lost+found: SQL-Injection, Twitter, CarShark, PDF-Scanner

SQL-Injection-Prävention der besonderen Art: Laut FAQ der US-Bank Sacramento Credit Union zur geheimen Sicherheitsfrage sind die Wörter insert, delete, update, null und select nicht erlaubt. Mittlerweile hat die Bank die FAQ vom Netz genommen, im Google Cache ist sie jedoch noch zu finden.

Besondere Art von Humor beweist auch die News-Site reddit.com: Ruft man die Site mit Tools wie curl oder wget (wget -S) auf, liefert der Server in den Headern als Server-Info "'; DROP TABLE servertypes; --" zurück. Datensammler könnten so ihr blaues Wunder erleben.

Zwar wurde das erste Botnetz bereits Mitte 2009 über ein Twitter-Konto gesteuert, nun gibt es aber offenbar erste Botnetz-Toolkits von der Stange, mit denen sich dies auf einfache Weise konfigurieren lässt.

Forscher haben im Rahmen einer Studie (PDF) das Tool CarShark entwickelt, mit dem sich der Verkehr auf dem CAN-Bus in Autos belauschen und manipulieren lässt.

Anwender können verdächtige PDF-Dokumente auf eine mögliche Infektion beim Dienst JoeDoc.org testen lassen. Anders als etwa VirusTotal will JoeDoc auch Zero-Day-Exploits erkennen können und den Anwender warnen. Der Upload funktioniert allerdings nur per Mail; bei eventuell vertraulichen Dokumenten sollte man jedoch auf andere Testmöglichkeiten zurückgreifen.
(dab)