Direkt zum Hauptbereich

Posts

Es werden Posts vom 2008 angezeigt.

Fragwürdige CMS Anbieter......

Es gibt ja viele gute Content Management Systeme welche OpenSource sind. Also als Beispiel sei hier Typo, joomla und wordpress genannt. Gut wordpress hat sicherheitstechnisch in der Vergangenheit Probleme gehabt aber die Probleme sind weitest alle behoben worde. Im vergleich schneiden da die kostenpflichtige angebote sehr schlecht ab. Auf meinem hack1n9 Blog habe ich über diverse Sicherheitsprobleme auf den verschiedensten Seiten Berichtet. Für die Probleme des Landes Baden-Württemberg ist ein CMS verantwortlich. Das ist das CMS Pirobase von Pironet. Es kostet 2 Vermögen ist unsicher und taugt nichts. Aber naja was solls. Ebenfalls anfällig ist das webios cms. Ebenfalls angeschrieben. Positiv rückmeldung mit wir machen dass. Negativ bis heute nichts geschehen. Und dabei wäre das Problem in weniger als 5 Minuten zu beheben!! Alle Fehler, hauptsächlich XSS, lassen sich auf vielen weiteren Seiten nachvollziehen. So zum Beispiel auch auf Freiburg.de. Pirobase sei dank. Also ich dachte ich

Zertifizierte Online-Shops, trügerische Sicherheit!

Online Shopping Sicherheit Trusted Zertifikate gibt es mittlerweile wie Sand am Meer. Doch was taugt ein Zertifizierter Shop überhaupt. Was meinen die mit "trusted"...... ist "https" ?? Reicht dass schon ?? Ich habe mit das Zertifikat vom Tüv mal genauer unter die Lupe genommen. Und musste feststellen dass bei einigen Shops trotz (trusted, save, zertifiziert) und anderen ominösen Auszeichnungen. Es offensichtliche Sicherheitslücken gibt. Diese musste ich nicht suchen, sonder die sind mir geradezu ins Auge gesprungen. Bei ciao.de zum Bleistift ist XSS möglich. Und das ohne Probleme und Einschränkungen. XSS ist allgemein bei vielen Shops möglich. Am besten ist es für einen Angreifer, Shop mit community und einem einheitlichen Login. Es sind nicht nur mini Shops welche unsicher sind. Es sind OnlineShops von Beate-Uhse, Karstadt-Quelle etc dabei. Also nicht nur komische Läden wo niemand einkauft!! So wird es leicht gemacht Daten auszulesen, und man kann den XSS Code se

Soziale Netze und die Sicherheit! Report Kwick!

Hinweis: Diesen Post habe ich auf meinem hack1n9 Blog veröffentlicht. Die Sozialen Netzwerke, neudeutsch: Social Networks, halten nicht allzu viel von Sicherheit. Vor allem müssten die Entwickler viel mehr für das Thema XSS Sensibilisiert werden. D enn Potentielle Angreifer finden jede Schwachstelle im System. Und wer lange genug sucht der wird imme r fündig. Es sollte den An greifern nur nicht allzu einfach gemacht werden. Kwick.de hatte bis zum 20.06.08 auch noch oder wieder ein Problem mit XSS. Betroffen waren so gut wie alle Suchformulare auf der Seite. Per zufall bin ich auf diesen Umstand aufmerksam geworden. Eines sei gesagt. Bei Kwick kann man sich nun getrost Anmelden denn die Sicherheitslücke wurde sofort behoben. Also eine sichere Sache. Andere Social Networks haben ähnliche XSS Probleme, eigentlich erschreckend viele. Die Namen möchte ich nicht nennen denn sonst rennen vielleicht ein Paar Dummys dahin und testen es gleich......... Nachdem ich dieses Problem dem Betreibe

Wordpress plugins mit Nebenwirkungen

Wordpress ist mitlerweile sehr weit verbreitet und daher für Angriffe sehr interessant. Vor allem die meist unsicher programmierten plugins machen es einem Potenziellen Angreifer sehr leicht. So zum Beispiel das plugin "Spreadsheet". Dieses Eignet sich besonders für eine SQL-Injection, aber mit union. Also mehrere Select Abfragen durchführen. Ich würde gerne einen Link mit dem Ergebniss einer solchen Anfrage einstellen, ich glaube aber dass dies nicht so gern gesehen wird, aber man kann das ganze leicht selbst ausprobieren. Und es ist ja auch nur wichtig zu w Bei "Spreadsheet" ist die Datei ss_load.php Betroffen, diese ermöglicht den Einstieg. Und die ss_functions.php, mit dieser Zeile in der Funktion ss_load wird die SQL Injektion durchgeführt. Die Herforgehobene Zeile function ss_load ($id, $plain=FALSE) { .... if ($wpdb->query("SELECT * FROM $table_name WHERE id='$id'") == 0) { .... Um sich vor solchen gefährlichen plugins zu schützen emp

Firewalls und ihre schwächen.....

Viele Windows Anwender ahnen nicht wie unsicher sie Tatsächlich unterwegs sind. Bepackt mit Virenscanner, Firewall, Anti Spyware usw, fühlen die Anwender sich so sicher wie noch nie ;-) Frei nach dem Motto, es kann nichts passieren, die Software denkt ja mit. Dabei ist es ja auch ganz einfach jemanden etwas unterzumoglen. Und mit diesem kleinen Programm lässt sich ganz Leicht ein drittes Programm auf einem Rechner einschleussen! Das Programm, es könnte jetzt auch in einem kleinen Spiel oder was auch immer verpackt sein, aber dass habe ich mir hier nun erspart. Es soll ja auch nur ein Konzept eines möglichen Angriffs sein und keine vorbereitung als solche. Nun gut, das Programm startet den Internet Explorer als nicht Sichtbarer Prozess. Baut eine Verbindung zu einem Server auf und lädt dann Automatisch ein Programm, hierbei handelt es sich um ein Mini-Programm welches nur eine Meldung herbeizaubert und damit aufzeigt dass das System auf diesem wege angreifbar ist. Durch die Autoklick Fu

Wordpress Admin Kennwort weg?

Wenn einem das Admin Kennwort für seine Wordpress installation entfallen ist und das Morphysche gesetzt zuschlägt und es Funktioniert die e-mail zusendung nicht. Dann ist dass noch lange kein Weltuntergang. Mit diesem kleinen Tool kann man sich ein neues Passwort setzten. Vorrausgesetzt man kann noch auf die Mysql Datenbank zugreifen ;-) Dieses Skript erzeutg aus einem Text String einen Md5 verschlüsselten String. Diesen Text kann man dann in der Datenbank speichern und fertig ;-) Genaue Anleitung sieht man auf der Seite des Skriptes. crypt.zip << Download Und wer dieses Skript nicht runterladen möchte kann es hier gleich ausprobieren: Crypt Passwort

Mini CMS System

Dieser Post ist veraltet, eine gute Empfehlung für kleine Projekte ist das   https://ghost.org/de/ So hier wird es mal wieder Praktisch. Das ist ein mini-cms system welches für kleinere Anwendungen gedacht ist. Das ganze System ist relativ einfach zum installieren und kommt ohne Datenbank aus. Die Texte werden einfach als textdatei abgespeichert. Also die kurzinstallationsanleitung: Zip Datei runterladen. Lokal entpacken. Alle Dateien auf den Webserver laden. So und schon läuft das Skript. Jetzt kann man noch bei bedarf das Layout welches als vorlage im Ordner styles liegt anpassen. Dann die Texte schreiben und schon ist das ganze fertig! Dein Mini-CMS ist nun komplett und läuft schon. Also ein echtes 5-Minuten CMS für kleine oder kurzfristige Projekte. Geeignet für Einsteiger da der Quellcode durchkommentiert ist. (Der Download wurde entfernt da das System mittlerweile veraltet ist ) ;-) Mini CMS Projekt << Download Viel Spass mit dem CMS und wems gefällt

ikasis: komfortabler Youtube Player mit schnell suche

Der ikasis Player ist mit der neuen Youtube API realisiert worden. Er besitzt eine ajax engine und kann so eine schnelle suche durchführen ohnde die aktuelle seite neu zu laden und so das aktuelle video zu stoppen. Direkt zum ikasis Player! Direkt nach dem laden der seite werden die top rated videos angezeigt. Man kann einen vordefinierten Kanal auswählen, wie bsp musik oder comedy. Oder eben eine suche durchführen lassen. Die Videos kommen alle von Youtube und sind dadurch mehr als zahlreich vorhanden. Das top feature ist die einfache handhabung. Sobald ein Video sich dem ende nähert wird das nächste video geladen und sofort wiedergegeben. So erspart man sich das ständige gewurschtel mit der Playlist obwohl man nur mal nebenbei musik hören oder ein paar sketche anschauen möchte. Die benutzung von ikasis* player lohnt sich wirklich , da der player einfach in der Handhabung ist und tolle features besitzt. Also gleich mal den player testen ;-)

Social Networking zum Aktiv Mitgestalten :-)

Nun haben wir von KASISIT uns in den Kopf gesetzt, naja es war meine Idee. Ein SocialNetwork zu erstellen in dem der User schon bei der Erstellung mit einbezogen wird. Unsere Software ist nun gerade so dem alpha Status entsprungen und nun lassen wir die Benutzer schon drauf los. Wir erstellen nun fast täglich ein neues Modul(Funktion) Online oder entfernen, verbessern alte Module. Das Projekt nennt sich com-one . Der Benutzer entscheidet dabei was für Module überleben in dem er Sie benutzt oder nicht benutzt je nachdem wie er die Funktion empfindet. Die Benutzer haben auch direkt die Möglichkeit auf ihrer Startseite einen Vorschlag an den Support zu Senden. Wir lassen die User nicht im Regen stehen sondern binden ihn direkt in den Entwicklungszyklus mit ein. In der Aktuellen Version sieht der Benutzer direkt und sozusagen live, dank AJAX, wer sein Profil besucht oder was die anderen Benutzer für Kommentare über sein Profil schreiben. Es ist sozusagen eine live Community bei der man al

Ist MySpace.com am ende???

MySpace wird langsam zu Microsoft unter den social networking anbietern. Es ist nicht besonders gut, es beherbergt noch nicht erforschte Sicherheitslücken. Aber trotz alledem lassen sich die Nutzer nicht abschrecken. Ja ich bin auch noch Mitglied. >>Muss ja wissen über was ich schreibe<< Aber ich vertraue MySpace nicht mehr. Denn auf MySpace finden vermehrt sogenannte phising Attacken statt. Also irgendwelche leute versuchen an eure Passwörter zu kommen. Leider sind diese Leute recht erfolgreich. Also dank der schlampereien bei MySpace. So kann man dort die identität eines anderen annehmen und dessen Freunde mit links zu einer phishing Seite zu Posten. Nicht schlecht. MySpace verliert in den westlichen Ländern immer mehr an Benutzer, was zu einem an der Sicherheit liegt und zum anderen an der unübersichtlichkeit des ganzen Systemes. Zum Beispiel facebook kommt viel übersichtlicher daher. Klar man kann nicht so viel umstellen, Farben usw. Aber dafür wirkt es sauber und man

So schnell warst du noch nie.......

So schnell warst du noch nie, unter diesem Motto wurde das social network com-one gestellt. Dieses noch recht kleine Soziale Netzwerk verspricht eine hohe geschwindigkeit in der man untereinander interagiert. Dass soll heißen, wenn ich auf meiner Startseite bei com-one verweile muss ich nichts neu laden. Der Status ticker checkt alle paar Sekunden ob ich eine neue Nachricht habe und das beste ich kann nahezu live sehen wer sich mein Profil anschaut. Endlich verpasse ich nichts mehr im Netzwerk. Die Plattform befindet sich noch im Aufbau aber ich habe schonmal nen link vorbereitet. Alle essentiellen Funktionen sind schon da, auch auf ne verknüpfung zu Youtube wurde nicht verzichtet. Für alle die Spass an geschwindigkeit haben, nur zu empfehlen. Das ganze kommt in einem quitschbunten Design daher. Und auch was Positives, die Daten werden nicht wie woanders an dritte verkauft ;-) Link: com-one

Pimp my MySpace Profile

Da das Pimpen von StudiVZ doch ein wenig langweilig ist, und leider nur für einen selbst ist. Habe ich mich etwas umgeschaut und MySpace für mich entdeckt. Dort sehen es wenigstens alle wenn man sein Profil umbastelt. Nun habe ich ein kleines (Werbefreies) Css zusammengebastelt. Mit dem das Profil light and glossy wirkt. Dies ist ein luftiges Design, siehe Bild. Damit ihr dieses Design in euer Profil einfügen könnt, müsst ihr nur das gesammte css in der kleinen Textbox unten markieren (STRG + A ) und dann kopieren (STRG + C). Dann bei MySpace in euer Profil einfügen. Also "Profil bearbeiten", und dort zum Beispiel in das Feld "über mich" einfügen. LayoutBox: <br /><style>.blacktext12 {display:none !important;}.profileInfo, .contactTable,.userProfileURL ,.userProfileDetail, .latestBlogEntry, .blurbs, .friendSpace, .friendsComments, .friendsComments {background-image:url("http://einrichten-direkt.de/pink/myspacebg.png") ;color:pink;}.profileIn