Blog

Top 3 Findings unserer Cyber-Security-Reviews

1. XSS Was ist das? Bei Cross-Site-Scripting-Angriffen (XSS) werden bösartige Skripte im Browser ausgeführt. Das gefährliche daran ist, dass der Code im Kontext eines anderen Benutzers ausgeführt wird. Es gibt XSS-Angriffe, welche z.b. durch das Öffnen eines Links ausgeführt werden oder wo das bösartige Script auf dem Server gespeichert wird und dann von diesem an andere Benutzer ausgeliefert wird.

1/4 Passkeys: Einloggen ohne Passwort

Das Paradox: Einfacher, schneller und dennoch sicherer. Passkey ist eine Authentifizierungs-Methode, welche ohne Passwörter auskommt. Es wurde von World Wide Web Consortium (W3C) und der FIDO Alliance vorgeschlagen. Der Begriff Passkeys wurde im Frühling 2022 durch Google und Apple populär, als diese die Implementation in ihren Systemen bekannt gaben.

5 Gründe, weshalb dein Unternehmen von einem Pentest profitiert. #Cybersecurity

1. Besseres Produkt Ein Pentest deckt Sicherheitslücken auf, bevor diese ausgenutzt werden. Mit realen Angriffsszenarien untersuchen Spezialisten das System und evaluieren, ob die Lösung Schwachstellen aufweist. Von uns gefundene Sicherheitslücken können sauber und durchdacht behoben werden. Ein allfälliger zweiter Pentest überprüft dann, ob die Schwachstelle erfolgreich behoben wurde.

Web-Application-Firewall

Eine "Web-Application-Firewall" (kurz WAF) ist eine Sicherheitslösung, die entwickelt wurde, um Webanwendungen vor verschiedenen Arten von Online-Bedrohungen und Angriffen zu schützen. Ihre Hauptfunktion besteht darin, den Datenverkehr zwischen einem Benutzer und einem Webserver zu überwachen und zu filtern, um potenziell schädliche Aktivitäten zu erkennen und zu blockieren.

Alte Nginx-Miskonfiguration: Eine aktuelle Analyse

Schon vor einigen Jahren hat Orange Tsai in einem Blackhat-Talk auf einen Konfigurationsfehler des Nginx Webservers hingewiesen. Nginx ist einer der am weitesten verbreiteten Webserver. Etwa 34% aller Webseiten im Internet werden über einen Nginx-Webserver ausgeliefert. Gemäss Docker ist Nginx einer der am meisten verwendeten Technologien in ihren Containern. Somit ist das Ausmass einer Sicherheitslücke in Nginx riesig.

Privates Netzwerk Best-Practices Teil 2/2

Vor kurzem hat die National Security Agency (NSA) Best-Practices für die Sicherheit von Home-Netzwerken herausgegeben. Wir greifen in zwei Blog-Beiträgen die wichtigsten Punkte auf und ergänzen diese. So erhalten Sie wichtige Tips und Informationen auf was beim Home-Netzwerk zu achten ist.

Privates Netzwerk Best-Practices Teil 1/2

Vor kurzem hat die National Security Agency (NSA) Best-Practices für die Sicherheit von Home-Netzwerken herausgegeben. Wir greifen in zwei Blog-Beiträgen die wichtigsten Punkte auf und ergänzen diese mit unseren Erfahrungen. So erhalten Sie wichtige Tips und Informationen auf was beim Home-Netzwerk zu achten ist.

Penetrationtest : 2-Faktor-Auhtentifizierung

In diesem Blog-Beitrag beleuchten wir einige Punkte, auf welche wir bei einem Security-Review bei 2FA besonders achten. Denn 2FA stellt einen wichtigen Layer der Sicherheit dar. Unser Ziel dabei ist immer, den 2FA Schritt zu umgehen.

"Technical Dept" und Cyber-Security

Der Tweet von Michael Käser mit einer neuen Interpretation von “Tech Dept” hat mich zu diesem Blog-Beitrag inspiriert. "Many engineers understand tech debt as 'old code' or 'outdated libraries', but in practice the biggest velocity killer for product engineering teams is when the "product model" starts to increasingly diverge from the "data model", and the UI has to bridge the gaps."

Passwörter in der Datenbank speichern

Dieser Blogbeitrag richtet sich an Entwickler. Jede Applikation mit Benutzern hat das Problem, dass die Passwörter der Benutzer in irgendeiner Form gespeichert werden müssen. Die schlechteste Idee dabei ist, dass Passwort als Klartext direkt in der Datenbank zu speichern.

2FA ist wichtig

Obwohl die Zwei-Faktor-Authentifizierung / Zwei-Faktor-Authentisierung an vielen Orten Standard ist (Bsp. E-Banking), stellen wir oft fest, dass die Akzeptanz und das Verständnis bei den Endbenutzern oft fehlen. Entweder nerven sie sich darüber oder deaktivieren diese Möglichkeit, wenn dies möglich ist. Die Zwei-Faktor-Authentifizierung erschwert es einem Angreifer jedoch erheblich, sich in ein fremdes Konto einzuloggen und sollte deshalb immer aktiviert werden.

Subdomains sind eine wahre Goldgrube für Angreifer

Aufs neue starteten wir unseren Scanner, welcher übrigens mit 100% selber produziertem Solarstrom läuft. Obwohl auf den Hauptdomains und unter www. oft nur Webseiten betrieben werden, waren wir trotzdem überraschend, was dort alles zu finden war. Wir ahnten bereits vor der Idee, die Subdomains anzuschauen, dass dies noch schlimmer wird, denn auf den Subdomains laufen oft Webapps mit heiklen internen Firmen-Daten.

Ungewollte Datenlecks (online und offline)

In der heutigen digitalen Welt haben wir alle irgendwann schon einmal sensitive Daten online geteilt. Obwohl die meisten von uns versuchen, vorsichtig zu sein, kann es dennoch passieren, dass wir versehentlich private Informationen veröffentlichen. Dies kann auch versehentlich passieren, ohne dass wir uns dessen bewusst sind.

Auswirkungen von Ransomware auf ein Unternehmen

Stellen Sie sich ein mittelständisches KMU vor. 142 Mitarbeiter in den Bereichen Entwicklung, Produktion, Lager, Installation, Montage, Support, Marketing und das ganze Backoffice. Vor 5 Jahren hat die IT den Schritt in die Virtualisierung gewagt.

Hinter einer Firewall bin ich geschützt. Irrglaube oder Tatsache?

Wir hören immer wieder das Argument, aber ich habe doch eine gute Firewall, die schützt mich doch. Diese Tatsache hat uns erwogen diesen Artikel zu schreiben.

security.txt und Kontaktinformationen

Wir haben eine Firmen-Policy, dass wir die Betroffenen auf von uns gefundene Sicherheitslücken aufmerksam machen. Oft fällt es uns schwer, die richtige Kontaktperson bei einer Firma zu finden. Dabei gäbe es einen definierten Ort, wo man diese Kontaktinformationen hinterlegen kann: security.txt (Ein vorgeschlagener Standard, der es Betreiber von Webapplikationen ermöglicht, Sicherheitsrichtlinien zu definieren). Auch nur ein Hinweis im Impressum würde helfen.

Frohe Feiertage

Codepurple wünscht allen schöne und sichere Festtage.

Datenleck über phpinfo() - Teil 2/2

Dies ist die Fortsetzung des 1. Teiles zu phpinfo(), welcher eine Einführung und eine Übersicht über die gefundenen Daten gibt. Bei einem Scan über 2.6 Millionen .ch und .li Domains haben wir nach öffentlichen phpinfo() Dateien gesucht und die gewonnen Daten analysiert. In diesem Teil untersuchen wir die brisanteren Daten-Lecks, welche wir gefunden haben und gehen darauf ein, wie diese durch Angreifer missbraucht werden können.

Datenleck über phpinfo() - Teil 1/2

Weiter geht es in der Serie der Scans der .ch und .li Domains. Dieses Mal untersuchten wir mögliche Datenlecks über phpinfo, was wiederum spannende Erkenntnisse zu Tage brachte. Bei diesem Scan wurden 2.6 Millionen Domains überprüft.

Directory listing auf Webserver ist gefährlich

Das auflisten von Dateien (Directory listing) die auf dem Web Server gespeichert sind birgt grosse Sicherheitsrisiken. Informationen können so preisgegeben werden, welche nicht für die Öffentlichkeit bestimmt sind.

Update: Datenleck via .DS_Store Dateien

Im Blog Post vom 15. Juni 2022 (Datenleck via .DS_Store Dateien) haben wir eine Analyse zu versehentlich öffentlich zugänglichen .DS_Store Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

Update: Öffentliche .env-Dateien

Im Blog Post vom 2. Mai 2022 (Öffentliche .env-Dateien) haben wir eine Analyse zu versehentlich öffentlichen .env Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

Update: Öffentliche .git Ordner

Im Blog Post vom 2. Mai 2022 (Öffentliche .git Ordner) haben wir eine Analyse zu versehentlich veröffentlichten Daten aus Sourcecode-Verwaltungssystemen publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

State of the Swiss web Q3 2022

Im vergangenen Quartal haben wir keine grossen Studien oder Analysen betreffend der Schweizer Weblandschaft durchgeführt, welche wir publizieren dürfen/können. Anstelle eines Berichtes über den Zustand der Schweizer Webapplikationen möchte ich die Gelegenheit nutzen drei Beispiele aus der Praxis etwas genauer anzuschauen.

Sichere APIs?

APIs (Application Programming Interface) sind Schnittstellen, über welche Softwaresysteme untereinander kommunizieren können. Einige APIs sind öffentlich, wie zum Beispiel die der Wetterdienste. Bei anderen APIs geht es um persönliche Daten, so zum Beispiel beim E-Banking. APIs sind der Leim, welcher die digitale Welt zusammen hält, deshalb gilt es diese Schnittstellen besonders zu schützen und auf möglich Fehler zu prüfen.

Arten von Phishing-Angriffen

Phishing-Angriffe sind nach wie vor einer der Hauptangriffsvektoren im Cybersicherheitsbereich. Dabei gibt es verschiedene Arten von Phishing. In diesem Artikel gehen wir auf die Ziele und Arten von Phishing-Angriffen ein.

Interessante Fakten zu Ransomware Teil 4/4

Der letzte und somit abschliessende Teil der Ransomware-Blog Reihe beschäftigt sich damit wie man sich vor einem Angriff schützen kann.

State of the Swiss web Q2 2022

Die letzten drei Monate standen bei uns eindeutig im Zeichen von API-Keys, Datenbankzugriffen und unserem internen Domänen-Scanner.

Interessante Fakten zu Ransomware Teil 3/4

Im dritten Teil gibt es vier spannende Fakten zu Kopfgeld, Umsatz und der Top 10 der Ransomware-Gruppierungen. Viel Spass beim Lesen. Eine Einleitung zum Thema Ransomware findet Ihr im Teil 1 der Serie.

Interessante Fakten zu Ransomware Teil 2/4

Im zweiten Teil unserer Ransomware Blog-Reihe widme ich mich eher technischen Themen. Eine Einleitung zum Thema Ransomware findet Ihr im 1. Teil der Serie.

Datenleck via .DS_Store Dateien

Eine kleine Ergänzung an unserem selber entwickelten Domain-Scanner erlaubt es uns nun eine weitere Analyse eines möglichen Datenlecks zu untersuchen. Dabei hat Codepurple wiederum alle .ch und .li Domains auf öffentlich zugängliche .DS_Store-Dateien untersucht.

Interessante Fakten zu Ransomware Teil 1/4

Diese vierteiligen Blogreihe behandelt interessantes, spannendes und kurioses zum Thema Ransomware. Im ersten Teil wird erklärt was Ransomware genau ist. Danach folgen Fakten zum Thema Lösegeld. Der zweite Teil der Reihe wird technischer und behandelt Angriffsvektoren, Verschlüsselungstechniken und sehr teure Security Reports. Teil drei konzentriert sich auf Ransomware Gruppierungen. Im vierten und abschliessenden Teil werden Tipps gegeben, wie man sich am besten vor Ransomware schützt und welche Schritte eingeleitet werden sollten wenn man einen Angriff bemerkt.

Öffentliche .env-Dateien

In einer weiteren Analyse hat Codepurple bei allen .ch und .li Domains untersucht, ob .env Dateien öffentlich verfügbar sind. Dabei wurden 201 .env Dateien gefunden. Neben harmlosen Konfigurationseinstellungen wurden 135 Datenbankbenutzer und Passwörter, 48 E-Mail-Konten mit Benutzername und Passwort, 11 Zugänge zu Zahlungsanbieter, 98 Anmeldeinformationen für API’s (Schnittstellen) und 128 App-Secrets (Secret zum sicheren generieren von Session-IDs, CSRF-Tokens, JWT-Tokens oder gleich fix konfigurierte Adminaccounts) gefunden. Die Analyse der .env-Dateien brachte sehr brisante Erkenntnisse, denn Passwörter und Secrets sind in unverschlüsselter Form in der .env-Datei gespeichert.

Öffentliche .git Ordner

Eine Analyse von Codepurple aller .ch und .li Domains auf öffentliche Code-Repositories (Git) zeigte, dass 1053 öffentliche Code Repositories gefunden wurden. In den Code Repositories sind harmlose Dinge wie Templates oder statische HTML-Seiten zu finden, aber auch kompletter Code von Webapplikationen inklusive deren Konfiguration mit Passwörtern für Logins, Datenbanken, Office365 Logins, E-Mail-Konten mit Passwörtern oder Private-Keys um mit Zahlungsanbietern zu kommunizieren. Es wurden sogar Benutzernamen und Passwörter in den Meta-Daten des Repositiories selbst gefunden, welche den Zugriff auf komplette Codeverwaltungen von Firmen ermöglichten. Eine weitere spannende Entdeckung war, dass komplette Code-Repositories auch ohne Directory-Listing heruntergeladen werden können, in dem einfach direkt auf die Dateien in einem .git Ordner zugegriffen wird. So zum Beispiel der direkte Zugriff auf .git/HEAD oder .git/config.

Typosquatting

Typosquatting ist eine Art von Social-Engineering-Angriff auf einen Internet-User. Dabei werden ähnliche Domains zu der Zieldomain registriert, mit der Hoffnung, dass ein Benutzer einen Tippfehler macht und auf der Seite des Angreifers landet.

SPF / DMARC Analyse von .ch und .li Domains

E-Mail wird im Geschäftsleben jeden Tag verwendet. So ist es nicht erstaunlich, dass über 91% aller Cyberangriffe mit einem Phishing-E-Mail beginnen. Als das E-Mail-Protokoll entwickelt wurde, waren die Anforderungen an die Sicherheit ganz anders als heute. Am SMTP-Protokoll hat sich seit 1995 nicht mehr viel verändert. Um die neuen Probleme bezüglich Spam und Missbrauch in den Griff zu bekommen, wurden weitere Technologien wie SPF, DKIM und DMARC entwickelt. Inzwischen sind auch diese Technologien mehrere Jahre alt. Eine Analyse von Codepurple im Februar 2022 aller .ch und .li Domains zeigt auf, dass diese Technologien oft nicht verwendet oder falsch konfiguriert werden, obwohl sie das Potential für einen guten Schutz hätten.

State of the Swiss web Q1 2022

Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir laufend und fassen sie in einem Bericht zusammen.

Do not reuse your password on different accounts.

Source: Codepurple

Do you have any questions or would you like an appointment?

Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.

Contact

nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon

+41 79 823 45 30
rhino@codepurple.ch

Follow us

Imprint| Privacy| © Codepurple 2023. All rights reserved