Kategorie: Chorizo

  • Redis – Vortrag@Mayflower-München

    Am kommenden Donnerstag, den 30.06.2011 findet ein weiterer öffentlicher Vortrag im Mayflower-Büro in München statt (Mannhardtstraße 6, S-Bahn Isartor).Beginn ist um 18:00 Uhr, Thema des Vortrags ist „Redis„. In dem Vortrag von Peter Voringer geht es um die Funktionalität und den Einsatzbereich/-möglichkeiten von Redis, sowie die PHP Client Library Rediska. Die „Donnerstags-Vorträge“ werden sowohl in…

  • c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen

    Die aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen. Wer ihn noch nicht…

  • SektionEins launcht offiziell (Deutsch)

      (Fast) Pünktlich zum von SektionEins verfassten Security Audit von phpBB3, der im dortigen RC6/RC7 mündete, ist nun auch die SektionEins Website in Deutsch und Englisch online gegangen (falls es zu Problemen beim Zugriff kommt, kann es noch an Ihrer DNS-Auflösung liegen). Zur Rekapitulation: die SektionEins GmbH ist unsere Schwesterfirma/Joint Venture, die wir zusammen mit…

  • Warmlaufen mit Flash Security

    Die SektionEins GmbH, unser neues Venture zusammen mit Stefan Esser, bekommt Zuwachs. fukami, Speaker zum Beispiel auf dem Chaos Communication Camp 2007 und der FrOSCON, wird ab September unser neuer Mitarbeiter. Zur Erinnerung: die SektionEins GmbH führt in erster Linie Security Audits durch, mit einem Spezialfokus auf PHP, aber auch grundsätzlich alle webbasierten Applikationen (Java,…

  • Scriptgenerierung zur Einbindung nach extern nicht immer sinnvoll

    Nebenstehendes habe ich heute irgendwo auf einem Blog gefunden. Das Problem ist hier scheinbar, dass in der Sidebar des Blogs ein externer Dienst eingebunden wird. Ein Lookup beim Diensteanbieter selbst und dem Infofilmchen zeigt, dass man sich serverseitige Scripte (PHP/Perl) generieren lassen kann, die man dann ins Blog einbinden kann. Konkret geht es hier um…

  • Update: Analyse des HTML Sourcecodes der Second Order Attacke

    Ein kleines Update zum vorherigen Beitrag: der Nutzer „lars“ schien harmlos zu sein. Schaut man sich den HTML-Quellcode näher an, kommt ein altbekanntes Gesicht zum Vorschein: <div class="listitem searchlists"> <a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111128"> <img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a> <span class="listtitle">"><script>alert(1)</script></span><br /> "><script>alert(1)</script><br /> <span class="addedby">Erstellt von lars</span> </div> <div class="listitem searchlists"> <a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111129"> <img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt=""…

  • shoppero.com gleich erstes Opfer von Second Order XSS Attacks

    Ich wollte Nico Lumma zum Launch von shoppero.com beglückwünschen und wie es sich unter Kollegen gehört per E-Mail noch ein paar Verbesserungswünsche (auch aus sicherheitstechnischer Sicht) zum Launch zumailen. Über die Vorstellung eines sogenannten Adgets in einem Blog und der allgemeinen Kritik am Konzept im E-Commerce Blog (die ich übrigens nur bedingt teile, da ich…

  • Twitter-Klone, Web2.0 Apps & Co: sicher genug?

    Nachdem nun auch im deutschsprachigen Raum der eine oder andere twitter Klon aus dem Boden gestampft wurde, sollte man die Diskussion um die ganzen Copycats der so genannten Web2.0 Communities/Portale/Applikation auch noch einmal aus einem anderen Blickwinkel betrachten: der Sicherheit.   Wenn Dinge „schnell, schnell“ aus dem Boden gestampft werden, ist die Gefahr immer hoch,…

  • Johann-Peter Hartmann spricht auf heise Security Konferenz

    Johann-Peter Hartmann, technischer Leiter der Mayflower GmbH, spricht im Rahmen der Sicherheitskonferenzen des heise-Verlages. Im Rahmen immer komplexerer Webanwendungen werden auch die Möglichkeiten für Angriffe immer zahlreicher. Mit neuen Technologien, wie beispielsweise AJAX, und der neuen Mitmachkultur im Web2.0 entstehen Sicherheitsprobleme für Anbieter und Nutzer, die sich aktuell erst erahnen lassen. Johann-Peter Hartmann wird in…

Web
mayflower.de

E-Mail
kontakt@mayflower.de

Berlin
Krausenstraße 9-10
10117 Berlin

fon +49 30 4036473 20
berlin @mayflower.de

Würzburg
Landsteinerstraße 4
97074 Würzburg

fon +49 931 466216 1177
fax (0931) 466216 – 28

München
Landsberger Straße 314
80687 München

fon +49 89 242054 1177
fax (089) 242054 – 29