Kategorie: Chorizo
-
Redis – Vortrag@Mayflower-München
von
in ChorizoAm kommenden Donnerstag, den 30.06.2011 findet ein weiterer öffentlicher Vortrag im Mayflower-Büro in München statt (Mannhardtstraße 6, S-Bahn Isartor).Beginn ist um 18:00 Uhr, Thema des Vortrags ist „Redis„. In dem Vortrag von Peter Voringer geht es um die Funktionalität und den Einsatzbereich/-möglichkeiten von Redis, sowie die PHP Client Library Rediska. Die „Donnerstags-Vorträge“ werden sowohl in…
-
c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen
von
in ChorizoDie aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen. Wer ihn noch nicht…
-
SektionEins launcht offiziell (Deutsch)
von
in Chorizo(Fast) Pünktlich zum von SektionEins verfassten Security Audit von phpBB3, der im dortigen RC6/RC7 mündete, ist nun auch die SektionEins Website in Deutsch und Englisch online gegangen (falls es zu Problemen beim Zugriff kommt, kann es noch an Ihrer DNS-Auflösung liegen). Zur Rekapitulation: die SektionEins GmbH ist unsere Schwesterfirma/Joint Venture, die wir zusammen mit…
-
Warmlaufen mit Flash Security
von
in ChorizoDie SektionEins GmbH, unser neues Venture zusammen mit Stefan Esser, bekommt Zuwachs. fukami, Speaker zum Beispiel auf dem Chaos Communication Camp 2007 und der FrOSCON, wird ab September unser neuer Mitarbeiter. Zur Erinnerung: die SektionEins GmbH führt in erster Linie Security Audits durch, mit einem Spezialfokus auf PHP, aber auch grundsätzlich alle webbasierten Applikationen (Java,…
-
Scriptgenerierung zur Einbindung nach extern nicht immer sinnvoll
von
in ChorizoNebenstehendes habe ich heute irgendwo auf einem Blog gefunden. Das Problem ist hier scheinbar, dass in der Sidebar des Blogs ein externer Dienst eingebunden wird. Ein Lookup beim Diensteanbieter selbst und dem Infofilmchen zeigt, dass man sich serverseitige Scripte (PHP/Perl) generieren lassen kann, die man dann ins Blog einbinden kann. Konkret geht es hier um…
-
Update: Analyse des HTML Sourcecodes der Second Order Attacke
von
Ein kleines Update zum vorherigen Beitrag: der Nutzer „lars“ schien harmlos zu sein. Schaut man sich den HTML-Quellcode näher an, kommt ein altbekanntes Gesicht zum Vorschein: <div class="listitem searchlists"> <a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111128"> <img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a> <span class="listtitle">"><script>alert(1)</script></span><br /> "><script>alert(1)</script><br /> <span class="addedby">Erstellt von lars</span> </div> <div class="listitem searchlists"> <a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111129"> <img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt=""…
-
shoppero.com gleich erstes Opfer von Second Order XSS Attacks
von
Ich wollte Nico Lumma zum Launch von shoppero.com beglückwünschen und wie es sich unter Kollegen gehört per E-Mail noch ein paar Verbesserungswünsche (auch aus sicherheitstechnischer Sicht) zum Launch zumailen. Über die Vorstellung eines sogenannten Adgets in einem Blog und der allgemeinen Kritik am Konzept im E-Commerce Blog (die ich übrigens nur bedingt teile, da ich…
-
Twitter-Klone, Web2.0 Apps & Co: sicher genug?
von
in ChorizoNachdem nun auch im deutschsprachigen Raum der eine oder andere twitter Klon aus dem Boden gestampft wurde, sollte man die Diskussion um die ganzen Copycats der so genannten Web2.0 Communities/Portale/Applikation auch noch einmal aus einem anderen Blickwinkel betrachten: der Sicherheit. Wenn Dinge „schnell, schnell“ aus dem Boden gestampft werden, ist die Gefahr immer hoch,…
-
Johann-Peter Hartmann spricht auf heise Security Konferenz
von
Johann-Peter Hartmann, technischer Leiter der Mayflower GmbH, spricht im Rahmen der Sicherheitskonferenzen des heise-Verlages. Im Rahmen immer komplexerer Webanwendungen werden auch die Möglichkeiten für Angriffe immer zahlreicher. Mit neuen Technologien, wie beispielsweise AJAX, und der neuen Mitmachkultur im Web2.0 entstehen Sicherheitsprobleme für Anbieter und Nutzer, die sich aktuell erst erahnen lassen. Johann-Peter Hartmann wird in…