Sebastian hat vor einigen Monaten an einem CTF (capture the flag) teilgenommen. Eine Aufgabe mit der er dabei konfrontiert wurde, war das Wiederherstellen eines .git Repository’s auf einem Webserver, welcher Directory-Listing eingeschaltet hatte. Mit der Auflistung der Verzeichnisinhalte ist das Auslesen vergleichsweise einfach, aber geht es auch ohne? Schließlich kann man damit eine Menge Schindluder treiben, etwa fremde .git Repository auslesen und somit Zugriff auf den Quellcode einer Webseite und ggf. Passwörter erhalten.

Also beschäftigten wir uns etwas mehr mit der Materie, schrieben einige kleine Tools und haben ein paar Beobachtungen angestellt, die wir gern weitergeben möchten. Das Ergebnis war zwar nicht so dramatisch, wie befürchtet, aber dennoch überraschend.

In diesem Blogpost werden wir einen einfachen Informationsleak vorstellen, nämlich unautorisierte AXFR Anfragen. Diese können genutzt werden, um die DNS Informationen eines bestimmten Zieles auszulesen. Nicht selten werden so als intern/privat klassifizierte DNS Einträge aufgedeckt.

Wir haben die Alexa Top 1 Millionen Webseitenliste auf dieses Problem untersucht und sind dabei zu einem ernüchternden Ergebnis gekommen.

Sebastian hat vor Kurzem einen interessanten CSRF Bypass gefunden, den wir euch natürlich nicht vorenthalten möchten.

2014 war mal wieder ein spannendes Jahr. In diesem Artikel würden wir gern von den Highlights berichten und warum 2014 ein besonders gelungenes Jahr als Internetwache war. Am Ende des Artikels möchten wir noch unsere Pläne für 2015 erläutern.

Vor circa einem Jahr entdeckten wir eine kleine XSS Lücke in Skypes Videomail API - durch die wir einen Eintrag in der Hall of Fame von Microsoft bekommen haben.

Während der Teilnahme an einem Bug Bounty Programm entdeckte Sebastian eine “script-context” XSS mit dem Injektionspunkt als String. Nahezu alle modernen Browser (z.B. FireFox, Chromium & der Internetexplorer) kodieren das Apostroph. Trotzdem ist eine Ausnutzung dieser Lücken unter Umständen möglich.

Vor über einem Jahr haben wir eine Remote Code Execution Lücke auf attack-secure.com gefunden. Auf dieser Seite werden Einsteiger-Kurse im Themenbereich Sicherheit angeboten. Diese werden vom Security Researcher Mohamed Ramadan betreut.

Letztes Jahr (circa Mitte Oktober) arbeitete Sebastian an einem Projekt in Ruby on Rails. Während der Implementierung einer Funktion fiehl ihm auf, dass es durch das Schachteln von “Form helpers” möglich war eine XSS auszuführen.

Es ist schon etwas länger her, dass wir einen Artikel über Schwachstellen veröffentlicht haben. Aber heute haben wir uns die Arbeit gemacht einen kleinen Blogpost zu verfassen, indem wir euch über zwei kleine SQL-Injections in einem AVIRA Produkt berichten wollen. Das Ganze ist etwa ein Jahr her.

Es ist einiges an Zeit vergangen, seit wir den letzten Blogpost veröffentlich haben. Damit nicht einfach eine Lücke entsteht wollen wir an dieser Stelle kurz ein Statusupdate bzw. eine Übersicht über die Ereignisse der letzten Monate geben.