DK22: Schwachstellen im Web II (OWASP Top Ten)
Die Sendung schließt nahtlos an den Vorgänger an. Im Datenkanal 21 sprachen wir hauptsächlich über SQL Injections und Cross-Side-Scripting (XSS). Diesmal wanderten wir grob an der Top Ten des Open Web Application Security Projekts entlang.
Zu Beginn der Sendung holten wir die Geschichte über der UEFI-Schlüssel raus, der auf einem frei zugänglichen Server lag. Über die Betrachtung von IT-Sicherheit als Prozess und den Demingkreis ging es dann weiter. Einen zweiten Kreis machten wir um das Erlernen einer Programmiersprache. Früher gab es so tolle Bücher, die versprachen, eine Sprache in Stunden oder höchstens Tagen zu erlernen. Heute gibt es Webseiten, die einen nachhaltigen Ansatz verfolgen.
Im weiteren Verlauf sprachen wir einzelne Einträge in den Top Ten an und erzählten etwas zu unseren Erfahrungen.
Download und Anhören
-
DK022-OWASP-Top10.mp3 -
DK022-OWASP-Top10.ogg -
DK022-OWASP-Top10.opus - DK22-MP3 als Torrent
- DK22-OGG als Torrent
Musik
Jörg hat sich diesmal Van Syla rausgesucht. Wir spielten zuerst The Death of a Star. Als zweites Lied sollte in der Sendung Memories kommen. Vermutlich war das zu leise, denn in der Livesendung war plötzlich andere Musik (Notprogramm?) zu hören. Ich habe daher das Lied nachträglich in die Aufnahme reingeschnitten.
Shownotes
- DK21: SQL Injection und XSS
- WP: UEFI
- Security Done Wrong: Leaky FTP Server
- Golem: Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz
- WP: Demingkreis
- WP: William Edwards Deming
- BSI: IT-Grundschutz
- DK19: Der gemeine Buffer Overflow
- OWASP: Path Traversal
- WP: Directory Traversal
- PHP: safe-mode
- PHP: registerglobals
- Wikibooks: PHP Programming/Register Globals
- WP: Refactoring
- DK20: Chemnitzer Linux-Tage 2013
- Vortrag »Total testing« von Neil Langmead
- Pragmatisch Programmieren
- Der pragmatische Programmierer
- Codeacademy
- David Bauer
- Als Journalist programmieren lernen – eine Bilanz (und vielleicht eine Anleitung)
- Famous first tweets von David Bauer
- Coursera: An Introduction to Interactive Programming in Python
- Codeskulptor
- OWASP Top 10 von 2013
- OWASP: Top 10 2013-A2-Broken Authentication and Session Management
- WP: Cookie
- WP: Session-ID
- Spass mit Amazonbildern
- Abusing Amazoon images
- WP: HTTP-Authentifizierung
- OWASP: Sensitive Data Exposure
- WP: Schlüssel in Datenbanken
- OWASP: Insecure Direct Object References
- Web Robots Pages
- SELFHTML: robots.txt
- WP: Robots Exclusion Standard
- MySQL: End-User Guidelines for Password Security
- Recovering from “chmod -R 777 /” in Ubuntu
- Google: “default password list”
- debconf
- Lynis
- chkrootkit
Comments
Display comments as Linear | Threaded