Changes

About four months ago I published my last post and a couple of things changed in the meantime. But who cares πŸ™‚

Since a few weeks I’m back at a project called “Kali“. Kali is a linux-distribution for pentesters and people who are interested in security. The reason why I’m saying “back” is that I was already part of the project a few years ago (~2005). A lot of thing happend in the meantime but now I’m proud to be part of this amazing project again.

I changed a couple of things as well but I’m sure you will notice that πŸ™‚

Posted in published | Leave a comment

Hoehere Rechte in Webanwendung erlangen

Vor nicht so langer Zeit durfte ich mir wieder zwei Webanwendungen anschauen. Beide Anwendungen erforderten eine personalisierte Anmeldung (die habe ich bekommen) und Benutzer konnten verschiedene Rechte haben. Das ganze lief unter dem Motto “Schau mal was du an Luecken/Problemen findest”. Wer mich kennt weiss, dass total gerne… nach Problemen in Anwendungen schaue. Ich sage bewusst nicht hacken, da ich aus meiner Sicht nicht das Know-How von *richtigen* Hackern habe.

Ich habe beide Anwendungen erst einmal automatisiert mit einem sogenannten Web Vulnerability Scanner nach moeglichen Auffaelligkeiten untersucht. Der Vorteil solcher Scanner ist, dass sie viele Pruefungen in verhaeltnismaessig kurzer Zeit durchfuehren koennen. Allerdings hat so ein Scanner auch seine Grenzen (siehe unten). Ausserdem muessen die Resultate in der Regel auch noch mal durch eigene Tests verifiziert werden.

Das passt insofern, als dass es aus meiner Sicht Pflicht ist, sich das Ziel auch noch mal selber anzuschauen. In meinem Fall also die Webanwendung einfach mal zu benutzen und nach Auffaelligkeiten schauen. Ich habe dafuer meinen Browser inklusive des Tamper Data– und Web Developer-Plugins genutzt.

Ich habe in beiden Anwendungen einige kritische Punkte gefunden. Der kritischste Punkte war allerdings, dass man sich als Benutzer selber hoeher privilegierte Rechte vergeben konnte. Wie das?

In beiden Systemen gab es die Moeglichkeit sein eigenes Benutzerprofil anzupassen. Nicht sichtbar fuer den Anwender, aber mit Hilfe von Web Developer darstellbar, waren allerdings Felder mit Namen wie “role”, bzw. “UserRole”. Wenn man nun also sein Profil angepasst hat konnte man auch gleich die Werte entsprechend veraendern. Hat man so zum Beispiel die “UserRole” von “2” auf “7” gesetzt war man anschliessend Administrator innerhalb der Anwendung.

Meiner Meinung nach sollten Entwickler immer hinterfragen, ob solche Informationen zum Anwender uebertragen werden muessen. Und wenn ja, sollte man immer auch pruefen, ob das, was da zurueck kommt, korrekt ist. Ist es richtig, dass ich zum Anwender “UserRole=2” schicke und “UserRole=7” zurueck bekomme?

Posted in published | Leave a comment

Besucher auf Xing identifizieren

Fuer die, die auch den kostenfreien Teil von Xing nutzen, koennte folgendes ganz interessant sein.

Auf der rechten Seite werden ja die “Besucher Ihres Profils” angezeigt. Allerdings werden nicht die Namen der Besucher, sondern nur der “Nur fΓΌr Premium-Mitglieder”-Text angezeigt. Da ich aber oft einfach neugierig bin habe ich mal geschaut, ob man nicht doch Informationen ueber den unbekannten Besucher erhaelt. Relativ erfolgreich ist nachfolgender Weg.

Ich kopiere mir die URL des Besucherbildes und erhalte etwas, das etwa so ausschaut: https://www.xing.com/pubimg/users/0/9/9/465455b95.10413293,10.30×40.jpg. Das ist der Link auf ein arg minimiertes Profilbild. Wenn man nun den Teil “.30×40” loescht haben wir eine groessere Version des Bildes. Die URL nehme ich nun und uebergebe die der Google-Bildersuche. In vielen Faellen gibt es gleich einen Link auf das Xing-Profil des dann nicht mehr anonymen Besuchers. Und wenn es nicht gleich ein Link auf Xing ist, ist es moeglicherweise einer auf Linkedin oder ein anderes Soziales Netzwerk.

Es passiert aber auch, dass man nichts findet oder der Besucher kein Profilbild hat. Dann ist man natuerlich so schlau wie vorher πŸ˜‰

Posted in published | Leave a comment

Import "meiner" Adminstories-Beitraege

So, habe ich das auch geschafft. Ich habe nun mal alle Beitraege in mein Blog uebernommen, die ich im Rahmen des adminstories-Projektes (das Dirk und ich gemeinsam betrieben hatten) geschrieben hatte. Dirk hat dieses zwar auch alle noch mal komplett unter adm.d5e.org dokumentiert, aber ich bin auf einen Teil meiner Beitraege auch stolz, so dass diese prima ins Blog passen. Und ausserdem lockern sie das Blog auf, so dass es nicht mehr nur ein Meckerblog ist. πŸ™‚

Posted in published | Leave a comment

blunderbuss by Fairlight

Toll…

Posted in published | Leave a comment

RadioTux und ich

Seit Ende 2010 helfe ich bei RadioTux. Ich bin einer der Administratoren, der schaut, dass die Infrastruktur von RadioTux laueft. Vor einigen Tagen nun hatten wir eine Klausurtagung. Und ich muss sagen, es war klasse.

Leute, die man sonst nur ueber Mailinglisten, oder maximal deren Stimme aus dem Podcast, kennt, auf einmal in Farbe zu sehen ist schon toll. Vor allem wenn man sich so prima versteht. Auch wenn wir einige heisse Diskussionen hatten, so haben wir ausserhalb des Programms unheimlich viel Spass miteinander gehabt.

Spass hatte ich natuerlich daran einem der Kollegen, der bald Vater wird, Schauergeschichten ueber das Vater-sein zu erzaehlen πŸ™‚ Aber ich habe natuerlich auch ausdruecklich auf die Freuden hingeweisen, die man in der Zeit hat, wo der Nachwuchs schlaeft.

Auf jeden Fall habe ich in den Tagen das Team und auch die Struktur, die Rund um das eigentliche Podcasten existiert, so gut kennen gelernt, dass ich mich vielleicht auch mal an das Podcasten trauen werde.

Posted in published | Leave a comment

Revision 11

Vermutlich werden es alle schon mitbekommen haben. Die Revision 11 ist ja nun seit ein paar Tagen vorbei. Es waren wieder viele prima Produkte dabei. Eine Liste aller Results gibt es, wie gehabt, bei pouet.net. Um keine Ergebnisse vorweg zu nehmen hier noch mal ein aelteres Teil. Veroeffentlicht wurde das Ding 1993 auf “The Party”.

Posted in published | Leave a comment

Nach der Ubucon 2010

So, die Ubucon 2010 ist seit einer Woche vorbei. In den Tagen seit der Ubucon hatte ich extrem wenig Zeit. Aber so langsam normalisiert sich alles wieder πŸ™‚

Zur Ubucon kann ich nur sagen, dass es auch dieses Jahr wieder ein cooler Event war. Es war total toll mal wieder Leute zu treffen die man selten sieht. Und es war toll Leute zu treffen die man sonst nur von Mailinglisten kennt.
Gemeinsam mit Dirk habe ich dieses Jahr ein Vortrag gehalten. Thema war “Bare Metal Restore”. Das ganze haben wir angereichert mit den Erfahrungen des Ausfalls unseres Servers Anfang des Jahres. War eine klasse Erfahrung und mal schauen. Vielleicht mache ich naechstes Jahr was eigenes?

Neben der Erstellung des Vortrages war ich dieses Jahr auch Teil der Organisation. Es war fuer mich eine interessante Erfahrung eine solche Veranstaltung mitzuorganisieren. Zwar durfte ich auch schon groessere Veranstaltungen (Fete, bis 1.500 Leute) mitorganisieren, aber auch eine solche Veranstaltung hat die ein oder andere Herausforderung parat πŸ™‚ Mal schauen ob ich bei der Planung einer moeglichen Ubucon 2011 wieder dabei sein darf und moechte.

Zumindest kommen in naher Zukunft einige neue Aufgaben auf mich zu. Bis dato habe ich bereits punktuell bei der Serveradministration des ein oder anderen Ubuntu-bezogenen Servers geholfen. Zukuenftig werde ich, so der aktuelle Plan, der vierte Mann bei der Administration einiger weiterer deutschen Ubuntu-bezogenen Server sein. Das wird sicher prima und ich freue mich Bestandteil des Deutschen Serverteams zu sein!

Posted in published | Leave a comment

Programm Ubucon 2010, jetzt auch schoen

Nachdem wir Anfange letzter Woche nun das Programm fuer die Ubucon 2010 freigeschaltet hatten, haben wir uns nun noch mal an das aufhuebschen der Programmseiten gemacht. Des Weiteren haben wir nun auch eine Uebersicht der Redner und fuer die Redner, die uns mit Informationen versorgt haben, auch eine eigene Rednerseite eingerichtet. Nachteil am einpflegen des Programms ist, dass man sich mit jedem Programmpunkt auseinander setzt und dabei schnell feststellt, dass es mehr gute Vortraege gibt als man Zeit zu schauen hat πŸ™‚

Posted in published | Leave a comment

Progamm Ubucon 2010, Presse

Na sowas. Es gab zur Ubucon 2010 ja schon was auf heise open. Dass nun Golem einen Beitrag zum gerade veroeffentlichten Programm bringt finde ich aber mal ueberraschend und… toll πŸ™‚ Das kann nur helfen. Danke!

update:
Huch, Pro-Linux bringt auch gerade was.

Posted in published | Leave a comment