XSS-Spezial – #secuthursday KW 18/2015

Header-Logo Sicherheit am Donnerstag

Diese Woche haben wir ein Spezial: Die letzten sieben Tage gab es so viele Meldungen über XSS-Lücken, dass wir beschlossen haben, dieser Ausgabe einen Fokus zu verpassen. Zum Einstieg: Was bedeutet XSS? XSS steht für Cross-Site-Scripting und beschreibt einen Angriff bei dem unsichere Informationen (meist Java-Script-Code) in einer vertrauenswürdigen Umgebung eingefügt werden und so an…

Continue reading

XSS-Lücke in WordPress: Blogkommentare derzeit deaktiviert

Aufgrund einer Sicherheitlücke in den WordPress Versionen 4.1.1., 4.1.2. und 4.2., die einen XSS-Angriff im Zusammenhang mit den Kommentaren ermöglichen, werden die Kommentare in unserem Blog kurzzeitig deaktiviert. Wenn es einen Fix gibt, werden wir die Möglichkeit natürlich wieder aktivieren. Mehr zu dieser Lücke unter: http://seclists.org/fulldisclosure/2015/Apr/84 oder im #secuthursday diese Woche.

Sicherheitslücken über Ostern – #secuthursday KW 15/2015

Header-Logo Sicherheit am Donnerstag

Wir ersparen uns Witze über Sicherheitslücken versteckende Osterhasen und reden über gesprächige DNS-Server, opportunistische Verschlüsselung sowie ein WordPress Plugin. DNS-Server: Korrekte Whitelist gegen unerlaubte Zonentransfers DNS-Server beantworten Anfragen zur Namensauflösung und stellen damit einen elementaren Baustein für die Erreichbarkeit von Webdiensten dar. Eine fehlerhafte Konfiguration stellt bei diesen, öffentlich erreichbaren, Diensten ein potentielles Einfallstor für Angriffe dar.…

Continue reading

JWT, PHP und Palinopsia – #secuthursday KW 14/2015

Header-Logo Sicherheit am Donnerstag

Die wichtigsten Sicherheitslücken der letzten sieben Tage: Signaturprüfung in JWT in vielen Softwarebibliotheken manipulierbar, remote code excution in PHP und das Gedächtnis der Grafikkarten. Kritische Sicherheitslücken in JWT-Sessionverwaltung Das Protokoll JSON Web Token (JWT) soll die Authentifizierung eines Clients gegenüber eines Server gewährleisten. Wenn der Nutzer schon angemeldet ist oder über eine sichere Verbindung kommuniziert, ermöglicht…

Continue reading

Diese Sicherheitswarnung ignorieren? – #secuthursday KW 13/2015

Header-Logo Sicherheit am Donnerstag

Diese Woche: Warum auch Sicherheitswarnungen Aufmerksamkeit beim Design erhalten sollten, ein BIOS-Rootkit namens LightEater und Sicherheitslücken in Drupal. BIOS-Rootkit LightEater War ein Rechner mit einem Trojaner oder Bootkit infiziert, half bisher ein Live Linux, welches ausschließlich im RAM läuft, oder der Austausch der befallenen Festplatte. Auch sichere Betriebssysteme wie Tails laufen ausschließlich im RAM, um sich vor…

Continue reading

Influencer – besteht da Impfpflicht? #rtb15: Corporate blogging

Diskussion bei Rock the blog 2015

Klaus Eck meint: Content Marketing sind Marketingmaßnahmen basierend auf Content. Dabei ist der Content nicht King und noch nicht einmal Queen. Steile These und irgendwie klingt es auch einleuchtend. Doch was heißt das für Firmen? Doch zuerst die Kennzeichnung: Die Vorlage für die Überschrift kommt von Ich möchte als Blogger bitte nicht Influencer genannt werden. Sonst meint nachher…

Continue reading

OpenSSL, Yoast, Authy und Flash – #secuthursday KW 12/2015

Header-Logo Sicherheit am Donnerstag

Heute Nachmittag wichtiges OpenSSL-Update. Und: Wenn doppelte Sicherheit von einem sechsstelligen Generalcode ausgehebelt wird, ein alter Bekannter und wieder eine SQL-injection in einem WordPress Plug-In. OpenSSL Update zum Donnerstag Das OpenSSL-Team gab gestern bekannt, dass es zum 19.03.2015 einige Schwachstellen schließen will, wovon eine als kritische Sicherheitslücke eingestuft wird. Alle Details zu den Lücken werden mit Erscheinen der…

Continue reading