Author Archives: TomAte92

Fakten zum Thema Web Security

Veröffentlicht von am 30. April 2012 Keine Kommentare

Gerade aus gegebenem Anlass, ein kleiner Post zum Thema Web Security. Es gibt immer wieder Menschen die sich als „Profi“ Serveradmins ausgeben und sich oft nicht um die Sicherheitslücken auf ihren Webseiten kümmern, bzw. die eingesetzte Serversoftware nicht aktuell halten. Deswegen hier mal ein paar Fakten zum Thema Web Security

  • XSS (Cross-Site-Scripting) Lücken sind nicht schlimm bzw können niemanden schaden.

Wenn ich so etwas lese, könnte ich mir die Haare büschelweise ausreißen. Eine solche Behauptung ist einfach schlichtweg FALSCH! Eine XSS Lücke sollte man genauso ernst nehmen wie jede andere Sicherheitslücke. Über eine XSS Lücke können schön Cookies geklaut werden und im extremen Fall wenn es eine persistente XSS Lücke ist kann ein Schadcode direkt auf dem Webserver gespeichert werden. Weiterlesen »

[HowTo]OpenVPN als Gateway nutzen

Veröffentlicht von am 30. April 2012 Keine Kommentare

In Zeiten von Internetzensur und  Internetdiensten die nur bestimmte IP-Bereiche zulassen gibt es nichts besseres als seinen eigenen kleinen OpenVPN Server als Gateway zum Internet zu nutzen. Außerdem kann man somit auch ein wenig anonymer im WWW unterwegs sein. Deswegen hier mal eine kleine Anleitung zum Installieren eines OpenVPN Servers und Debian. Ziel ist es, das mein ganzer Internettraffic meines PCs über den Serve,r der z.B. in den USA steht, weiterzuleiten.

Kleine Anmerkung am Rande, ich werde hier nicht ins kleinste Detail gehen, sondern nur eine grobe Anleitung gebe. Weitere Details und eine ausführliche Anleitung könnt ihr auf der OpenVPN Webseite nachlesen. Als Server wird Debian 6 eingesetzt und als Client-PC Windows7

OpenVPN installieren

#apt-get install openvpn

Vorbereitung um die Keys zu generieren

#mkdir /etc/openvpn/easy-rsa
#cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa

“certificate authority” generieren

#cd /etc/openvpn/easy-rsa
#source ./vars
#./clean-all
#./build-ca

Server Keys generieren

#./build-key-server servername
#./build-dh
#./build-key-pkcs12 client

unter /etc/openvpn/ die server.conf anlegen.

nano /etc/openvpn/server.conf

server.conf

server 10.8.0.0 255.255.255.0

dev tun
port 443
proto udp

ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/servername.crt
key easy-rsa/keys/servername.key
dh easy-rsa/keys/dh1024.pem

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

ping-timer-rem
keepalive 20 180

persist-key
persist-tun

comp-lzo

# user nobody     #unprivilegierten User  unter dem OpenVPN nach dem Start laufen könnte
# group nogroup   #Gruppe

verb 3
mute 50

Dann einfach die “ca.crt”; “client.crt”; “client.key” von /etc/openvpn/easy-rsa/keys auf euren PC ziehen und in den config-Ordner von openvpn packn. Danach die Datei client.ovpn mit eurem Texteditor erstellen.

client.ovpn

client

remote 13.33.33.37 443 #IP Adresse des Servers und Port
proto udp
dev tun

# Pfad zu den Keys anpassen bei bedarf
ca ca.crt
cert client.crt
key client.key
ns-cert-type server

persist-key
persist-tun

comp-lzo
verb 3
mute 50

Außerdem sollte noch die /etc/rc.local um folgendes erweitert werden damit das Masquerading auch nach einem Neustart des Servers noch funktioniert.

#natting for openvpn
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to eure.ip.hier.einfügen

(evtl. muss das Netzwerkinterface bei euch abgeändert werden. Statt eth0 kann es sein das bei euch venet0 hinkommt! Kommt drauf an ob ihr einen vServer oder einen dedicated Server habt.)

Mittels “/etc/init.d/openvpn start” den VPN Server starten und glücklich sein. Wichtig damit der VPN Server auch läuft muss bei eurem Server TUN/TAP aktiviert sein!

XSS dfb.de

Veröffentlicht von am 2. Februar 2012 Keine Kommentare

Hatte mal vor einige Wochen schon auf der dfb.de Webseite eine XSS Lücke gefunden gehabt und leider vergessen diese zu melden. Letzte Woche ist mir dann beim Aufräumen auf dem PC die txt Datei wieder in die Hände gefallen und habe dann die Lücke gemeldet! Leider habe ich auch hier keine Rückmeldung auf meine Mail erhalten, aber hauptsache die Lücke ist geschlossen.

Habe es auch leider verpennt einen Screenshot von der XSS zu machen.

Aber so sollte es immer sein, Lücke wird gemeldet und nach dem melden auch direkt vom Betreiber geschlossen!

XSS boerse.ard.de

Veröffentlicht von am 1. Februar 2012 Keine Kommentare

Kurz und knapp: Hatte eine XSS Lücke bei der boerse.ard.deWebseite gefunden. Habe die Lücke gemeldet und nach knapp einer Woche war diese dann geschlossen!

XSS bei boerse.ard.de

Finde es schade, dass ich keine Antwort auf meine E-Mail erhalten habe, aber was solls, hauptsache die Lücke wurde geschlossen!

Universitäten in Deutschland – Sicherheit ist unwichtig?!?

Veröffentlicht von am 30. Januar 2012 1 Kommentar

Wenn man schon Universität hört, denkt man doch direkt an die ach so klugen Professoren die mit einem Ihr Wissen teilen möchten. Nun gut, warum wird deren Wissen dann nicht verwendet um die zahlreichen Sicherheitslücken auf den jeweiligen Uni-Webseiten zu schließen. Es ist eigentlich richtig faszinierend wie so viele unterschiedliche Universitätswebseiten einfach alle mehrere Sicherheitslücken haben. Von ungepatchten Web/Mailservern bis zu einfachen XSS Lücken und potenziellen SQL-Injections ist einfach alles dabei.

Noch schlimmer ist es finde ich, dass die Mails über die Sicherheitslücken anscheint einfach ignoriert werden oder direkt ohne zu lesen in den Papierkorb wandern. Bis jetzt habe ich schon an 6 verschiedene Universitäten Mails geschrieben weil dort XSS  Lücken und/oder SQL-Injections möglich sind. Aber ich habe noch keine Antwort erhalten noch wurden die Lücken geschlossen. Man bemerke dass die Mails nun schon knapp 6 Wochen her sind.

Habe mittlerweile bei weiteren Uni-Webseiten Lücken gefunden und werde die nun im Laufen der Woche melden, vielleicht gibt es dort Leute die einsichtig sind und Ihre Lücken schließen. Außerdem werde ich noch einen Versuch starten mit den anderen 6 Universitäten Kontakt aufzunehmen damit diese Ihre Lücken auch schließen können.

XSS bei minecraft.net

Veröffentlicht von am 30. Januar 2012 2 Kommentare

Gestern Abend durch einen Zufall eine Cross-Site-Scripting Schwachstelle bei minecraft.net gefunden. Mit der Lücke hätte man Cookies der unwissenden User klauen können und somit hätte einige Accounts den Besitzer wechseln können.
Habe dann heute Morgen den Verantwortlichen für die minecraft.net Webseite via Twitter benachrichtigt und Ihm die Lücke per Mail mitgeteilt. Nach ca. einer Stunde war die Lücke nun geschlossen. Solche Reaktionszeiten wünscht man sich doch wenn man etwas meldet!

XSS bei minecraft.net

Cookies klauen wäre möglich

premiumize.me

Veröffentlicht von am 27. Januar 2012 4 Kommentare

Habe die Tage beim surfen durch das Netz einen netten Dienst gefunden, der vor allem die Personen interessieren könnte die öffters mal legal von OCH laden. Natürlich will man dort immer die volle Geschwindigkeit haben, mehrer Files gleichzeitig laden und das ohne Wartezeit. Bei der breiten Auswahl der ganzen OCH geht es natürlich ins Geld wenn man überall einen Premiumaccount hat.

Der Dienst premiumize.me sorgt da für Abhilfe. Im Prinzip kann man sich dort den Zugriff auf mehrere OCH Premiumaccounts kaufen. Aber man kann mit premiumize.me auch auf andere Dienste zugreifen die in Deutschland eigentlich gesperrt sind. Oder auch gesperrte Youtubevideos schauen!

Von Vorteil ist es auch noch das der gesamte Traffic (z.B. beim downloaden von einem OCH) erst über die Server von premiumize.me geht und man somit auch in einer gewissen Weise anonym ist! Die Geschwindigkeit beim downloaden ist auch ganz ok, zumindes habe ich mit meiner 16k Leitung immer Fullspeed gehabt!

Hier mal eine Liste der bis jetzt Unterstützen Dienst

Ich finde den Service echt gut und ist für mich auf jeden Fall sehr nützlich! Werde mir jetzt erstmal nach dem Ablauf von dem Probeaccount einen oder 2 Monate kaufen.

Leider ist es im Moment nur eingeladenen User erlaubt sich anzumelden, aber wer schnell genug ist kann sich gerne über meinen Invite Link hier anmelden: https://secure.premiumize.me/inv/570674586/

Oder einfach mal bei https://cp.ovpn.to/ schauen. Dort gibt es auch Invites!

EDIT://Habe mal die Übersicht der unterstützten Dienste aktualisiert!

OMFG -WTF

Veröffentlicht von am 4. Januar 2012 5 Kommentare

Das dachte ich mir eben als ich auf den Server geschaut hatte. Hab dann mal schnell einen Screenshot gemacht und den Server runtergefahren.

htop- Serverauslastung

Nett nicht wahr? Da hatte jemand wohl was gegen mich O.o Mein ganzes nginx accesslog ist vollgespammt von verschiedenen IP’s die mich da zugespammt hatten. Die meisten habe ich nun via iptables geblockt und hoffe das jetzt mal nix mehr kommt!

In diesem Sinne, einen wunderschönen Guten Morgen

Nginx – Verzeichnis schützen

Veröffentlicht von am 28. Dezember 2011 1 Kommentar

Einfach die Config deines Nginx-Servers um folgendes erweitern! Ich beschütze in meinen Fall einfach mal mein wordpress Adminlogin!

 #Verzeichniss sperren
location /wp-admin/ {
auth_basic "Resticted";
auth_basic_user_file /etc/nginx/htpasswd;
}

In der Datei htpasswd muss der Username und Passwort in der folgenden Form stehen
username:cryptetPW
Das Passwort lässt sich hier verschlüsseln: Klick Hier

Achtung: DeepLinks sind weiterhin ohne Passworteingabe erreichbar!

Battlefield3 Config Utility

Veröffentlicht von am 6. November 2011 Keine Kommentare

Gerade beim Surfen im Web gefunden. Mit dem Battlefield3 Config Utility könnt ihr einige Einstellungen an eurem Game vornehmen ohne dass ihr es starten müsst. So kann man zum Beispiel die Auflösung ändern. Ich finde es recht nützlich, weil wenn man dauernt das Spiel starten muss um seine Einstellungen ändern zu können, ist finde ich recht nervig!

Wer das Battlefield3 Config Utility ausprobieren will kann es hier downloaden