Samstag, 19. Februar 2022

Hacking - Zed Attack Proxy (ZAP) Sicherheitslücken im Browser- und App-Traffic erkennen

Mit Hilfe von OWASP Zed Attack Proxy (ZAP) ist es möglich den Browser- und App-Traffic automatisiert nach kritischen Lücken zu durchsuchen und so auch Programmierfehler zu finden.

Zed Attack Proxy ist eine Open Source Software, welche von Sicherheitsforschern entwickelt wird. Mit Hilfe einer bereitgestellten VM (Virtuelle Maschine) OWASP BROKEN WEB APPLICATIONS PROJECT, welche eine Demo-Website mit absichtlichen Sicherheitslücken enthält, kann ZAP ohne Einschränkungen gestest werden.

So ist es zum Beispiel möglich, mit Hilfe von

  • Command Injection eine web shell zu starten und somit Zugriff auf den Server zu gelangen. Dies lässt sich verhindern, indem man alle Benutzereingaben validiert (Shell-Escapes und Sonderzeichen entfernen) und nur Befehle zulässt, welche zwingend erforderlich sind.
  • XSS bzw. Cross-Site-Scripting eigenen Code auf einer fremden Webseite temporär oder dauerhaft unterzubringen. Auch hier sollten Benutzereingaben validiert werden, um z.B. bei "Gästebucheinträgen" folgendes <script>document.location = "http://www.hacked.com";</script> zu verhindern.
  • SQL-Injection Code in SQL-Anweisungen über Webseiteneingaben auszuführen, um in die SQL-Abfragen einzugreifen, welche an die Datenbank gesendet werden. Zum Beispiel User: admin Passwort: ' or '1'='1 => SELECT * FROM users WHERE name='admin' and password='' or '1'='1' => Passwort für admin wird nicht benötigt!

 


Weitere Hacking-Tools finden sich auch in meinem Beitrag Hacking - Nützliche Tools (PassView, Windows Login Unlocker, Recovery, Process Hacker, Network Sniffer).

Sonntag, 13. Februar 2022

Linux - Solaar: Geräte-Manager für Logitech Unifying Empfänger

Die Software zur Konfiguration der Unifying Empfänger wird offiziell nur für Windows und macOS von Logitech angeboten. Mit Hilfe von Solaar, ist dies aber auch für Linux möglich.

Solaar kann mittels GUI oder per Kommandozeilen verwendet werden. Für verschiedene Linux Distributionen sind vorgefertigte Pakete verfügbar.

Für GNOME 3 und Unity kann zum Beispiel das Paket solaar-gnome3 installiert werden:
sudo apt-get install solaar-gnome3 

Ansonsten muss das Paket solaar installiert werden:
sudo apt-get install solaar

Es werden alle Logitech Empfänger und Geräte angezeigt, die Solaar erkennt. Jetzt können neue Geräte gekoppelt oder alte Geräte entkoppelt werden.

Eine ausführliche Anleitung findet sich unter https://pwr-solaar.github.io/Solaar/usage.

Sonntag, 6. Februar 2022

Internetzugang zu langsam? Verbraucherrechte im neuen TKG!

Seit dem 01. Dezember 2021 gibt es einen stärkeren Kundenschutz im neuen Telekommunikationsgesetz. Hierdurch wurden die Vorgaben des europäischen Kodex für die elektronische Kommunikation umgesetzt.

Einen guten Überblick bieten hierfür die folgenden Seiten:

Und speziell für den Fall, dass  der Internetzugung gar nicht zur Verfügung steht, ist der folgende Teil des TKG relevant:

  • § 58 TKG - Einzelnorm (gesetze-im-internet.de)
  • "(3) Wird die Störung nicht innerhalb von zwei Kalendertagen nach Eingang der Störungsmeldung beseitigt, kann der Verbraucher ab dem Folgetag für jeden Tag des vollständigen Ausfalls des Dienstes eine Entschädigung verlangen, es sei denn, der Verbraucher hat die Störung oder ihr Fortdauern zu vertreten, oder die vollständige Unterbrechung des Dienstes beruht auf gesetzlich festgelegten Maßnahmen nach diesem Gesetz, der Verordnung (EU) 2015/2120, sicherheitsbehördlichen Anordnungen oder höherer Gewalt. Die Höhe der Entschädigung beträgt am dritten und vierten Tag 5 Euro oder 10 Prozent und ab dem fünften Tag 10 Euro oder 20 Prozent der vertraglich vereinbarten Monatsentgelte bei Verträgen mit gleichbleibendem monatlichem Entgelt, je nachdem, welcher Betrag höher ist."