Tag: linux

Web Application Security Scanner von Google

07 Apr

Skipfish ist ein in C geschriebenes Kommandozeilen-Tool von Google. Es ermöglicht das Scannen von Webseiten, um mögliche Schwachstellen und Sicherheitslücken früh zu identifizieren. Es geht dabei relativ flott und trotzdem genau zu werke. Der normale Test dauert durchaus einige Stunden, arbeitet trotzdem mit bis zu 2.000 HTTP Anfragen pro Sekunde (dank purem C-Code). Die sehr umfangreiche Testsuite deckt eigentlich alle bekannten Sicherheitsmängel ab und versucht diese in einer Webapplikation zu finden.

Die Software liegt nur als Quellcode vor und muss vor Gebrauch kompiliert werden, hier reicht ein einfaches make unter Linux etc. Falls Fehler auftreten: prüfen ob openssl installiert ist und ob die passenden devel-Pakete dazu vorliegen.

Ein umfangreicher Test prüft dabei auf folgende potentielle Schwachstellen:

  • High risk flaws (potentially leading to system compromise):
    • Server-side SQL injection (including blind vectors, numerical parameters).
    • Explicit SQL-like syntax in GET or POST parameters.
    • Server-side shell command injection (including blind vectors).
    • Server-side XML / XPath injection (including blind vectors).
    • Format string vulnerabilities.
    • Integer overflow vulnerabilities.
  • Medium risk flaws (potentially leading to data compromise):
    • Stored and reflected XSS vectors in document body (minimal JS XSS support present).
    • Stored and reflected XSS vectors via HTTP redirects.
    • Stored and reflected XSS vectors via HTTP header splitting.
    • Directory traversal (including constrained vectors).
    • Assorted file POIs (server-side sources, configs, etc).
    • Attacker-supplied script and CSS inclusion vectors (stored and reflected).
    • External untrusted script and CSS inclusion vectors.
    • Mixed content problems on script and CSS resources (optional).
    • Incorrect or missing MIME types on renderables.
    • Generic MIME types on renderables.
    • Incorrect or missing charsets on renderables.
    • Conflicting MIME / charset info on renderables.
    • Bad caching directives on cookie setting responses.
  • Low risk issues (limited impact or low specificity):
    • Directory listing bypass vectors.
    • Redirection to attacker-supplied URLs (stored and reflected).
    • Attacker-supplied embedded content (stored and reflected).
    • External untrusted embedded content.
    • Mixed content on non-scriptable subresources (optional).
    • HTTP credentials in URLs.
    • Expired or not-yet-valid SSL certificates.
    • HTML forms with no XSRF protection.
    • Self-signed SSL certificates.
    • SSL certificate host name mismatches.
    • Bad caching directives on less sensitive content.
  • Internal warnings:
    • Failed resource fetch attempts.
    • Exceeded crawl limits.
    • Failed 404 behavior checks.
    • IPS filtering detected.
    • Unexpected response variations.
    • Seemingly misclassified crawl nodes.
  • Non-specific informational entries:
    • General SSL certificate information.
    • Significantly changing HTTP cookies.
    • Changing Server, Via, or X-… headers.
    • New 404 signatures.
    • Resources that cannot be accessed.
    • Resources requiring HTTP authentication.
    • Broken links.
    • Server errors.
    • All external links not classified otherwise (optional).
    • All external e-mails (optional).
    • All external URL redirectors (optional).
    • Links to unknown protocols.
    • Form fields that could not be autocompleted.
    • All HTML forms detected.
    • Password entry forms (for external brute-force).
    • Numerical file names (for external brute-force).
    • User-supplied links otherwise rendered on a page.
    • Incorrect or missing MIME type on less significant content.
    • Generic MIME type on less significant content.
    • Incorrect or missing charset on less significant content.
    • Conflicting MIME / charset information on less significant content.
    • OGNL-like parameter passing conventions.
 
0 Kommentare
 

Check My Code – Automatische Codeprüfung für C Programme (online)

14 Mrz

Auf der neuen Webseite checkMyCode.org können Programmierer kostenlos und online direkt ihre in C geschriebenen Programme mit Hilfe von einigen Millionen Regeln prüfen lassen. Die Regeln wurden dabei auf Basis einiger tausend Linux Pakete (200 Millionen LOC) erstellt. Findet die Software einen Regelverstoß, so wird dieser farblich hevorgehoben und kurz erklärt.

Praktisch wie ich finde, so kann man sich selber auf die schnelle überprüfen und findet potentielle Bugs noch bevor man das Programm überhaupt kompiliert hat :). Betrieben wird der Dienst übrigens vom Doktoranden Andrzej Wasylkowski und seinem Professor Andreas Zeller der Saarland Universität.

 
0 Kommentare
 

Operating Systems

01 Okt

An dieser netten Grafik von GraphJam ist auf jeden Fall etwas dran ;).

song-chart-memes-operating-systems

 
1 Kommentar
 

Tux Kreditkarte

19 Aug

Die Linux Foundation bringt euch den Linux Pinguin Tux jetzt auch auf die Kreditkarte.

tux-card

Die VISA-Karte ist eine ganz normale Kreditkarte, welche nur mit dem Tux “gebranded” wurde. Würde ich nicht schon eine Kredtikarte besitzen wäre das sicher meine erste Wahl, sieht im Laden sicher cool aus damit zu bezahlen ;). Wir Europäer müssen aber eh noch warten, die Amis bekommen die Karte natürlich zuerst ;).

 
3 Kommentare
 

Privatix – Anonym und sicher Arbeiten

05 Aug

privatixFreie mobile verschlüsselte Arbeitsumgebung auf USB-Stick oder externer Festplatte zum sicheren Bearbeiten und Mitführen sensibler Daten, für verschlüsselte Kommunikation und zum anonymen Surfen im Internet.

Nicht alle, die sensible Daten bearbeiten oder bei der Internetnutzung und Kommunikation auf Privatsphäre wert legen, haben hierfür immer einen eigenen PC mit sicher eingerichtetem Betriebssystem und den nötigen Tools zur Verfügung bzw. können oder wollen diesen ständig mitnehmen.

Deshalb wurde auf der Basis von Debian GNU/Linux das Privatix Live-System entwickelt. Dabei handelt es sich um ein von USB-Stick oder einer externen Festplatte startendes und einfach zu bedienendes Betriebssystem zur sicheren, mobilen und vor allem Privatsphäre und Vertraulichkeit erhaltenden Internetnutzung und Kommunikation oder zur Bearbeitung und Verschlüsselung sensibler Daten.

Hierfür ist neben Standardanwendungen wie z.B. Browser, E-Mailprogramm, Textverarbeitung und Bildbetrachter zahlreiche Datenschutz- und Verschlüsselungssoftware eingebunden. Private Daten und Einstellungen, wie z.B. Dokumente, E-Mails oder PGP-Schlüssel werden nicht auf dem genutzten PC sondern ausschliesslich auf dem verschlüsselten USB-Stick bzw. auf der verschlüsselten externen Festplatte gespeichert und bleiben so selbst bei Verlust oder Diebstahl des Datenträgers durch ein Passwort geschützt.

Da das komplette Betriebssystem und alle Anwendungen zur Laufzeit von USB-Stick oder von externer Festplatte geladen werden, sind auf dem jeweils verwendeten PC weder freier Speicherplatz noch eine Installation oder bestimmte Betriebssysteme oder Programme erforderlich.

So kann man – ohne der Sicherheit des dortigen, unter Umständen mit Trojanern und Software-Keyloggern verseuchten Betriebssystems vertrauen oder bestimmte Tools voraussetzen zu müssen – fremde Computer nutzen und trotz dieser Mobilität hohe Datenschutzstandards wahren oder sich zusätzlich zu seiner normalen Betriebssysteminstallation auf einem externen Datenträger eine abgeschottete Umgebung für besonders sensible Daten oder Kommunikation einrichten (z.B. bei Tarifverhandlungen, für Onlinebanking, Whistleblowing oder E-Mail-Verschlüsselung).

 
2 Kommentare
 
« Older Entries