c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen

Die aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen.

Wer ihn noch nicht kennt: Chorizo ist ein Online-Scanner der nach XSS, CSRF, SQL Injections, Remote Code Executions und vielen anderen Vulnerabilites fahndet und reported. Keine Softwareinstallation nötig – alles geschieht im Browser.

Wer ihn testen mag: einen vollwertigen Account für eine Domain (Chorizo Free) gibt es hier.

SektionEins: joined forces of Stefan Esser/Hardened PHP and Mayflower

 

We are proud to announce our new startup company SektionEins which is going to be a Cologne based GmbH (German for „limited“).

 

In the last two years we at MAYFLOWER have had the chance to do a lot of Security Audits and Security Consulting. We created an easy and free to use Security Scanner called Chorizo and contributed security patches to several Open Source projects.

 

Part of this work was the cooperation with people like Johannes Schlüter and Stefan Esser. Since Stefan just finished university and our security department has a lot of work to do, we decided to join forces and create SektionEins. SektionEins specializes in Web Application Security, supporting every web platform available out there. Of course there is some special knowledge in the area of PHP included and the Chorizo and Consulting experience does add a lot of Web2.0 knowhow.

With SektionEins both Suhosin and Chorizo found a new home. And so does Web Application Security. If you want to contact us regarding Security Audits, Consulting or Security Trainings you can reach us at info at sektioneins dot de. We also do international Audits.

Johann-Peter Hartmann spricht auf heise Security Konferenz

Johann-Peter Hartmann, technischer Leiter der Mayflower GmbH, spricht im Rahmen der Sicherheitskonferenzen des heise-Verlages.
Im Rahmen immer komplexerer Webanwendungen werden auch die Möglichkeiten für Angriffe immer zahlreicher. Mit neuen Technologien, wie beispielsweise AJAX, und der neuen Mitmachkultur im Web2.0 entstehen Sicherheitsprobleme für Anbieter und Nutzer, die sich aktuell erst erahnen lassen.

Johann-Peter Hartmann wird in seinem Vortrag die Themen XSS und Sicherheit bei Verwendung von AJAX-Applikationen intensiv erläutern und Lösungswege aufzeigen. Des Weiteren wird das Thema User-Generated-Content aus Security-Sicht erörtert. Freuen Sie sich auf interessante Vorträge in:

24. April 2007, Düsseldorf, Hilton Hotel
03. Mai 2007, Frankfurt, Radisson SAS Hotel
09. Mai 2007, Hamburg, Dorint Sofitel
15. Mai 2007, München, Dorint Novotel

Melden Sie sich hier an

Chorizo posters

Somewhere around this time last year we did go public with our security scanner Chorizo!.

One year later, Chorizo! is well established in the world of web development and a useful tool for a lot of developers, especially when you deal with PHP applications.
Doing a lot of marketing work in the last year, one special activity (and one of my favourites) was until now only available for readers of the German PHP-Magazin. But we think that it is time to change that…

So we proudly present the Chorizo!-adapt a movie poster-Series

Ladies and Gentlemen, here’s the Gallery:

Our first poster does have some elements from a movie dealing with virtual reality and a man-machine conflict.

Weiterlesen

We did talk about Web-2.0 Security

On Tuesday our CIO, Johann-Peter Hartmann, gave a Web-seminar about security issues in the Web 2.0 era. We had about 140 participants and some very good questions in the following Q&A Session. We would like to thank you for the response and also we´d like to thank Jürgen from MySQL, our webinar-host.

We uploaded our slides as promised. To download them, click here.

If you missed the Web-Seminar you get a chance to see the recording of it here.
But be aware: It´s in german!!!

For english readers/speakers: Johann held an english security talk some time ago. Find it here

We already heard that some participants found some quite severe security issues right after listening to Johann´s talk. Therefore we strongly recommend to all of you to have a look at it.

Weiterlesen

Web-2.0 Security

Hi Folks,

This is an announcement for a webinar in German. Therefore only written in German. If you are interested in the security topic be sure to see the english webinar, which is stored here.


Web-2.0-Anwendungen absichern

Die verbesserte Einsatztauglichkeit der Web-2.0-Anwendungen wird auf
Kosten von neuen Sicherheitsproblemen erworben. Sowohl die mächtige
Logik im JavaScript als auch der permanente Login auf vielen Sites
bergen Risiken, die anders und gezielt beantwortet werden müssen.
Dieses Webseminar gibt einen Überblick, bewertet die Probleme und
stellt Lösungswege vor.

Wenn Sie Web 2.0- und AJAX-Anwendungen entwickeln, ist dieser Vortrag genau das Richtige für Sie! Hier erfahren Sie:

  • Welche neuen Sicherheitsrisiken es für Webanwendungen gibt
  • Welche Bedeutung XSS hat
  • Ursprünge und Typen von JavaScript-Malware
  • Wege zur Absicherung Ihrer LAMP-Anwendungen für Web 2.0

Weiterlesen

Webmontag Köln: AJAX Security, die Slides

Webmontag war gestern in Köln. Scheee wars. Proppenvoll, mit sicherlich über 100 Leuten. Und mal wieder fest gestellt, wie klein die Welt doch ist, viele bekannte Leute getroffen und vielleicht dem Einen oder Anderen einen Denkanstoß gegeben, wie man seine Applikationen schrittweise verbessern kann. Ein Dank auch an René Bredlau, der mir den Kölner Webmontag schmackhaft gemacht hatte.

Die Slides zum Vortrag finden sich hier zum Download. Im Wesentlichen handelt es sich dabei um die Folien des Vortrags von meinem Kollegen Johann-Peter Hartmann, gehalten u.a. auf der AJAX in Action und der PHP Konferenz im letzten Jahr. In der Tonspur, die ich auf Anfrage gerne im persönlichen Gespräch nachreiche, wurden die beschriebenen Fakten noch um einige aktuelle Beispiele von mir ergänzt.

The Chorizo! International PHP Conference Quiz

On this years conference we did start a quiz regarding security.

For those who were not able to visit the Conference I’d like to show the questions asked.

Which of the following code lines does really protect against Cross-Site-Scripting?

[ ] echo ‚<a href="index.php?name=‘.addslashes($_GET[’name‘]).’">name</a>‘;

[ ] echo ‚<a href="index.php?name=‘.strip_tags($_GET[’name‘]).’">name</a>‘;

[ ] echo ‚<a href="index.php?name=‘.preg_replace(‚|\W|‘, “, $_GET[’name‘]).’">Name</a>";

In which code line did we hide a Remote Code Execution?

[ ] include(dirname(__FILE__).’/lang/lang_‘.$_GET[‚lang‘].‘.php‘);

[ ] preg_replace(‚/_NAME_/msiUe‘, "htmlentities(\"$_GET[name]\")", ‚Hello Mr _NAME_ ! ‚);

[ ] eval("echo ‚Hello Mr ".htmlentities($_GET[’name‘], ENT_QUOTES)."‘;");

Which tag can not contain JavaScript?

[ ] <img />

[ ] <br />

[ ] <style></style>

[ ] <meta></meta>

[ ] each of the here named tags can contain JavaScript

What is not possible to happen if your website contains a Cross-Site-Scripting-Vulnerability?

[ ] It is possible to take over the user-logins by using the so named Session-Riding.

[ ] Your website visitor´s intranet can be scanned.

[ ] Every pressed key of your sites user´s can be logged by third parties.

[ ] Your user´s harddisks can be formatted.

Weiterlesen

Announcing Chorizo! Intranet Edition and Chorizo! Security Audits



Live from the International PHP Conference this year, we have some announcements to make: first of all, we’re now officially releasing the Chorizo! Intranet Edition. That’s basically the full Chorizo! software package for your internal corporate environment, installed on one of your servers. Furthermore, you can scan an unlimited number of your own websites (we won’t charge you for every server!) and create your own users inside the usermanagement. Besides that, of course Morcilla, the PHP security extension that detects deep security bugs directly on your server is included. The Intranet Edition is available for a license fee of EUR 5.800,– including VAT (16% currently) for one installation. Support and updates are available for 20% of the license fee per year. If you’re interested, just drop us an e-mail.

Second, we’re launching an array of Professional Services: Security Audits. You can get them in different flavours, like the Chorizo! PenTest, the Chorizo! Standard Audit and Chorizo! Extended Audit. Automatic security scanning is good, but to get hardened web applications, Security Audits are your friends. You can download the product paper or drop us an e-mail for an offer. Clients already include the financial and logistics industry.

Chorizo available for French customers: win an iPod Nano!

Today, we’re announcing a reselling partnership between Mayflower GmbH and Waterproof S.A.R.L., makers of PHP IDE PHPEdit and a French based company. They’re reselling the Chorizo! software to their customers and in their local country France. You can view the product page on their website.

If you happen to be on Forum PHP in Paris from 9th to 10th of November 2006, don’t forget to step by Waterproof’s booth – we’re raffling a black iPod Nano 2 GB and five commercial licenses of Chorizo!. Just be prepared for the PHP Security Quiz ;-).

Furthermore, if you might be on International PHP Conference, don’t forget to step by our booth – we’re also raffling a black iPod Nano via a PHP Security Quiz and several commercial licenses.

PS: you might want to notice that XSS attacks are one of the most frequent attacks against web applications. See the recent announcement from EOF Project this weekend.