Oliver's Blog Yet Another Needless BLOG

26.8.2015

Octogate UTM Admin Interface Directory Traversal

Filed under: Advisories,Allgemein — oliver.karow @ 16:32

October last year, I had a quick look at the Octogate UTM (virtual) Appliance, which is an Application Firewall, Deep Inspection Firewall, Intrusion Detection and Prevention device for SMB.
Because of limited spare time, I stopped after I discovered the first vulnerability. In this case, I was able to access all configuration files and scripts, inside and outside of the webroot, with the privileges of the httpd, without authentication.

Today, after approx 10 month, I decided to clean up my HDD, and to publish an Advisory, which you can find here: http://www.oliverkarow.de/research/octogate.txt

One little step into a more secure world 😉

25.8.2010

GFI WebMonitor Admin UI Remote Script Code Injection

Filed under: Advisories,Allgemein,linkedin — oliver.karow @ 12:29

Today I released a security advisory regarding GFI WebMonitor. WebMonitor is a filtering and monitoring solution for web traffic, which also protects against viruses, spyware, malware and phishing scams.

During a quick security analysis of the product, i figured out a way to inject script code, that will be executed automatically within the Administrator UI.

The advisory can be found here: GFIWebMonitor.txt

Added by Admin:  A screenshot, where i injected an iframe into the Admin Interface… just to visualize it to GFI’s security response 🙂

iframe.png

4.6.2010

Season Opening 2010

Filed under: Allgemein,Diving — oliver.karow @ 11:52

Alle Jahre wieder wird die Tauchsaison in heimischen GewĂ€ssern eröffnet. Zum einen um die FunktionsfĂ€higkeit der AusrĂŒstung vorm Urlaub zu checken und zum anderen, um in Übung zu bleiben.

Also haben wir letztes Wochenende unsere AusrĂŒstung geschnappt, ins Auto geworfen und sind nach BaLi gefahren.

Der Badesee Linkenheim ist ein leicht zu tauchendes GewĂ€sser und bietet neben ausreichend ParkplĂ€tzen, einen schönen, flachen  Einstieg mit Sandstrand und recht viel „Großfisch“ in Form von Karpfen und Hechten.

Die Wassertemperatur war irgendwo zwischen 15-17C, und die Sichtweite zwischen 1-4 Meter.

 Spass hats gemacht, und zwei TauchgĂ€nge wurden geloggt…. nĂ€chster Halt ist das Rote Meer in 10 Tagen….

Strand

Atta

Filed under: Allgemein,weninteressierts — oliver.karow @ 11:17

AufrĂ€umen hat doch auch seine Vorteile…. ich habe gestern eine Ă€ltere Ausgabe der KES gefunden… und darin einen Artikel von mir zum Thema AJAX-Sicherheit…

Ja genau.. es geht um den sicheren Umgang mit Reinigungsmitteln, und wie man damit eine McGyver-Bombe bauen kann.

Guckst du hier:

http://www.oliverkarow.de/cruft/Ajax_aber_sicher.zip

PS: Vorsicht, da eingescannt und gezippt > 3 MB

28.11.2008

Astaro Security Gateway V7 Vulnerabilities

Filed under: Advisories,Allgemein,linkedin — oliver.karow @ 13:10

Some weeks ago i discovered some vulnerabilities within Astaro Security Gateway V7.

Among other features, the ASG works as a Webfilter, to regulate employees webbrowsing activity.

Due to weak input filtering, an attacker can use the vulnerabilities to inject persistant script code, which will be executed inside the ASG’s admin console.
It is also possible to conduct cross site scripting attacks against the webusers, protected by the ASG, due to a XSS vuln within the webbroxies error message handling.

All vulnerabilities are meanwhile fixed by the vendor. A detailed advisory will be published, soon ( or less soon, depending on my sparetime 😉 )

Powered by WordPress