0d011 – Cross-Site-Scripting & KRACK

In der Hausmeisterei geht es heute um unseren Wechsel der DAW hin zu Reaper/Ultraschall. Außerdem gehen wir auf ein Feedback ein, dass uns freundlicherweise per Mail erreichte. Nach dem Newsteil versucht Sven zu erklären (nicht einfach, wenn man nur erzählen und nicht zeigen kann), was Cross-Site-Scripting ist, was damit erreicht wird und wie man es verhindern kann. Stefan widmet sich im zweiten Thema der Key Reinstallation Attack (kurz KRACK), die kurz nach unserer letzten Episode in den Medien einschlug und unnötige Hektik verbreitete. Auch dieses Mal gibts wieder ein Geschenk für Sven, der bei der Gelegenheit erfährt, warum ihm Stefan über das Jahr die vielen Geschenke gemacht hat ;)

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

In der Hausmeisterei geht es heute um unseren Wechsel der DAW hin zu Reaper/Ultraschall. Außerdem gehen wir auf ein Feedback ein, dass uns freundlicherweise per Mail erreichte. Nach dem Newsteil versucht Sven zu erklären (nicht einfach, wenn man nur erzählen und nicht zeigen kann), was Cross-Site-Scripting ist, was damit erreicht wird und wie man es verhindern kann. Stefan widmet sich im zweiten Thema der Key Reinstallation Attack (kurz KRACK), die kurz nach unserer letzten Episode in den Medien einschlug und unnötige Hektik verbreitete. Auch dieses Mal gibts wieder ein Geschenk für Sven, der bei der Gelegenheit erfährt, warum ihm Stefan über das Jahr die vielen Geschenke gemacht hat 😉

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Hausmeisterei

Reaper, Ultraschall, Winamp, 2Dogs1Hat, Patreon, Flattr, Kambrium

Datenverlust des Monats

16.10.2017: Pizza Hut warns that website, app hacked, Pizza Hut @ IdentityForce

17.10.2017: Microsofts BugTracker stand 2013 ein bisschen offen, 30.10.2017: Googles jetzt auch

30.10.2017: Waldbrände in Kalifornien haben einen Teil des HP-Archivs vernichtet, Atombunker wird zum Hochsicherheits-Data-Center, ebay-Kleinanzeigen: Bunker zu vermieten

News

16.10.2017

WPA2 ist ein wenig Kaputt
RSA ist auch ein bisschen kaputt (Twitter)

yubico – ist auch betroffen
TPM ist dadurch ziemlich kaputt
Zertifizierung für Infinions RSA Bibliothekt vom BSI (PDF)

USA – Strafverfolger dürfen Fingerabdruck Sperre mit Finger des Verdächtigen öffnen lassen

17.10.2017

Microsoft mag den User “User” nicht mit Lösungsansatz von Systemd abgeguckt

19.10.2017

VM-Ware hat ein Problem mit dem aktuellem Flash-PlugIn

30.10.2017: Trojaner Ursnif erkennt Mausbewegungen
01.11.2017: CryptoShuffler Stole $150,000 by Replacing Bitcoin Wallet IDs in PC Clipboards

Thema 1: Cross-Site-Scripting (XSS)

Bart SimpsonTelefonstreiche in Moes Taverne, Wikipedia: Cross-Site-Scripting, OWASP: Cross-site Scripting, Types of XSS, Youtube: XSS Attacking Tutorial, DOM-based XSS, File Upload XSS, XrSS Prevention Cheat Sheet, OWASP WebGoat Project, OWASP Vulnerable Web Applications Directory Project,

Thema 2: Crank (Die Panik um die KRACK-Attack)

Crank (IMDB); Die KRACK-Attack; Paper zur KRACK-Attack (PDF); Bürger-CERT

Fun and other Thinks

Stefans Weihnachtswunsch (Amazon),Wenger Schweizer Offiziersmesser Giant Messer

Aufgenommen am: 06.11.2017

Veröffentlicht am: 09.11.2017

Intro & Outro Chiptune: Pumped by ROCCOW