Webdienst Wepawet wurde eingestellt

Das Tool Wepawet zur Analyse von Webbasierter Malware wurde wegen mangelnder Ressourcen vor kurzem vom Netz genommen.
Als Alternative empfehlen wir Virustotal https://www.virustotal.com zu verwenden, was einen ähnlichen Funktionsumfang bietet.

Klicken Sie hier, um die Webseite aufzurufen.

 

Wepawet - Tool zur Erkennung und Analyse von Web basierter Malware in Flash, JavaScript und PDF

Wepawet ist ein Service für die Erkennung und Analyse von Web-basierten Malware. Es verarbeitet derzeit Flash, JavaScript und PDF-Dateien. Wenn Sie solche Skripte bzw. Dateien in Ihrer Webpräsenz benutzen, sollten Sie den Test durchführen! Klicken Sie hier, um Webawet aufzurufen.

 

Web-Security Tutorial von Google

heise online vom 05.05.2010 10:10

(http://www.heise.de/newsticker/meldung/Googles-Jarlsberg-Server-loechrig-wie-ein-norwegischer-Kaese-993481.html)

Googles Jarlsberg-Server: löchrig wie ein norwegischer Käse

Google hat ein Online-Tutorial für Webentwickler zur Verfügung gestellt, mit dem sich typische Sicherheitslücken praktisch ausprobieren lassen. Das Tutorial besteht im Wesentlichen aus zwei Elementen: Die mit Absicht unsicher programmierte Mini-Blog-Anwendung Jarlsberg (nach dem norwegischen Käse benannt) sowie ein Leitfaden, welche Schwachstelle Jarlsberg aufweisen könnte und wie man diese findet.

Der zu Googles Code University gehörende Kurs liefert dazu unter anderem in Rubriken für Cross-Site-Scripting, Path-Traversal, Code Execution und Denial-of-Service kleine Denkanstöße, wie man die jeweiligen Lücken ausnutzen könnte. Wer nicht selbst daraufkommt, findet am Ende jedes Abschnitts die Lösung – nebst einem Vorschlag, wie man die Lücke schließen kann. 

Der Kurs ist online verfügbar, Google bietet den in Python geschriebenen Jarlsberg-Server aber auch zum Download an. Aus Sicherheitsgründen lasst sich dieser nach der Installation aber nur per localhost ansprechen. Um die Lücken zu finden, ist aber keine Analyse des Source-Codes notwendig. 

Nicht alle Lücken lassen sich mit dem Browser ausnutzen. Um zum Beispiel eine bestimmte Datei via Path-Traversal herunterzuladen, benötigt man das Kommandozeilen-Tool curl, da viele Browser URLs wie http://jarlsberg.appspot.com/305378746796/../secret.txt einfach in http://jarlsberg.appspot.com/secret.txt umwandeln und sich die Schwachstelle so nicht ausnutzen lässt. (dab)

 

Zentraler Webserver: Umstellung der Zugangskennungen auf LDAP


  • Am 28.08.09 werden die Zugangskennungen auf dem zentralen Webserver www.uni-mannheim.de auf LDAP (zentrale Benutzerkennung) umgestellt.
  • Sollten Sie sich nach der Umstellung nicht mehr per SSH auf www.uni-mannheim.de einloggen können, so haben Sie keine gültige Benutzerkennung. Diese müssen Sie beim Infocenter mit folgendem Formular (hier) beantragen.

    Bitte beachten Sie:
    Von dieser Umstellung sind lediglich Kennungen betroffen, die zur Pflege von Webseiten auf dem zentralen Webserver benötigt werden. Email-Kennung, etc. sind NICHT betroffen.

 

 

Virtuelle Webserver: Zugangskennungen auf LDAP umgestellt

  • Am 24.09.07 werden die Zugangskennungen auf dem virtuellen Webserver virtualwww.rz.uni-mannheim.de auf LDAP (zentrale Benutzerkennung) umgestellt.
  • Sollten Sie sich nach der Umstellung nicht mehr per SSH auf Ihrem Server einloggen können, so haben Sie keine gültige Benutzerkennung. Diese müssen Sie beim Infocenter mit folgendem Formular (hier) beantragen. Ob Ihr Server von dieser Umstellung betroffen ist können Sie unter http://bb.rz.uni-mannheim.de/virtual-webservers/virtual-webservers.html feststellen. Sollte Ihr Server unter: "Virtuelle Web-Server auf virtualwww.rz.uni-mannheim.de" aufgelistet sein, so sind Sie von dieser Änderung betroffen.

    Bitte beachten Sie:
    Von dieser Umstellung sind lediglich Kennungen betroffen, die zur Pflege von Webseiten auf dem zentralen Webserver benötigt werden. Email-Kennung, etc. sind NICHT betroffen.