The following article describes common security issues regarding misconfigured sudoers’ files. The article focuses on a single entry which contains several security issues: hacker10 ALL= (root) /bin/less /var/log/* The article is split into the following five chapters: PART 1: Command Execution PART 2: Insecure Functionality PART 3: Permissions PART 4: Wildcards PART 5: Recapitulation In this […]
Most XML parsers are vulnerable for XML external entitiy attacks (XXE) by default. So what’s your mitigation? The easiest way to prevent XXE is to disallow the Doctype declaration completely: import java.io.File; import org.jdom.Document; import org.jdom.JDOMException; import org.jdom.input.SAXBuilder; public class XEE_Disallow_Doctype_Decl { public static void main(String[] args) { String element= null; SAXBuilder objBuilder = null; […]
The community hosts a neat little project called AntiSamy[1] which lends its name from the well known MySpace worm[2] and which comes in handy when trying to mitigate Cross-site Scripting[3] attacks. Whereby XSS is sometimes hard to mitigate when business is asking for HTML formatting in user supplied inputs. At that point, AntiSamy might become […]
As penetration testers, our main goal is to identify as many vulnerabilities as possible. This allows our customers to more objectifly assess their security level and to shut as many doors as possible which an intruder could use to break in. This process needs to be based in respect of cost-benefit, depending on risk probabily […]
Am 14. Juni 2012 fand in Zürich bei der Digicomp der Hacking Day 2012 statt. Mit einem interessanten Angebot an Vorträgen konnten sich IT Security Interessierte über aktuelle Cyber Bedrohungen informieren. Die Keynote machte Thomas Dübendorfer (Google) und danach gings mit Triple Tracks weiter. Ich habe am Vormittag eine Stunde OWASP TOP 10 Theorie vermittelt […]
Am 12. Juni 2012 fand in Zürich die ISSS Zürcher Tagung zum Thema Auditing und Penetration Testing statt. Mit zwei technischen und drei juristischen Vorträgen wurde das Thema von vielen Seiten beleuchtet. Ich wurde angefragt, meine Meinung zum Thema Penetration Testing aus Anbieter Sicht zu formulieren. Nicht als Vendor Pitch, sondern ehrlich gemeinte Fakten. Welche […]
Today, Compass Security published a public advisory regarding nevisProxy, a product from AdNovum, used by several Swiss financial institutions. nevisProxy is a secure reverse proxy with an integrated web application firewall (WAF). It acts as a central upstream entry point for web traffic to integrated online applications. nevisProxy controls user access and protects sensitive data, […]
Die Cyber Security Austria sucht die besten Hacker aus Österreich. Dem Gewinner winkt ein attraktiver Preis und ein Stipendium. Die Compass Security AG stellt die Technik und das Hacking-Lab bereit. In einer Qualifikation von Juli bis November qualifizieren sich die Finalisten für einen Final im November 2012. Wollen Sie mehr über das Hacking-Lab erfahren? Über […]
FileBox is a secure file transfer solution, developed and provided by Compass Security. When we look back, the solution was required couple of years ago, in order to exchange confidential information, reports and forensic results with our customers. E-Mail encryption like PGP or S/MIME is still not supported everywhere and has its size limitations. Eventually, […]
Als Vorstandsmitglied von ISSS bin ich zum Thema Mobile Banking befragt worden. Das ist ein Thema, mit dem ich mich zurzeit stark beschäftige, auch weil ich kürzlich Mobile Phones forensisch untersucht habe und sich die Compass Security stark mit iPhone Trojanern, API-Hooking und Keyloggern beschäftigt. Grundsätzlich bin ich der Meinung, dass aktuell (18.5.2012) die Nutzung […]
© 2024 Compass Security Blog