lost+found: Was von der Woche übrig blieb
Heute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.
- Ronald Eikenberg
Die Sicherheitsfirma Sucurity hat den Google-Bot bei einem SQL-Injection-Angriff ertappt. Der Bot war offenbar speziell präparierten Links auf einer anderen Seite gefolgt.
Wer ein Ziel für seine Fingerübungen als Penetration Tester oder zum Ausprobieren neuer Werkzeuge braucht, findet die passenden Opfer im OWASP Vulnerable Web Applications Directory. Es verzeichnet verwundbare Web-Apps, die man sich teilweise selbst installieren oder auch direkt via VM-Image an den Start bringen kann.
Security-Diplome wie CISSP sind Krücken und noch dazu schlechte – das belegen zwei Forscher an konkreten Beispielen.
Wer sich schon mal gefragt hat, was auf seinem Linux-Rechner so zu holen wäre, werfe doch mal das hier präsentierte Python-Skript an. Es gibt den Inhalt des Gnome-Keyrings aus. Viele werden eine Überraschung erleben, was da im Lauf der Zeit so alles angesammelt hat (unter anderem alle WLAN- und mit Chrome gespeicherten Passwörter).
Ein weiteres nützliches Python-Skript ist HashTag.py: Es versucht den Typ eines ihm vorgesetzten Passwort-Hashes zu erraten.
Solar Designer hat ein Tool vorgestellt, das PHP-Zufallszahlen analysiert, die mit mt_rand() erzeugt wurden. php_mt_seed ermittelt aus Zahlensequenzen in weniger als einer Minute die in Frage kommenden Seeds. Mit dem richtigen Seed lassen sich dann die folgenden Zufallszahlen vorhersagen. Das Tool profitiert dabei von der Tatsache, dass das Seed nur 32 Bit hat, die sich recht schnell durchprobieren lassen.
Bei YouTube können Sie durch die Vorträge der Defcon21 stöbern. (rei)
