In preparation for a new web security training course (german, coming soon), I had another look at the current version of the Damn Vulnerable Web App (DVWA). As I documented the solution for the command injection vulnerability on high, I found something that sparked a tiny idea how this part might b...
Content-Security-Policy ist ein HTTP-Security-Header, welcher das Ausnutzen von Cross-Site-Scripting (XSS) in Webseiten durch das Definieren von sicheren Javascript-Quellen unterbinden soll. Indem ein Webseitenbetreiber festlegt welche JS-Code-Segmente und Scripte ausgeführt werden dürfen, können Br...
Damit die Logeinträge durch rSyslog anonymisiert werden können, muss Apache diese erst zum Logdienst schicken. Das Standardverhalten von Apache ist jedoch, die Logs direkt in die jeweiligen Dateien zu schreiben. Über die ErrorLog und CustomLog-Direktiven können Apache-Logs zu rSyslog umgeleite...
Was sind eigentlich Penetrationstests? Sicherheitstests für IT-Systeme und Netzwerke gibt es unterschiedliche, am bekanntesten ist wohl jedoch der Penetrationstest oder kurz Pentest. Der Begriff entstammt dem Militär und bezieht sich auf simulierte Angriffe, deren Ziel die Penetration der feindlic...
Im letzten Teil unserer Postreihe “Sicherheit für Laien”, ging es um die gängigen Sicherheitspraktiken, wie sie von Laien und Experten gleichermaßen angewandt werden. In diesem und dem nächsten Teil möchte ich etwas genauer auf zwei Punkte des letzten Artikels eingehen und diese anhand von konkreten...