no one is safe ...

Webaudit

Portable Security Apps

Posted Sat, 2009-06-06 22:11 by m1k3

Immer wieder kommt es bei Sicherheitsaudits zu dem Punkt wo man zwar keine Programme installieren kann aber man hat die Möglichkeit seine eigenen Programme auszuführen. Man sollte dann nur wissen welche Programme es gibt die man ohne Installation verwenden kann ...

Hier einige Programme die unter Umständen sehr hilfreich sein können:

basic Webaudit script aka. "script your way through backtrack - part 1"

Posted Sat, 2009-06-06 18:48 by m1k3

Bei verschiedensten Schwachstellenanalysen, Pentests, Sicherheitsaudits, ... hat man immer wieder damit zu tun dass man plötzlich 20++ Webserver auf Schwachstellen analysieren soll. Manche davon haben Content, manche haben nur die Default IE oder Apache Webseite. Analysiert gehören sie dennoch alle! Man weiss ja nie ob nicht auf dem einen oder anderen ein Admininterface verfügbar ist ;)

SWF and the Malware Tragedy

Posted Mon, 2008-12-29 19:40 by m1k3

Auf der CCC Webseite ist die Zusammenfassung zu finden.

Some shout outs:
Nocolas Cannasse
Mark Dowd
Ben Kurtz
Stefano di Paola
Jose Nazario

Flash is hard to analyse and so vulnerabilities are hard to detect. AS3 wird bisher noch nicht übermäßig genutzt!

For analysis you have to run the Flash file ;)

Analysis Methodes:

  • Search for known paterns
  • Search for opcode ocurrence (has the Flash banner to load ext. URLs?)