[write-up] Insomni'hack Teaser - Smartcat 1 & 2

This years Insomni'hack teaser, an internet-of-things themed capture-the-flag contest, lasted 36 hours and started on Jan 16 at around 10 am local (Berlin) time. I decided to participate together with a couple of guys from the workgroup for computer security of TU Berlin, the AGRS. So I woke up in time and made m...

Weiterlesen...

[write-up] HITCON CTF 2015 - Simple (Crypto 100)

From Oct 17 10:00 AM til Oct 18 10:00 PM the HITCON CTF Qualification round took place and I decided to have a look at some of the tasks together with my brother. We were not actively trying to solve problems for the whole time due to the fact that we were both kind of ill and needed some more rest than usual.Nevertheless the contest was great fun and we really enjoyed ...

Weiterlesen...

[write-up] hack.lu - PHPGolf

"Hack.lu is an open convention/conference where people can discuss about computer security, privacy, information technology and its cultural/technical implication on society" The 2015-edition of the "hack.lu" conference took place from 20-22 October 2015 in Luxembourg. Part of the conference was a capture the flag (CTF) that could be attended both online and on-site. I ...

Weiterlesen...

[write-up] Ekoparty CTF - Crypto 50, 100, 200

"Ekoparty takes place annually in Buenos Aires. In this event, attendees, guests, specialists and references on the subject from around the world, have the opportunity to engage with the latest technological innovations, vulnerabilities and tools, in a relaxed environment of knowledge sharing." The 2015-edition of the "Ekoparty" conference took place from 21-23 October ...

Weiterlesen...

[write-up] hack.lu - GuessTheNumber

"Hack.lu is an open convention/conference where people can discuss about computer security, privacy, information technology and its cultural/technical implication on society" The 2015-edition of the "hack.lu" conference took place from 20-22 October 2015 in Luxembourg. Part of the conference was a capture the flag (CTF) that could be attended both online and on-site. I ...

Weiterlesen...

Gefahr Versionsverwaltungen - Git

Im der Reihe "Gefahr Versionsverwaltungen" schaue ich mir verschiedene Softwarelösungen zur Versionsverwaltung im Hinblick auf die Verwendung in Verbindung mit Webseiten genauer an. Dabei beschreibe ich, welche Probleme bei dieser Verwendung auftreten können, wie diese ausgenutzt werden und wie man sich gegen diese Schwachstellen schützen kann.Im zweiten Teil sollte ...

Weiterlesen...

Gefahr Versionsverwaltungen - Apache Subversion

Im der Reihe "Gefahr Versionsverwaltungen" schaue ich mir verschiedene Softwarelösungen zur Versionsverwaltung im Hinblick auf die Verwendung in Verbindung mit Webseiten genauer an. Dabei beschreibe ich, welche Probleme bei dieser Verwendung auftreten können, wie diese ausgenutzt werden und wie man sich gegen diese Schwachstellen schützen kann.Im ersten Teil geht es ...

Weiterlesen...

Blacklist umgehen - ein Beispiel aus der Praxis

Um Angriffe auf die eigene Webseite zu unterbinden setzen viele Unternehmen auf eine Blacklist. Das ist eine Liste an Begriffen, die in normalen Anfragen nicht vorkommen. Trifft die Webanwendung auf eine Anfrage mit einem dieser Begriffe, so leitet sie auf eine Fehlerseite um oder ersetzt den Begriff. Richtig eingesetzt, kann eine solche Liste helfen, Angriffe zu unterb...

Weiterlesen...

h1.nobbd.de - Der inoffizielle HackerOne Bug-Bounty-Überwachungs-Bot.

Immer mehr Unternehmen bieten heute ein Bug-Bounty oder "Responsible Disclosure" Programm an, bei dem Entwickler und Hacker unter geregelten Bedingungen Sicherheitslücken melden können und dafür belohnt werden. Der Anbieter spezifiziert die Richtlinien, die Seiten die untersucht werden sollen und die Lücken an denen er interessiert ist. Dann kann sich jederman im Ra...

Weiterlesen...

Verbreitete Fehler beim Einsatz einer Blacklist gegen XSS-Lücken.

Cross-Site-Scripting Lücken entstehen auf einer Webseite an Stellen, an denen Inhalte, auf die ein Nutzer einen Einfluss hat, in die Webseite eingebunden werden. Durch speziell veränderte Eingaben kann ein Angreifer aus dem Kontext, wie einem HTML-Element oder einer JavaScript Anweisung, ausbrechen und dann eigenen JavaScript Code ausführen.Kommt ein Nutzer dann z.B....

Weiterlesen...

Woher kennen Hacker und Bots meine Wordpress-Loginnamen?

Jeder, der über längere Zeit einen Wordpress-Blog betrieben hat, und einmal in seine Logfiles geschaut hat, kennt das Problem. Die Rede ist von unautorisierten Login-Versuchen.Immer wieder versuchen sich Unbefugte per Hand oder mithilfe von Bots, die automatisiert IP-Adressen wechseln und so ein Blockieren dieser schwierig machen, Zugriff zum eigenen Blog zu verschaff...

Weiterlesen...