iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehenLernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 15.04.)
iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehenLernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 15.04.)
heise+ JahresaboJetzt alle heise+ Beiträge inklusive unserer Magazin-Inhalte für 30 Tage gratis testen und anschließend im Jahresabo 36 Euro sparen. Bereits Magazin-Abonnent? Dann lesen Sie sogar noch günstiger!
iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen vermeidenLernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 12.02.)
rC3: Massive Schwachstellen in Apps von MobilfunkanbieternDie Web-Anwendungen einiger großer österreichischer Mobilfunkprovider sind anfällig für "Sea Surf"-Angriffe. Ein Klick reicht aus für eine Kontoübernahme.
HTTP: Cross-Site-Zugriffe mit CORS gezielt steuernBrowser blockieren HTTP-Zugriffe von JavaScript-Code auf fremde Domains. Manchmal will man genau das aber zulassen. Mit CORS-Headern löst man diesen Konflikt.
Triviale Hoster-Sicherheitslücken gefährden 7 Millionen DomainsFünf der weltgrößten Webhoster hatten die Konten ihrer Kunden nur ungenügend gegen Angriffe geschützt.
Neues WLAN im ICE nimmt Privatsphäre nicht so ernstEine Analyse des Chaos Computer Club Hannover offenbart, was die neue WLAN-Technik in ICEs über eingeloggte Nutzer preisgibt. Der für die Technik verantwortliche Anbieter Icomera hat offensichtlich einige Sicherheits-Grundlagen nicht berücksichtigt.
Sicherheitsupdate für Django 1.8 und 1.9 veröffentlichtGrund für das Update des Webframeworks ist eine Schwachstelle, die im Zusammenspiel mit Google Analytics Djangos CSRF-Schutz angreifbar macht. Das aktuelle Django 1.10 ist nicht betroffen, und ältere Varianten als 1.8 erhalten keine Security-Patches mehr.
Joomla-Version 3.4.6 stopft kritische SicherheitslückeÜber eine Schwachstelle in fast allen Joomla-Versionen können Angreifer eigenen Code aus der Ferne ausführen. Die Entwickler empfehlen Nutzern die abgedichtete Version so schnell wie möglich zu installieren.
l+f: Mal wieder DNS-Angriffe auf RouterGezielter Spam enthält Links, die beim Klick den eigenen Router kompromittieren und dessen DNS-Einstellungen übernehmen.
Immer Ärger mit Samsung-Dienst "Find My Mobile"Erneut wurde ein Sicherheitsproblem in dem Dienst bekannt. Durch die Schwachstelle können Angreifer die Android-Geräte von Samsung unter Umständen aus der Ferne mit einem beliebigen Code sperren.
Sichere Java-Webanwendungen, Teil 2: Cross-Site Request ForgeryEine durch Cross-Site Request Forgery (CSRF) verwundbare Webanwendung ermöglicht es dem Angreifer, einem Benutzer heimlich Requests unterzuschieben und sie von ihm ausführen zu lassen. Die Protokolle der Webanwendung enthalten dabei gewöhnlich keinen Hinweis auf einen erfolgten Angriff.
lost+found: Was von der Woche übrig bliebWegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-Lücke für Android und Entwickler-Tipps für sichere Apps.
Mail-Adressen bei T-Online lassen sich kapernGelingt es einem Angreifer, sein Opfer in spe auf eine speziell präparierte Internetseite zu locken, kann er dessen Mailadresse bei T-Online dauerhaft übernehmen.
Viele Qnap-Systeme sperrangelweit offenMal eben übers Netz ein belastendes Video der Überwachungskamera löschen oder das Backup des Kollegen abziehen? Bei vielen NAS- und Videoüberwachungs-Systemen des Herstellers Qnap ist das erschreckend einfach.
Gravierende Sicherheitslücken in Qnap-Speicher- und ÜberwachungssystemenMal eben übers Netz ein belastendes Video der Überwachungskamera löschen oder das Backup des Kollegen abziehen? Bei vielen NAS- und Videoüberwachungs-Systemen des Herstellers Qnap ist das erschreckend einfach.
CSRF-Lücke im OpenVPN Access Server geschlossenDurch eine Schwachstelle können sich Angreifer potenziell VPN-Zugänge erschleichen.
Sicherheitsalarm für D-Link-RouterIn den Modellen DIR-300 und DIR-600 klafft eine kritische Sicherheitslücke, durch die Angreifer beliebige Befehle mit Root-Rechten ausführen können -- bei vielen Systemen sogar aus dem Internet. Und der Hersteller will das Problem nicht beseitigen.
Facebook-Lücke erlaubte unbemerkte Webcam-AufnahmenRund vier Monate nachdem zwei Sicherheitsforscher eine Schwachstelle in Facebooks Video-Upload-Funktion meldeten, soll de Lücke geschlossen worden sein. Die Entdecker sind überrascht über die Höhe der von Facebook gezahlten Belohnung.
Mail hackt RouterWenn man bestimmte Router von Arcor, Asus und TP-Link einsetzt, kann schon das Öffnen einer E-Mail weitreichende Konsequenzen haben.
CSRF-Lücken gezielt findenWenn bösartige Webseiten den Router umkonfigurieren oder im Webmail-Frontend eine Weiterleitung einrichten ist meist Cross Site Request Forgery im Spiel. Der CSRFTester von OWASP spürt solche Lücken gezielt auf.
Sicherheitsupdate für DjangoEin Fehler im freien Python-Webframework Django 1.2 hebelt den vor Kurzem eingeführten Schutz vor CSRF-Angriffen aus.