no one is safe ...

Browser

Invasion of the Browser Snatchers: The Art of Combining Web Pen Testing Techniques Part III

Core Security organisiert regelmäßig unterschiedlichste Security Webcasts. Dieses mal steht der lange ersehnte dritte Teil von “Invasion of the Browser Snatchers: The Art of Combining Web Pen Testing Techniques Part III” – with Ed Skoudis and Kevin Johnson of InGuardians an.

MS09-002 - Client Side Attacks

Bereits in einem früheren Blogeintrag verlinkte ich auf ein sehr gutes Video in dem verschiedenste Angriffsvektoren von Client basierenden Angriffen (Client Side Attacks) dargestellt werden. In diesem Blogeintrag wird die Anwendung bzw. Umsetzung eines Angriffs auf eine Schwachstelle des Internet Explorers vorgeführt. Die Schwachstelle wird im Microsoft Security Bulletin MS09-002 detailliert beschrieben und stellt einen direkten Angriff auf den Client (in diesem Fall auf den Browser) dar. Wie aus dem Bulletin erkennbar ist, wird die Schwachstelle von Microsoft kritisch eingestuft da sie sich unter Umständen zur Ausführung von Schadcode eignen soll.

Folgender Screencast stellt die Schwachstelle an einem Laboraufbau detailliert dar:



Security Plugins for Firefox - Update 16.12.2009

Bei der Durchführung von Sicherheitsaudits ist der Browser mittlerweile zu einem der wichtigsten Tools geworden! Wenn man sich ansieht was man aus einem handelsüblichen Firefox mit weiteren, kostenlosen Plugins so machen kann ist das auch nicht weiter Verwunderlich.