Allgemein « Oliver's Blog

26.8.2015

Octogate UTM Admin Interface Directory Traversal

Filed under: Advisories,Allgemein — oliver.karow @ 16:32

October last year, I had a quick look at the Octogate UTM (virtual) Appliance, which is an Application Firewall, Deep Inspection Firewall, Intrusion Detection and Prevention device for SMB.
Because of limited spare time, I stopped after I discovered the first vulnerability. In this case, I was able to access all configuration files and scripts, inside and outside of the webroot, with the privileges of the httpd, without authentication.

Today, after approx 10 month, I decided to clean up my HDD, and to publish an Advisory, which you can find here: http://www.oliverkarow.de/research/octogate.txt

One little step into a more secure world 😉

Kommentare deaktiviert

25.8.2010

GFI WebMonitor Admin UI Remote Script Code Injection

Filed under: Advisories,Allgemein,linkedin — oliver.karow @ 12:29

Today I released a security advisory regarding GFI WebMonitor. WebMonitor is a filtering and monitoring solution for web traffic, which also protects against viruses, spyware, malware and phishing scams.

During a quick security analysis of the product, i figured out a way to inject script code, that will be executed automatically within the Administrator UI.

The advisory can be found here: GFIWebMonitor.txt

Added by Admin: A screenshot, where i injected an iframe into the Admin Interface… just to visualize it to GFI’s security response 🙂

Comments (2)

4.6.2010

Season Opening 2010

Filed under: Allgemein,Diving — oliver.karow @ 11:52

Alle Jahre wieder wird die Tauchsaison in heimischen Gewässern eröffnet. Zum einen um die Funktionsfähigkeit der Ausrüstung vorm Urlaub zu checken und zum anderen, um in Übung zu bleiben.

Also haben wir letztes Wochenende unsere Ausrüstung geschnappt, ins Auto geworfen und sind nach BaLi gefahren.

Der Badesee Linkenheim ist ein leicht zu tauchendes Gewässer und bietet neben ausreichend Parkplätzen, einen schönen, flachen Einstieg mit Sandstrand und recht viel „Großfisch“ in Form von Karpfen und Hechten.

Die Wassertemperatur war irgendwo zwischen 15-17C, und die Sichtweite zwischen 1-4 Meter.

Spass hats gemacht, und zwei Tauchgänge wurden geloggt…. nächster Halt ist das Rote Meer in 10 Tagen….

Comments (1)

Atta

Filed under: Allgemein,weninteressierts — oliver.karow @ 11:17

Aufräumen hat doch auch seine Vorteile…. ich habe gestern eine ältere Ausgabe der KES gefunden… und darin einen Artikel von mir zum Thema AJAX-Sicherheit…

Ja genau.. es geht um den sicheren Umgang mit Reinigungsmitteln, und wie man damit eine McGyver-Bombe bauen kann.

Guckst du hier:

http://www.oliverkarow.de/cruft/Ajax_aber_sicher.zip

PS: Vorsicht, da eingescannt und gezippt > 3 MB

Kommentare deaktiviert

28.11.2008

Astaro Security Gateway V7 Vulnerabilities

Filed under: Advisories,Allgemein,linkedin — oliver.karow @ 13:10

Some weeks ago i discovered some vulnerabilities within Astaro Security Gateway V7.

Among other features, the ASG works as a Webfilter, to regulate employees webbrowsing activity.

Due to weak input filtering, an attacker can use the vulnerabilities to inject persistant script code, which will be executed inside the ASG’s admin console.
It is also possible to conduct cross site scripting attacks against the webusers, protected by the ASG, due to a XSS vuln within the webbroxies error message handling.

All vulnerabilities are meanwhile fixed by the vendor. A detailed advisory will be published, soon ( or less soon, depending on my sparetime 😉 )