Als ich gestern zufällig auf der Seite eines regionalen Sportmarktes herumsurfte, durfte ich wieder mit erschrecken feststellen, wie leicht es für manche Angreifer ist, die Datenbank-Zugangsdaten des Betreibers zu ermitteln.

Die betroffene Seite basierte auf einer typischen Joomala-Installation, die natürlich nicht regelmäßig vom Administrator aktualisiert wurde und so standen dem Angreifer die Türen natürlich extrem weit offen. Ich kann jetzt natürlich nicht sagen, über welche Lücke das System genau gehackt wurde, aber die Tatsache verleitete mich mal wieder dazu, ein wenig über die Sicherheit von easyLink V3 nachzudenken.

Aktuell sind mir persönlich keine Sicherheitslücken in der Software bekannt, aber das bedeutet auf der einen Seite jetzt nicht, dass die Software zu 100% sicher ist und auf der anderen Seite bedeutet es auch nicht, dass es keinen Grund für euch gibt möglichen potenziellen Angreifern das Leben nicht schon im Vorfeld schwerer zu machen.

mehr…

Durch mehrere kürzlich bekanntgewordene Schwachstellen in easyLink v2.x ist es potenziellen Angreifern möglich, Daten aus der Software auszuspähen und teilweise sogar zu modifizieren.

Als erste Reaktion auf die Schwachstellen wurde von einem ehemaligen Mitarbeiter der Firma IDS-Design ein entsprechender Workaround erstellt, mit dessen Hilfe es den ersten Nutzern möglich gewesen ist, die Schwachstellen zu schliessen. Auf Grundlage dieser Anleitung haben wir nun einen entsprechenden Patch für euch erstellt.

Betroffen von den Schwachstellen sind folgende Versionen

• easyLink v2.4.3
• easyLink v2.4.4
• easyLink v2.5.0
• easyLink v2.6.0
• easyLink v2.6.1
• easyLink v2.6.2
• easyLink v2.6.3
• easyLink v2.6.4

mehr…

Aufgrund einer Schwachstelle, die kürzlich in easyLink v2.x bekanntwurde, unterziehen wir beide Softwarereihen derzeit einem ausführlichem Sicherheitscheck und in diesem Zusammenhang ist uns aufgefallen, dass 90% aller Nutzer die Installationsdateien auf dem Server belassen.

Diese Vorgehensweise stellt ein extrem hohes Sicherheitsrisiko dar, denn einem Angreifer ist es somit durch eine erneute Ausführung des Setups möglich, das ACP Passwort bzw. in der V3 den Adminaccount zu überschreiben um anschließend vollen Zugriff auf das ACP zu erhalten. mehr…

Der Einsatz von Captchas zum Schutz vor unerwünschten SPAM Bots gleicht leider nicht erst seit einigen Monaten einem Kampf gegen Windmühlen, denn während die SPAM Mafia täglich aufrüstet, lassen und die Hersteller ihrerseits neue Inovationen schmerzlich vermissen.

Das Blatt könnte sich aber eventuell bald wieder wenden, zumindest wenn es nach den Betreibern der neuen Plattform CaptchaAD geht, denn das junge Startup macht sich derzeit auf den Weg, die Captcha-Welt zu reformieren. Hinter CaptchaAD steckt die einfache aber effektive Idee, die bisher bekannten Rechenaufgaben, Sinnbildchen oder alphanumerischen – Kombinationen durch zielgruppengerechte Werbung zu ersetzen.

Praktisch muss man sich das ganze in etwa so vorstellen, dass der Besucher in Zukunft statt des bisher bekannten Captchas einen Werbebanner oder ein Werbevideo etc. zu sehen bekommt. Anschließend muss er eine Frage beantworten, die sich auf die gerade gesehene Werbung bezieht. Eben dieses erfordert auf Seiten des Besuchers ein aktives wahrnehmen der Situation und somit sollen die neuen Captcha’s als 100% Bot-Sicher eingestuft werden.

Darüber hinaus bietet die neue Technik dem Betreiber auch noch einige finanzielle Anreize, denn schließlich verdient er mit Hilfe der angezeigten Werbung auch noch ein paar Cent bzw. Euro hinzu und genau dieser Punkt dürfte wohl für viele Webmaster ein Anreiz sein, die Leistungen von CaptchaAD zumindest einmal näher zu betrachten.

Persönlich finde ich die Idee wirklich gut und wenn das System erstmal etabliert ist, dann dürfte es sicher auch eine Alternative für unser easyLink darstellen, doch zum jetzigen Zeitpunkt würde mich eher mal eure Meinung interessieren. Wie findet Ihr das Konzept und würdet Ihr CaptchaAD in euren Seiten einsetzen?

[via. Alles2null]

Grundsätzlich ist es das Anliegen eines jeden Entwicklers, die Software so sicher wie möglich zu gestalten und dazu gehört in der Regel auch, dass man sehr konsequent die Nutzung von HTML in den Formulareingaben unterbindet bzw. verbietet.

Leider ist jedoch noch nicht bei jedem Nutzer angekommen, wie groß das Sicherheitsrisiko ist, wenn derartige Maßnahmen aus der Software eigenhändig entfernt werden und daher tauchen z.B. auch immer wieder Fragen zur Nutzung von HTML in den Beschreibungstexten auf.

Warum dieses jedoch wirklich keine gute Idee ist und welche Gefahren durch Cross-Site Scripting (XSS) bzw. durch den daraus resultierenden Identitätsklau entstehen können, dass dokumentiert ein interessantes Flash-Video, welches ich heute beim Netgestalter 2.0 gefunden habe.

Das Video wurde zwar in englisch produziert, doch es vermittelt in einfachen und verständlichen Worten, die Basics zum Thema XSS und von daher dürfte es auch für alle die jenigen interessant sein, die der englischen Sprache nicht unbedingt mächtig sind.

Hier geht es direkt zum Video

Wir wurden heute von den Secunia – Sicherheitexperten auf eine kritische Lücke in der Software easyTrade hingewiesen. Diese Lücke erlaubt es einem Angreifer, durch die Übergabe von manipulierten SQL Parametern in der detail.php, sensible Daten aus der Datenbank auszulesen oder gar zu modifizieren.

Einen Sicherheitspatch, der diese Lücke schließt, haben wir selbstverständlich direkt erstellt und auf unserem Server zum kostenlosen Download bereitgestellt. Wir empfehlen allen easyTrade – Nutzern diesen Patch schnellstmöglich zu installieren um etwaigen Problemen vorzubeugen.

Edit – 18.06.2008 – 13:40 Uhr

Weitere Informationen zu der Lücke sind nun ebenfalls bei Secunia verfügbar:
http://secunia.com/advisories/30673/