Published on: April 23, 2025
Die verschiedenen Security-Header bei HTTP-Antworten können wesentlich zur Sicherheit von Webapplikationen beitragen. Im Gegenzug können falsch oder nicht gesetzte Security-Header Applikationen unsicherer machen. Dabei gilt es zwischen modernen Security-Header und veralteten Security-Header zu unterscheiden. In einem vorherigen Blog-Beitrag “LINK” haben wir den Einsatz und die Verbreitung von veralteten Security-Header angeschaut. In diesem Beitrag schauen wir uns die Verbreitung und den Einsatz der modernen Security-Header an. Dabei klassifizieren wir bei jedem Header die Einstellungen, sofern möglich.
Published on: April 16, 2025
Die verschiedenen Security-Header bei HTTP-Antworten können wesentlich zur Sicherheit von Webapplikationen beitragen. Im Gegenzug können falsch oder nicht gesetzte Security-Header Applikationen unsicherer machen. Dabei gilt es zwischen modernen Security-Header und veralteten Security-Header zu unterscheiden. Einige Security-Header machten zu Anfangszeiten von Webapplikationen Sinn, sind jetzt jedoch durch bessere Mechanismen abgelöst worden und werden von den aktuellen Browsern gar nicht mehr unterstützt. Um eine fundierte Analyse der aktuellen Lage der Verwendung dieser Security-Headern machen zu können, haben wir HTTP-GET-Anfragen an knapp 4.2 Millionen .ch / .swiss Domains / Subdomains gemacht und diese anschliessend ausgewertet.
Published on: April 2, 2025
Bei unseren Pentests und Security Audits begegnen uns immer wieder massive Datensammlungen. Speicher kostet heutzutage fast nichts mehr und man weiss ja nie, was man zukünftig noch gebrauchen kann. Diese Datensammlungen haben zwei Probleme. Zum einen sind sie meist eine gesetzliche Grauzone oder gänzlich Verboten und zum anderen sind sie ideale Ziele für Ransomware-Gangs. In diesem Blog möchten wir kurz die gesetzlichen Pflichten zur Datenhaltung erläutern, sowie unsere Empfehlung zur Archivierung und Löschung geben.
Published on: March 12, 2025
Das Thema Outsourcing ist nicht neu. Auch die Cloud, eine spezielle Form von Outsourcing, ist inzwischen weit verbreitet. Beim Einkauf von Services eines Dienstleisters muss immer die Informationssicherheit im Auge behalten werden. Fast jedes KMU hat einen IT-Dienstleister und fast jedes KMU benutzt einen Cloud-Service (Bsp. E-Mail-System).
Published on: Dec. 11, 2024
Cyber-Treats vs. Cyber-Threats: Was sind die Unterschiede?
Published on: Nov. 20, 2024
Vorneweg: Die meisten von uns werden nie direkt mit homomorpher Kryptografie in Kontakt kommen, dennoch ist es ein spannender Ansatz, um sensible Daten auf fremden Systemen auswerten zu lassen. Die homomorphe Kryptographie bietet die Möglichkeit sensible Daten auf System, welchen ich NICHT vertraue, auswerten zu lassen.
Published on: Oct. 23, 2024
Phising hat viele Gesichert. Die bekannteste Form ist Phising per E-Mail. Dann gibt es noch Phishing per SMS (Smishing), per Telefon (Vishing), per Brief, per QR-Codes, usw. Auch die Zielgruppen variieren, von breiten Angriffen mit der Giesskanne bis zu gezielten Angriffen auf bestimmte Personen (Spear-Phishing, Whaling). In diesem Beitrag schauen wir uns Suchmaschinen-Phishing oder Phishing via Ads an.
Published on: Sept. 18, 2024
Welches ist der beste und sicherste Verschlüsselungs-Algorithmus? Diese Frage kann so nicht beantwortet werden. Je nach Anwendungsfall eignet sich der eine Algorithmus besser als der andere. Symmetrische Verfahren haben andere Vor- und Nachteile als asymmetrische oder hybride Verfahren. Deshalb muss der Kryptografie beim Thema Informationssicherheit grosse Aufmerksamkeit geschenkt werden.
Published on: July 22, 2024
Sollen oder gar müssen alle Mitarbeitenden ins Boot geholt werden, wenn es um die Informationssicherheit einer Firma geht? Hier gibt es zwei Meinungen: Nein: Informationssicherheit muss technisch gelöst werden ohne den Mitarbeitenden Ja: Ohne das Bewusstsein bei den Mitarbeitenden funktioniert Informationssicherheit nicht Schauen wir uns einige Punkte und Aspekte zu diesem Thema an.
Published on: May 22, 2024
Gibt es noch Geschäftsbereiche, welche frei von IT sind und noch nicht von der Digitalisierung mitgezogen wurden? Es muss lange gesucht werden, um solche Geschäftsbereiche noch zu finden. Somit bekommt das Risikomanagement in der IT eine immer grössere Wichtigkeit.
Published on: April 3, 2024
Jeder IT-Administrator muss sich überlegen, was für eine Passwort-Policy er in seinem Betrieb oder für sein Produkt etablieren soll. Und wie er danach die Akzeptanz der Benutzer erlangt, welche diese Policy umsetzen müssen. Die eingesetzte Passwort-Richtlinien haben einen sehr grossen Einfluss darauf, ob die Benutzer sichere oder unsichere Passwörter auswählen.
Published on: March 13, 2024
Canary Tokens sind eine Art von digitalem Lockvogel, der dazu verwendet wird, unbefugten Zugriff oder unerwünschte Aktivitäten zu erkennen. Der Begriff stammt von der Praxis, Kanarienvögel in Bergwerken zu verwenden, um auf das Vorhandensein von gefährlichen Gasen hinzuweisen. Wenn der Kanarienvogel aufhörte zu singen oder tot umfiel, war das ein Signal für die Bergleute, dass Gefahr drohte. Im digitalen Kontext sind Canary Tokens Dateien, Links oder andere digitale Ressourcen, die absichtlich erstellt werden, um auf unerwünschte Aktivitäten hinzuweisen.
Published on: Feb. 14, 2024
DNS und die Konzepte von Top-Level-Domain, Domain und Subdomain sind bereits über 40 Jahre alt und werden täglich von fast jedem Menschen verwendet. Dennoch sind wir immer wieder mit dem Irrglauben konfrontiert, dass Subdomains nicht öffentlich oder sogar geheim sind.
Published on: Jan. 24, 2024
Wie in den drei vorgängigen Blog-Beiträgen erwähnt, sind Passkeys einfacher und sicherer als Benutzernamen, Passwort und 2FA-Token. Wie bei jeder neuen Technologie, gibt es auch bei Passkeys Herausforderungen, Hürden und neue Arten von Angriffen.
Published on: Dec. 13, 2023
Wie im ersten Teil gesehen, sind Passkeys für den Benutzer sehr einfach (weder Eingabe von Benutzernamen noch Passwort sind nötig). Nun lösen wir das Paradox, weshalb sie trotzdem sicherer sind als Benutzername, Passwort und 2FA-Token.
Published on: Dec. 7, 2023
Die Integration von Passkeys in die eigene Webapplikation ist nicht sonderlich kompliziert. Es existieren bereits eine Vielzahl an Libraries für die verschiedensten Frameworks und Systeme. Es gilt jedoch einige Punkte zu beachten.
Published on: Nov. 29, 2023
1. XSS Was ist das? Bei Cross-Site-Scripting-Angriffen (XSS) werden bösartige Skripte im Browser ausgeführt. Das gefährliche daran ist, dass der Code im Kontext eines anderen Benutzers ausgeführt wird. Es gibt XSS-Angriffe, welche z.b. durch das Öffnen eines Links ausgeführt werden oder wo das bösartige Script auf dem Server gespeichert wird und dann von diesem an andere Benutzer ausgeliefert wird.
Published on: Nov. 22, 2023
Das Paradox: Einfacher, schneller und dennoch sicherer. Passkey ist eine Authentifizierungs-Methode, welche ohne Passwörter auskommt. Es wurde von World Wide Web Consortium (W3C) und der FIDO Alliance vorgeschlagen. Der Begriff Passkeys wurde im Frühling 2022 durch Google und Apple populär, als diese die Implementation in ihren Systemen bekannt gaben.
Published on: Nov. 15, 2023
1. Besseres Produkt Ein Pentest deckt Sicherheitslücken auf, bevor diese ausgenutzt werden. Mit realen Angriffsszenarien untersuchen Spezialisten das System und evaluieren, ob die Lösung Schwachstellen aufweist. Von uns gefundene Sicherheitslücken können sauber und durchdacht behoben werden. Ein allfälliger zweiter Pentest überprüft dann, ob die Schwachstelle erfolgreich behoben wurde.
Published on: Nov. 2, 2023
Eine "Web-Application-Firewall" (kurz WAF) ist eine Sicherheitslösung, die entwickelt wurde, um Webanwendungen vor verschiedenen Arten von Online-Bedrohungen und Angriffen zu schützen. Ihre Hauptfunktion besteht darin, den Datenverkehr zwischen einem Benutzer und einem Webserver zu überwachen und zu filtern, um potenziell schädliche Aktivitäten zu erkennen und zu blockieren.
Published on: Sept. 28, 2023
Schon vor einigen Jahren hat Orange Tsai in einem Blackhat-Talk auf einen Konfigurationsfehler des Nginx Webservers hingewiesen. Nginx ist einer der am weitesten verbreiteten Webserver. Etwa 34% aller Webseiten im Internet werden über einen Nginx-Webserver ausgeliefert. Gemäss Docker ist Nginx einer der am meisten verwendeten Technologien in ihren Containern. Somit ist das Ausmass einer Sicherheitslücke in Nginx riesig.
Published on: Aug. 31, 2023
Vor kurzem hat die National Security Agency (NSA) Best-Practices für die Sicherheit von Home-Netzwerken herausgegeben. Wir greifen in zwei Blog-Beiträgen die wichtigsten Punkte auf und ergänzen diese. So erhalten Sie wichtige Tips und Informationen auf was beim Home-Netzwerk zu achten ist.
Published on: Aug. 24, 2023
Vor kurzem hat die National Security Agency (NSA) Best-Practices für die Sicherheit von Home-Netzwerken herausgegeben. Wir greifen in zwei Blog-Beiträgen die wichtigsten Punkte auf und ergänzen diese mit unseren Erfahrungen. So erhalten Sie wichtige Tips und Informationen auf was beim Home-Netzwerk zu achten ist.
Published on: July 6, 2023
In diesem Blog-Beitrag beleuchten wir einige Punkte, auf welche wir bei einem Security-Review bei 2FA besonders achten. Denn 2FA stellt einen wichtigen Layer der Sicherheit dar. Unser Ziel dabei ist immer, den 2FA Schritt zu umgehen.
Published on: June 29, 2023
Der Tweet von Michael Käser mit einer neuen Interpretation von “Tech Dept” hat mich zu diesem Blog-Beitrag inspiriert. "Many engineers understand tech debt as 'old code' or 'outdated libraries', but in practice the biggest velocity killer for product engineering teams is when the "product model" starts to increasingly diverge from the "data model", and the UI has to bridge the gaps."
Published on: June 22, 2023
Dieser Blogbeitrag richtet sich an Entwickler. Jede Applikation mit Benutzern hat das Problem, dass die Passwörter der Benutzer in irgendeiner Form gespeichert werden müssen. Die schlechteste Idee dabei ist, dass Passwort als Klartext direkt in der Datenbank zu speichern.
Published on: June 12, 2023
Obwohl die Zwei-Faktor-Authentifizierung / Zwei-Faktor-Authentisierung an vielen Orten Standard ist (Bsp. E-Banking), stellen wir oft fest, dass die Akzeptanz und das Verständnis bei den Endbenutzern oft fehlen. Entweder nerven sie sich darüber oder deaktivieren diese Möglichkeit, wenn dies möglich ist. Die Zwei-Faktor-Authentifizierung erschwert es einem Angreifer jedoch erheblich, sich in ein fremdes Konto einzuloggen und sollte deshalb immer aktiviert werden.
Published on: April 4, 2023
Aufs neue starteten wir unseren Scanner, welcher übrigens mit 100% selber produziertem Solarstrom läuft. Obwohl auf den Hauptdomains und unter www. oft nur Webseiten betrieben werden, waren wir trotzdem überraschend, was dort alles zu finden war. Wir ahnten bereits vor der Idee, die Subdomains anzuschauen, dass dies noch schlimmer wird, denn auf den Subdomains laufen oft Webapps mit heiklen internen Firmen-Daten.
Published on: Feb. 22, 2023
In der heutigen digitalen Welt haben wir alle irgendwann schon einmal sensitive Daten online geteilt. Obwohl die meisten von uns versuchen, vorsichtig zu sein, kann es dennoch passieren, dass wir versehentlich private Informationen veröffentlichen. Dies kann auch versehentlich passieren, ohne dass wir uns dessen bewusst sind.
Published on: Feb. 13, 2023
Stellen Sie sich ein mittelständisches KMU vor. 142 Mitarbeiter in den Bereichen Entwicklung, Produktion, Lager, Installation, Montage, Support, Marketing und das ganze Backoffice. Vor 5 Jahren hat die IT den Schritt in die Virtualisierung gewagt.
Published on: Feb. 2, 2023
Wir hören immer wieder das Argument, aber ich habe doch eine gute Firewall, die schützt mich doch. Diese Tatsache hat uns erwogen diesen Artikel zu schreiben.
Published on: Jan. 4, 2023
Wir haben eine Firmen-Policy, dass wir die Betroffenen auf von uns gefundene Sicherheitslücken aufmerksam machen. Oft fällt es uns schwer, die richtige Kontaktperson bei einer Firma zu finden. Dabei gäbe es einen definierten Ort, wo man diese Kontaktinformationen hinterlegen kann: security.txt (Ein vorgeschlagener Standard, der es Betreiber von Webapplikationen ermöglicht, Sicherheitsrichtlinien zu definieren). Auch nur ein Hinweis im Impressum würde helfen.
Published on: Dec. 24, 2022
Codepurple wünscht allen schöne und sichere Festtage.
Published on: Nov. 24, 2022
Dies ist die Fortsetzung des 1. Teiles zu phpinfo(), welcher eine Einführung und eine Übersicht über die gefundenen Daten gibt. Bei einem Scan über 2.6 Millionen .ch und .li Domains haben wir nach öffentlichen phpinfo() Dateien gesucht und die gewonnen Daten analysiert. In diesem Teil untersuchen wir die brisanteren Daten-Lecks, welche wir gefunden haben und gehen darauf ein, wie diese durch Angreifer missbraucht werden können.
Published on: Nov. 17, 2022
Weiter geht es in der Serie der Scans der .ch und .li Domains. Dieses Mal untersuchten wir mögliche Datenlecks über phpinfo, was wiederum spannende Erkenntnisse zu Tage brachte. Bei diesem Scan wurden 2.6 Millionen Domains überprüft.
Published on: Nov. 3, 2022
Das auflisten von Dateien (Directory listing) die auf dem Web Server gespeichert sind birgt grosse Sicherheitsrisiken. Informationen können so preisgegeben werden, welche nicht für die Öffentlichkeit bestimmt sind.
Published on: Oct. 26, 2022
Im Blog Post vom 15. Juni 2022 (Datenleck via .DS_Store Dateien) haben wir eine Analyse zu versehentlich öffentlich zugänglichen .DS_Store Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.
Published on: Oct. 25, 2022
Im Blog Post vom 2. Mai 2022 (Öffentliche .env-Dateien) haben wir eine Analyse zu versehentlich öffentlichen .env Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.
Published on: Oct. 24, 2022
Im Blog Post vom 2. Mai 2022 (Öffentliche .git Ordner) haben wir eine Analyse zu versehentlich veröffentlichten Daten aus Sourcecode-Verwaltungssystemen publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.
Published on: Sept. 30, 2022
Im vergangenen Quartal haben wir keine grossen Studien oder Analysen betreffend der Schweizer Weblandschaft durchgeführt, welche wir publizieren dürfen/können. Anstelle eines Berichtes über den Zustand der Schweizer Webapplikationen möchte ich die Gelegenheit nutzen drei Beispiele aus der Praxis etwas genauer anzuschauen.
Published on: Sept. 7, 2022
APIs (Application Programming Interface) sind Schnittstellen, über welche Softwaresysteme untereinander kommunizieren können. Einige APIs sind öffentlich, wie zum Beispiel die der Wetterdienste. Bei anderen APIs geht es um persönliche Daten, so zum Beispiel beim E-Banking. APIs sind der Leim, welcher die digitale Welt zusammen hält, deshalb gilt es diese Schnittstellen besonders zu schützen und auf möglich Fehler zu prüfen.
Published on: Aug. 10, 2022
Phishing-Angriffe sind nach wie vor einer der Hauptangriffsvektoren im Cybersicherheitsbereich. Dabei gibt es verschiedene Arten von Phishing. In diesem Artikel gehen wir auf die Ziele und Arten von Phishing-Angriffen ein.
Published on: July 13, 2022
Der letzte und somit abschliessende Teil der Ransomware-Blog Reihe beschäftigt sich damit wie man sich vor einem Angriff schützen kann.
Published on: July 6, 2022
Die letzten drei Monate standen bei uns eindeutig im Zeichen von API-Keys, Datenbankzugriffen und unserem internen Domänen-Scanner.
Published on: June 29, 2022
Im dritten Teil gibt es vier spannende Fakten zu Kopfgeld, Umsatz und der Top 10 der Ransomware-Gruppierungen. Viel Spass beim Lesen. Eine Einleitung zum Thema Ransomware findet Ihr im Teil 1 der Serie.
Published on: June 22, 2022
Im zweiten Teil unserer Ransomware Blog-Reihe widme ich mich eher technischen Themen. Eine Einleitung zum Thema Ransomware findet Ihr im 1. Teil der Serie.
Published on: June 15, 2022
Eine kleine Ergänzung an unserem selber entwickelten Domain-Scanner erlaubt es uns nun eine weitere Analyse eines möglichen Datenlecks zu untersuchen. Dabei hat Codepurple wiederum alle .ch und .li Domains auf öffentlich zugängliche .DS_Store-Dateien untersucht.
Published on: June 14, 2022
Diese vierteiligen Blogreihe behandelt interessantes, spannendes und kurioses zum Thema Ransomware. Im ersten Teil wird erklärt was Ransomware genau ist. Danach folgen Fakten zum Thema Lösegeld. Der zweite Teil der Reihe wird technischer und behandelt Angriffsvektoren, Verschlüsselungstechniken und sehr teure Security Reports. Teil drei konzentriert sich auf Ransomware Gruppierungen. Im vierten und abschliessenden Teil werden Tipps gegeben, wie man sich am besten vor Ransomware schützt und welche Schritte eingeleitet werden sollten wenn man einen Angriff bemerkt.
Published on: May 18, 2022
In einer weiteren Analyse hat Codepurple bei allen .ch und .li Domains untersucht, ob .env Dateien öffentlich verfügbar sind. Dabei wurden 201 .env Dateien gefunden. Neben harmlosen Konfigurationseinstellungen wurden 135 Datenbankbenutzer und Passwörter, 48 E-Mail-Konten mit Benutzername und Passwort, 11 Zugänge zu Zahlungsanbieter, 98 Anmeldeinformationen für API’s (Schnittstellen) und 128 App-Secrets (Secret zum sicheren generieren von Session-IDs, CSRF-Tokens, JWT-Tokens oder gleich fix konfigurierte Adminaccounts) gefunden. Die Analyse der .env-Dateien brachte sehr brisante Erkenntnisse, denn Passwörter und Secrets sind in unverschlüsselter Form in der .env-Datei gespeichert.
Published on: May 2, 2022
Eine Analyse von Codepurple aller .ch und .li Domains auf öffentliche Code-Repositories (Git) zeigte, dass 1053 öffentliche Code Repositories gefunden wurden. In den Code Repositories sind harmlose Dinge wie Templates oder statische HTML-Seiten zu finden, aber auch kompletter Code von Webapplikationen inklusive deren Konfiguration mit Passwörtern für Logins, Datenbanken, Office365 Logins, E-Mail-Konten mit Passwörtern oder Private-Keys um mit Zahlungsanbietern zu kommunizieren. Es wurden sogar Benutzernamen und Passwörter in den Meta-Daten des Repositiories selbst gefunden, welche den Zugriff auf komplette Codeverwaltungen von Firmen ermöglichten. Eine weitere spannende Entdeckung war, dass komplette Code-Repositories auch ohne Directory-Listing heruntergeladen werden können, in dem einfach direkt auf die Dateien in einem .git Ordner zugegriffen wird. So zum Beispiel der direkte Zugriff auf .git/HEAD oder .git/config.
Published on: April 8, 2022
Typosquatting ist eine Art von Social-Engineering-Angriff auf einen Internet-User. Dabei werden ähnliche Domains zu der Zieldomain registriert, mit der Hoffnung, dass ein Benutzer einen Tippfehler macht und auf der Seite des Angreifers landet.
Published on: April 4, 2022
E-Mail wird im Geschäftsleben jeden Tag verwendet. So ist es nicht erstaunlich, dass über 91% aller Cyberangriffe mit einem Phishing-E-Mail beginnen. Als das E-Mail-Protokoll entwickelt wurde, waren die Anforderungen an die Sicherheit ganz anders als heute. Am SMTP-Protokoll hat sich seit 1995 nicht mehr viel verändert. Um die neuen Probleme bezüglich Spam und Missbrauch in den Griff zu bekommen, wurden weitere Technologien wie SPF, DKIM und DMARC entwickelt. Inzwischen sind auch diese Technologien mehrere Jahre alt. Eine Analyse von Codepurple im Februar 2022 aller .ch und .li Domains zeigt auf, dass diese Technologien oft nicht verwendet oder falsch konfiguriert werden, obwohl sie das Potential für einen guten Schutz hätten.
Published on: March 28, 2022
Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir laufend und fassen sie in einem Bericht zusammen.
Do not reuse your password on different accounts.
Source: Codepurple
Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
