Heute bin ich über ein sehr nettes Plugin für den Firefox gestolpert: Tamper Data. Dieses Plugin fängt auf Wunsch alle vom Benutzer initiierten HTTP Requests ab, damit sie vor dem endgültigen versenden an den Server begutachtet und ggf. verändert werden können. So lassen sich Referrer, Cookies oder POST Daten kontrollieren und manipulieren.

Wer’s versuchen möchte kann dies hier tun, Benutzername: ‘admin’; Passwort: ‘ngsec’, das Login funktioniert wenn der Referrer ‘http://www.ngsec.com’ ist.

Bookmark to:

Tools | 1 Kommentar »

Tags: Tools, spoofing

Kürzlich bin ich über ein nettes Tool namens TTCP gestolpert. Es kann nicht viel, aber das ziemlich gut, und bisher kannte ich nichts vergleichbares. TTCP kennt zwei Betriebsmodi: einmal als Sender, und einmal als Empfänger (respektive Server und Client) und tut nichts anderes, als vom Sender zum Empfänger Daten zu schaufeln, so schnell und so viel es kann. Dabei lassen sich die Ports, über welche das passiert, als auch die Datenmenge welche übertragen wird, recht frei bestimmen. Im Wesentlichen wars das auch schon, sieht man von ein paar Statistiken ab. Zur Diagnose von Load Balancing, QoS oder Ähnlichem ist dieser kleine Helfer jedes Byte seines Quellcodes wert.

Bookmark to:

Tools | 3 Kommentare »

Tags: Tools

Jeder kennt Bruteforce Attacken. Man nimmt sich ein entsprechendes Tool, welches systematisch die abstrusesten Zeichenkombinationen durchprobiert, um sich irgendwo Einlass zu verschaffen. Bei gängigen 128 bit langen Schlüsseln kann das schon mal das ein oder andere Jahr(zehnt) dauern, je nach Soft- und Hardwareausstattung. Findige Köpfe kamen danach schnell darauf, das Anwender (entgegen allen Warnungen) immer wieder leicht zu merkende Passwörter verwenden (Namen zum Beispiel, oder alles was irgendwie in Wörterbüchern steht). Es erschien daher logisch, nicht wild alle erdenklichen Kombinationen durchzutesten, sondern nur bestimmte Kombinationen, welche in Wortlisten auftauchten, beispielsweise in einem simplen deutschen Wörterbuch. Unter Umständen spart dieses Vorgehen viel Zeit.

Das kleine Script Wyd führt diesen Schritt nun weiter. Es verwendet vorhandene Informationen zum erstellen einer personalisierten Wordlist. Seien es öffentliche Dokumente, die Tags der mp3 Sammlung oder andere Informationen, das Script trägt alles zusammen und versucht mittels geschickter Algorithmen, brauchbares von unbrauchbarem zu trennen, und so eine kleine Wortliste zu erhalten, die durch ihre Personalisierung jedoch enorm mächtig sein dürfte. (WENN der Benutzer einen Namen verwendet stehen die Chancen gut das dieser in seinem persönlichen Addressbuch zu finden ist.)

Bisher unterstützt Wyd folgende Formate:

• plain
• html
• doc
• ppt
• mp3
• pdf

Abschließend daher wieder der gebetsmühlenartige Aufruf, “starke” Passwörter zu verwenden, idealerweise solche von Generatoren, und diese nirgendwo im Klartext zu notieren. Es gibt etliche Tools, welche die Passwörter in einer verschlüsselten Datei zusammentragen, die durch ein Masterpasswort geschützt ist. Beispielsweise KeePass (für Linux und Windows).

Bookmark to:

Security | Kein Kommentar »

Tags: Tools