Probleme beim Einloggen
Nur f├╝r XING Mitglieder sichtbar Web and Mobile Application development agency
Hi All,
I am founder of an IT company called AGS Cybertech and Software Solution Private Limited.
Our services and skills criteria are as follows:
1. We do all kinds of website design and development
2. iOS and Android app development.
Our rate for development is $15/hour or prefer to fix rate also.
Lets get our professional relationship growing financially with your all great business development skills and resources.
Please let me know your thoughts on this. I would be available to discuss over skype, email, etc.
Have a nice time ahead.
Regards,
Muniraj
email- support@agscybertech.com
WhatsApp: 91 9993557712
Skype: mtarsuliya ( Muniraj)
Andrea Held Hacking ÔÇô Pentesting und Angriffsversuche auf Anwendungen?
In diesem HandsOn-Workshop greifen Trainer und Teilnehmer gemeinsam eine Java-Anwendung an, um Schritt f├╝r Schritt die Rolle eines Pentesters einzunehmen. Sie lernen den Umgang mit professionellen Security-Werkzeugen anhand zahlreicher Praxis├╝bungen sowie die allgemeine Vorgehensweise von Pentestern bei Angriffen auf Webanwendungen. Selbstverst├Ąndlich werden wir uns auch um Abwehrma├čnahmen zur Absicherung der gefundenen L├╝cken k├╝mmern, im Vordergrund steht jedoch der gezielte Umgang mit Angriffswerkzeugen zur (teil-automatischen) Durchf├╝hrung einer Sicherheitsanalyse.
Nach dem Workshop verf├╝gen Sie ├╝ber praktische Erfahrungen zur Angriffsdurchf├╝hrung auf Webanwendungen, welche Sie im Rahmen Ihrer eigenen Softwareentwicklung umsetzen k├Ânnen, um die Sicherheit Ihrer Projekte nachhaltig zu erh├Âhen. Am Ende erhalten Sie s├Ąmtliche Materialen des Trainings als PDF zur Nachbereitung.
Ziele
* Fundierter ├ťberblick ├╝ber typische Sicherheitsl├╝cken in Webanwendungen
* Einsatz von Pentestwerkzeugen zur Toolgest├╝tzten ├ťberpr├╝fung der Sicherheit von Webanwendungen
* Erlernen dar├╝ber hinausgehender manueller Angriffstechniken als Teil eines Pentests
* Kenntnis ├╝ber die verschiedenen Absicherungsma├čnahmen zur Anwendungsh├Ąrtung
Inhalte
* Einf├╝hrung in Werkzeuge von Angreifern (ÔÇťHacker-WerkzeugkastenÔÇŁ) zum Auffinden und Ausnutzen von Sicherheitsl├╝cken in Webanwendungen.
* Geleitetes Angreifen der Demo-Anwendung: Diese Punkte werden jeweils durch die Teilnehmer eigenst├Ąndig unter Anleitung durchgef├╝hrt. Hierbei kommen manuelle Techniken sowie Toolgest├╝tzte Angriffe vor.
* Erarbeitung von prim├Ąren und sekund├Ąren Abwehrma├čnahmen zum Absichern der L├╝cken und H├Ąrtung der Anwendung.
* Einsatz von OpenSource DAST- und SAST-Werkzeugen zum Pentesting und zur statischen Codeanalyse.
* Blind und Super-Blind Exfiltration von Daten aus einer Zielumgebung out-of-band mittels der Seitenkan├Ąle Timing und DNS.
* Einsatz von OpenSource Werkzeugen zur Infrastruktur-Analyse (Blackbox und Whitebox).
* Optional bei Interesse: Java-spezifische Angriffe auf Deserialisierungs-Schnittstellen.
* Checklisten zum Vorgehen von Pentests sowie zur Umsetzung von * H├Ąrtungsma├čnahmen zur Absicherung.
Methoden: Pr├Ąsentation, Vortrag, ├ťbungen am Rechner, Diskussion
Zielgruppe: Interessierte Mitarbeiter aus den Bereichen Softwareentwicklung, Qualit├Ątssicherung sowie Pentesting bzw. Verantwortliche aus dem Sicherheitsmanagement.
Zertifikat: Sie erhalten ein pers├Ânliches Teilnehmer-Zertifikat nach Abschluss dieses Workshops.
Trainer: Der Trainer Christian Schneider ist als freiberuflicher Whitehat-Hacker und Trainer t├Ątig. Als Softwareentwickler mit mittlerweile 20 Jahren Erfahrung ÔÇô ein Gro├čteil davon im Java-Umfeld ÔÇô fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Seit ├╝ber 12 Jahren unterst├╝tzt er zahlreiche Unternehmen im Bereich der sicheren Softwareentwicklung durch Security Architecture Consulting, Penetrationtesting und Inhouse-Trainings.
Termin: Der eint├Ągige Workshop findet im Rahmen der PreCon der IT-Tage, der Jahreskonferenz des Fachmagazins "Informatik Aktuell" am 11.12.2017 im Kap Europa, Kongresshaus der Messe Frankfurt statt. Der Workshop ist auch einzeln buchbar.
Ticket-Preise: Ab 479 Euro zzgl. MwSt.
Wir w├╝rden uns freuen, Sie in Frankfurt zu den IT-Tagen begr├╝├čen zu d├╝rfen!
Herzliche Gr├╝├če
Das Team der "Informatik Aktuell"
und der "IT-Tage"
Ralf Zschemisch Websicherheit: PHPMailer bringt eine b├Âse Weihnachts├╝berraschung
Hallo,
In der PHP-Bibliothek PHPMailer wurde eine schwerwiegende Remote-Code-Execution-L├╝cke gefunden. Bislang gibt es nur sp├Ąrliche Details. PHPMailer wird von vielen Webapplikationen genutzt.
Update 27.12.2016 16:52
Heise berichte auch
Sicherheitsforscher haben eine L├╝cke in der weit verbreiteten Webmail-Bibliothek PHPMailer ver├Âffentlicht: Eine fehlerhafte Eingabe├╝berpr├╝fung l├Ąsst sich zum Ausf├╝hren externen Codes missbrauchen.
https://www.heise.de/newsticker/meldung/Luecke-in-PHPMailer-erlaubt-die-Ausfuehrung-fremden-Codes-3582072.html
Inzwischen gibt es f├╝r die L├╝cke auch einen Namen nebst dazugeh├Âriger Webseite: PwnScriptum.
http://pwnscriptum.com/
Update 28.12.2016 14:40
Die Sicherheitsl├╝cke ist in der Version 5.2.19 nicht geschlossen
PHPMailer < 5.2.18 Remote Code Execution PoC Exploit (CVE-2016-10033)
+
PHPMailer < 5.2.20 Remote Code Execution PoC Exploit (CVE-2016-10045)
(the bypass of the first patch for CVE-2016-10033)
Zitat:
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
Das Problem liegt hier im Detail. PHPMailer validiert E-Mail Adressen strikt nach RFC 3696 Standard. Dieser Standard erlaubt aber auch Leerzeichen in E-Mail Adressen, wenn diese von Anf├╝hrungszeichen umschlossen sind.
Beispiel:
$mail->SetFrom("\"Attacker\\' -Param2 -Param3\"@test.com", 'Client Name');
will result in the followig list of arguments passed to sendmail program:
Arg no. 0 == [/usr/sbin/sendmail]
Arg no. 1 == [-t]
Arg no. 2 == [-i]
Arg no. 3 == [-f\"Attacker\\\]
Arg no. 4 == [-Param2]
Arg no. 5 == [-Param3"@test.com']
An attacker could pass the -X parameter of sendmail to write out a
log file with arbitrary PHP code.
This makes the current latest 5.2.19 and 5.2.18 versions of PHPMailer
vulnerable to Remote Code Execution despite the patch.
Dadurch ist es m├Âglich den Parameter -X bei sendmail zu setzen und das Programm somit zu bewegen, die Logausgabe in eine auf dem Webserver erreichbare Datei zu schreiben.
Update: 29.12.2016 6:37
PHPMailer 5.2.21 steht zur Verf├╝gung
https://github.com/PHPMailer/PHPMailer/releases
Beste Gr├╝├če
Ralf Zschemisch
https://blog.r23.de
Ralf Zschemisch
+4 weitere Kommentare
Letzter Kommentar:

Moderatoren

Infos zu den Moderatoren

├ťber die Gruppe "PHP-Entwicklung"

  • Gegr├╝ndet: 03.03.2005
  • Mitglieder: 17.785
  • Sichtbarkeit: offen
  • Beitr├Ąge: 11.335
  • Kommentare: 13.469
  • Marktplatz-Beitr├Ąge: 8