiency and security, reliable and robust operation, and easy configuration. VFTPD is a low cost, [...]

Da ich im letzten Jahr immer wieder an einem Beitrag über Computerviren geschrieben habe, wird das GESEC Team heute ein Security-Paper zum Thema “Computer-Viren” veröffentlichen. Im ersten Teil, des Papers wird das Grundwissen über Computerviren erläutert. Grundwissen ist für jede Person im Bereich, der IT-Sicherheit wichtig & man lernt immer dazu.  In diesem Paper werden [...]

经常碰到这样的注入环境，但有的时候网上给的工具并不能完全应付所有的环境。比如有的会有过滤啊啥的，为了方便我特意写了这个工具。基本上可以应付所有的 php+mysql5的注入环境，因为自己可以直接修改注入语句，所以只要手工能绕过的过滤，该工具都可以。而且我添加了最新使用 group_concat获取数据的方式，可以大大降低注入时提交的语句量和获取数据的时间。先看看界面吧：

Pandora FMS ist ein Monitoring-System das mit Hilfe einer Applikation gewartet & bearbeitet werden kann. In dem Monitoring-System gibt es verschiedene Benutzerrollen die auch alle unterschiedliche Privilegien besitzen. Pandora FMS ist allein schon deshalb interessant für Penetrationstests, weil es einen größeren Umfang hat der klar strukturiert ist. Außerdem muss eine Applikation zum überwachen eines Systems [...]

UltraFXP ist ein Client der sich mit einem FTP(Port:21) verbinden kann. Er ermöglicht das uploaden, bearbeiten, ausführen & runterladen von Dateien eines FTP-Servers. Das Program ist sehr komfortabel und einfach zu bedienen deshalb nutzen es viele in der FXP Szene. Die Software ist der kostenlose Version von FTPRush was kommerziell vertrieben wird. Vor einigen Tagen [...]

In den letzten Tagen haben wir das Forum eines Freundes überprüfen können und dabei gleich die neuste SMF version getestet. SMF ist eine Forum-Software die sehr komfortabel und einfach zu bedienen ist. Das Forum bietet auch ein Moderationssystem mit unterschiedlichen Privilegien an. In unserem Tests haben wir mehrere Schwachstellen gefunden die ein Angreifer nutzen kann [...]

KeyPass ist eine Software die es möglich macht eigene  Pins,Tans, Server Accounts oder auch Service Passwörter sauber zu archivieren. Verschiedenste Funktionen, des Programs ermöglichen es einem Benutzer schnell auf private Passwörter & Informationen zuzugreifen. Die Datenbank Dateien benutzen die Dateiendung “.kdb” und sind verschlüsselt mit einem wählbaren Algorythmus. Das Program ist laut Hersteller gesichert gegen [...]