Archiv der Kategorie: Sicherheit

Peinliche Sicherheitslücke bei PayPal

Veröffentlicht am von

“Sicherererer” ist was anderes. Wie Heise Security heute berichtete, hat ein Leser desselbigen Dienstes eine Lücke auf der Website des Bezahldienstes PayPal entdeckt, durch die Code eingeschleust werden konnte. So hätte beispielsweise durch ein abgebrochenes JavaScript als Sucheingabe einen Dialog auslösen – oder schlimmer: Zugangsdaten abfangen können.

Nach bisherigen Erkenntnissen war nur das Suchformular betroffen.

Sogenannte Cross-Site-Scripting-Lücken entstehen, wenn Benutzereingaben auf einer Website nicht gefiltert werden. Handelt es sich bei solchen Eingaben um Code, beispielsweise um JavaScript-Code:

" alert("Hallo Welt!")

Bei einfach geskripteten PHP-basierten Sites funktionieren auch Eingaben wie:

?><?php echo "Hallo Welt"; ?>

In der Vergangenheit ließen sich auch oft Websites durch Manipulation der URLs modifizieren, weil beispielsweise Pfade zu einzubindenden Dateien geändert werden konnten:

http://www.example.org/?site=impressum.php

Weiterlesen

Anonymous gegen die NATO

Veröffentlicht am von

Hacker der Anonymous-Bewegung haben Server der NATO angegriffen und angeblich über ein Gigabyte Daten erbeutet. Zwei Dokumente aus den Jahren 2007 und 2008 wurden dennoch als "Beweis" veröffentlicht. Mit der imageVeröffentlichung weiterer Daten wolle man sich aber zurückhalten, weil dies unverantwortlich wäre, gab man über das Twitter-Konto @AnonymousIRC bekannt.

Unterdes wurde bekannt, dass sich teile NATO-Website durch (SQL)-injections manipulieren lassen.

Chinesische Regierung angeblich im Besitz von Windows-Quellcodes

Veröffentlicht am von

ScreenShot351

Bei Auf der Whistleblower-Plattform Wikileaks sind Dokumente aufgetaucht, aus denen hervorgeht, dass sich die chinesische Regierung Zugang zu den Quellcodes des Betriebssystems Windows und möglicherweise andere Microsoft-Produkte verschafft haben soll. Urheber dieser Dokumente soll das US State Department sein.

Microsoft hat zwei chinesischen Sicherheitsdienstleistern im Rahmen eines Lizenzprogramms Zugriff auf die Quellcodes gewährt. Die Dienstleister sollen den Code an die chinesischen Behörden weitergeleitet haben.

Die Firmen, namentlich CINTSEC und TOPSEC wurden mithilfe von Regierungsgeldern gegründet und hätten laut Stellungnahme von Microsoft nur in einem “eng gesteckten Rahmen” Zugang zu den Codes gehabt.

Jetzt steht die Befürchtung im Raum, die Chinesen könnten ihr Wissen über Windows ausnutzen, um einen Cyber-War anzufangen. Von CINTSEC soll bekannt sein, dass sie ausgebildete Hacker an die Regierung abstellen, um sich an Cyberwarfare-Programmen beteiligen.

Bild: dcmaster, flickr.