Onion Information

Page Clicks: 0

First Seen: 05/06/2024

Last Indexed: 10/25/2024

Domain Index Total: 219

Skip to content Entries tagged as owasp Related tags dvwa nmap sicherheit software sql injection wordpress xss administration ardour betriebssystem btrfs dateisystem feed interview linux sysadmin programmierung funktional lochkarte objektorientierung prozedural rust session 31c3 32c3 android ankündigung antivirus bsi buffer overflow campusradio ccc chemnitz cpu datenschutz dns dnssec dsgvo google hacking icann informationsfreiheit internet linux-tage meltdown postel pufferüberlauf ransomware schutzziel sendung spectre stack tor wannacry apt debian dpkg ebuild fedora gentoo git rpm versionskontrolle Im Laufe des Jahres sendeten wir verschiedene Beiträge zur IT-Sicherheit. Diese Sendung sollte ein wenig interaktiver verlaufen. Jens installierte dazu auf einem VServer ein Debian GNU/Linux . Dazu kam diverse Serversoftware, wie Apache , MySQL , SSH und anderes, sowie Wordpress , DVWA und kippo . Teile der installierten Software besassen Schwachstellen bzw. DVWA simuliert diverse Schwachstellen. Die Aufgabe der Live-Hörer war es nun, das System anzugreifen. Zur Koordination der Angreifer richteten wir ein Pad ein. Dort sollten die Teilnehmer ihre Erkentnnisse eintragen und so effektiv arbeiten. Gleichzeitig hat das Pad einen Chat zur Koordination. Zu Beginn der Sendung ist Jörg damit beschäftigt, die Zeit, die Jens zum Start des Systems braucht, zu überbrücken. Er erzählt einige Details zu Ringstrukturen im Betriebssystem und hält nochmal Rückschau auf die vergangenen Sendungen. Als die ersten Teilnehmer Hand an das System legen, kommt recht schnell Nmap zum Zuge. Die detaillierte Ausgabe sah folgendermaßen aus: PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0) | ssh-hostkey: 1024 73:76:69:d4:c9:ba:3c:1f:79:23:cc:c1:50:66:44:21 (DSA) |_2048 48:b2:35:16:07:15:87:d9:ed:b5:64:8f:a8:a3:f9:88 (RSA) 80/tcp open http Apache httpd 2.2.22 ((Debian)) |_html-title: Site doesn’t have a title (text/html). 111/tcp open rpcbind? | rpcinfo: | 100000 2,3,4 111/udp rpcbind |_100000 2,3,4 111/tcp rpcbind 2222/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.1 (protocol 2.0) | ssh-hostkey: 1024 c4:e8:bb:ad:3c:eb:01:47:07:8f:8d:15:f1:72:04:79 (DSA) |_2048 00:5b:b0:39:2d:b1:32:ac:06:85:6f:5f:71:63:52:29 (RSA) 3306/tcp open mysql MySQL (unauthorized) 5222/tcp open unknown 5269/tcp open unknown Wir diskutieren die Ausgabe des Programmes und weitere Möglichkeiten von Nmap in der Sendung. In obiger Ausgabe fehlt beispielsweise der Port 2222. Dort lief das Programm kippo. Unter anderen ist zu sehen, dass ein Webserver läuft. Das heißt, mit Hilfe eines Browsers kann man verschiedene Verzeichnisse und Dateien probieren. Automatisiert lässt sich dies auch mit w3bfukk0r durchführen. Dabei fanden sich die Unterverzeichnisse wordpress und dvwa . Das installierte Wordpress war veraltet und hätte dem Angreifer ein paar Schwachstellen geboten. WPScan schaut sich eine Wordpress-Installation an und berichtet wahrscheinliche Schwachstellen. DVWA steht für Damn Vulnerable Web Application. Die Software bietet eine Vielzahl von klassischen Web-Schwachstellen wie SQL Injection, XSS usw. zum Ausprobieren. Wir kommentierten die verschiedenen Funde und das wahrscheinliche Vorgehen. Einige Hörer wünschten sich später mehr solche Live-Hacks. Wir werden uns mal Gedanken dazu machen und vielleicht später wieder eine Sendung in der Richtung machen. Download und Anhören DK026-Live-Hacking.mp3 DK026-Live-Hacking.ogg DK026-Live-Hacking.opus DK26-MP3 als Torrent DK26-OGG als Torrent Musik In der Sendung gab es das Lied Last War von Platinum Sky . Shownotes Die Shownotes müssen noch geschrieben werden. Continue reading "DK26: Live-Hacking" Die Sendung schließt nahtlos an den Vorgänger an. Im Datenkanal 21 sprachen wir hauptsächlich über SQL Injections und Cross-Side-Scripting (XSS). Diesmal wanderten wir grob an der Top Ten des Open Web Application Security Projekts entlang. Zu Beginn der Sendung holten wir die Geschichte über der UEFI-Schlüssel raus, der auf einem frei zugänglichen Server lag. Über die Betrachtung von IT-Sicherheit als Prozess und den Demingkreis ging es dann weiter. Einen zweiten Kreis machten wir um das Erlernen einer Programmiersprache. Früher gab es so tolle Bücher, die versprachen, eine Sprache in Stunden oder höchstens Tagen zu erlernen. Heute gibt es Webseiten, die einen nachhaltigen Ansatz verfolgen. Im weiteren Verlauf sprachen wir einzelne Einträge in den Top Ten an und erzählten etwas zu unseren Erfahrungen. Download und Anhören DK022-OWASP-Top10.mp3 DK022-OWASP-Top10.ogg DK022-OWASP-Top10.opus DK22-MP3 als Torrent DK22-OGG als Torrent Musik Jörg hat sich diesmal Van Syla rausgesucht. Wir spielten zuerst The Death of a Star . Als zweites Lied sollte in der Sendung Memories kommen. Vermutlich war das zu leise, denn in der Livesendung war plötzlich andere Musik (Notprogramm?) zu hören. Ich habe daher das Lied nachträglich in die Aufnahme reingeschnitten. Shownotes Continue reading "DK22: Schwachstellen im Web II (OWASP Top Ten)"