Mayflower Blog

About

Albrecht Günther
Avatar von Albrecht Günther
Albrecht ist Geschäftsführer Human Ressources bei der Mayflower GmbH. Hat 2005 mit Scrum begonnen, lernt aber noch stets hinzu und ist erfreut, was die agile Transition in einer Firma alles bewegen und an neuen Chancen und Potentialen freisetzen kann – vor allem in dynamischen Teamstrukturen.

  • c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen

    von

    Albrecht Günther
    in

    Die aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen. Wer ihn noch nicht…

  • Update: Analyse des HTML Sourcecodes der Second Order Attacke

    von

    Björn Schotte
    in ,

    Ein kleines Update zum vorherigen Beitrag: der Nutzer „lars“ schien harmlos zu sein. Schaut man sich den HTML-Quellcode näher an, kommt ein altbekanntes Gesicht zum Vorschein: <div class="listitem searchlists"> <a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111128"> <img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a> <span class="listtitle">"><script>alert(1)</script></span><br /> "><script>alert(1)</script><br /> <span class="addedby">Erstellt von lars</span> </div> <div class="listitem searchlists"> <a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111129"> <img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt=""…

  • shoppero.com gleich erstes Opfer von Second Order XSS Attacks

    von

    Björn Schotte
    in ,

    Ich wollte Nico Lumma zum Launch von shoppero.com beglückwünschen und wie es sich unter Kollegen gehört per E-Mail noch ein paar Verbesserungswünsche (auch aus sicherheitstechnischer Sicht) zum Launch zumailen. Über die Vorstellung eines sogenannten Adgets in einem Blog und der allgemeinen Kritik am Konzept im E-Commerce Blog (die ich übrigens nur bedingt teile, da ich…

  • XSS and CSRF made easy

    von

    Björn Schotte
    in

      Today I had a phone conference with a client about a security audit we conducted on their application. We stepped through the report where we talked about XSS and especially CSRF, and we told them that it might be pretty easy to trick somebody into clicking on a link which conducts a request to…

  • Twitter-Klone, Web2.0 Apps & Co: sicher genug?

    von

    Björn Schotte
    in

    Nachdem nun auch im deutschsprachigen Raum der eine oder andere twitter Klon aus dem Boden gestampft wurde, sollte man die Diskussion um die ganzen Copycats der so genannten Web2.0 Communities/Portale/Applikation auch noch einmal aus einem anderen Blickwinkel betrachten: der Sicherheit.   Wenn Dinge „schnell, schnell“ aus dem Boden gestampft werden, ist die Gefahr immer hoch,…

  • Johann-Peter Hartmann spricht auf heise Security Konferenz

    von

    Tobias Kaufmann
    in ,

    Johann-Peter Hartmann, technischer Leiter der Mayflower GmbH, spricht im Rahmen der Sicherheitskonferenzen des heise-Verlages. Im Rahmen immer komplexerer Webanwendungen werden auch die Möglichkeiten für Angriffe immer zahlreicher. Mit neuen Technologien, wie beispielsweise AJAX, und der neuen Mitmachkultur im Web2.0 entstehen Sicherheitsprobleme für Anbieter und Nutzer, die sich aktuell erst erahnen lassen. Johann-Peter Hartmann wird in…

  • We did talk about Web-2.0 Security

    von

    Tobias Kaufmann
    in ,

    On Tuesday our CIO, Johann-Peter Hartmann, gave a Web-seminar about security issues in the Web 2.0 era. We had about 140 participants and some very good questions in the following Q&A Session. We would like to thank you for the response and also we´d like to thank Jürgen from MySQL, our webinar-host. We uploaded our…

  • Web-2.0 Security

    von

    Tobias Kaufmann
    in ,

    Hi Folks, This is an announcement for a webinar in German. Therefore only written in German. If you are interested in the security topic be sure to see the english webinar, which is stored here. Web-2.0-Anwendungen absichern Die verbesserte Einsatztauglichkeit der Web-2.0-Anwendungen wird auf Kosten von neuen Sicherheitsproblemen erworben. Sowohl die mächtige Logik im JavaScript…

  • Code Inclusions on a Silver Plate

    von

    Martin Brotzeller
    in

    Looking for code inclusions? The versatile google cluster has a solution for this, like for many other tasks. This search lang:php \secho\([^)]*_REQUEST[^)]*\); lets You find various places where some variable from the superglobal $_REQUEST is printed with echo. By the same means, you can easily find places where such a variable is directly included in…