Archive for the ‘Allgemein’ Category

GFI WebMonitor Admin UI Remote Script Code Injection

Mittwoch, August 25th, 2010

Today I released a security advisory regarding GFI WebMonitor. WebMonitor is a filtering and monitoring solution for web traffic, which also protects against viruses, spyware, malware and phishing scams.

During a quick security analysis of the product, i figured out a way to inject script code, that will be executed automatically within the Administrator UI.

The advisory can be found here: GFIWebMonitor.txt

Added by Admin:  A screenshot, where i injected an iframe into the Admin Interface… just to visualize it to GFI’s security response :)

iframe.png

Posted in linkedin, Advisories, Allgemein | 2 Comments »

Season Opening 2010

Freitag, Juni 4th, 2010

Alle Jahre wieder wird die Tauchsaison in heimischen Gewässern eröffnet. Zum einen um die Funktionsfähigkeit der Ausrüstung vorm Urlaub zu checken und zum anderen, um in Übung zu bleiben.

Also haben wir letztes Wochenende unsere Ausrüstung geschnappt, ins Auto geworfen und sind nach BaLi gefahren.

Der Badesee Linkenheim ist ein leicht zu tauchendes Gewässer und bietet neben ausreichend Parkplätzen, einen schönen, flachen  Einstieg mit Sandstrand und recht viel “Großfisch” in Form von Karpfen und Hechten.

Die Wassertemperatur war irgendwo zwischen 15-17C, und die Sichtweite zwischen 1-4 Meter.

 Spass hats gemacht, und zwei Tauchgänge wurden geloggt…. nächster Halt ist das Rote Meer in 10 Tagen….

Strand

Posted in Diving, Allgemein | 1 Comment »

Atta

Freitag, Juni 4th, 2010

Aufräumen hat doch auch seine Vorteile…. ich habe gestern eine ältere Ausgabe der KES gefunden… und darin einen Artikel von mir zum Thema AJAX-Sicherheit…

Ja genau.. es geht um den sicheren Umgang mit Reinigungsmitteln, und wie man damit eine McGyver-Bombe bauen kann.

Guckst du hier:

http://www.oliverkarow.de/cruft/Ajax_aber_sicher.zip

PS: Vorsicht, da eingescannt und gezippt > 3 MB

Posted in weninteressierts, Allgemein | 1 Comment »

Astaro Security Gateway V7 Vulnerabilities

Freitag, November 28th, 2008

Some weeks ago i discovered some vulnerabilities within Astaro Security Gateway V7.

Among other features, the ASG works as a Webfilter, to regulate employees webbrowsing activity.

Due to weak input filtering, an attacker can use the vulnerabilities to inject persistant script code, which will be executed inside the ASG’s admin console.
It is also possible to conduct cross site scripting attacks against the webusers, protected by the ASG, due to a XSS vuln within the webbroxies error message handling.

All vulnerabilities are meanwhile fixed by the vendor. A detailed advisory will be published, soon ( or less soon, depending on my sparetime ;) )

Posted in linkedin, Advisories, Allgemein | 1 Comment »