Komme gerade von der CeBit wieder dort werden diese Jahr auch einiger Live-Hacks vorgeführt. Hab mir gerade 3 Beiträge der sehr interessanten Schweizer Firma COM-Pass Security angesehen(www.csnc.ch). Diese Firma hat sich unteranderen auf Penetration Tests spezialisiert, dass bedeutet sie werden von Firmen beauftragt um in ihre System einzudringen und Sicherheitslücken aufzuspühren. Desweiten bieten sie noch IT-Forenski, FileBox Solution und Hacker Workshops an (www.hacking-lab.com).
In den live Vorführungen würden unter anden behandelt:

  • Das auslesen von SQL Datenbanken eines Webshops durch senden von SQL Befehlen duch die Suchmaske.
  • Aus lesen der Passwörterdatei einer Webside einfaches modellieren der xml Abfrage.
  • Das gelangen von Domain Administrator Rechten mit dem vorher ausgelesenden Accs durch Ausnutzung von verschieden Exploit, Fehler in der VM, dem auslesen von lokal zwischen gespeicherten Admin PW usw.
  • Das ausnutzen von Fehlern in Facebook StudiVZ usw durch dem hinzufügen eins Java Scrips in eine private Nachricht, durch den dann z.B. Cokies ausgelesen werden können, so dass man mit deren Acc angemeldet ist.
  • Das verschleiern und unauffällige verteilen von Malware in Firmennetzwerken um cmd Zugriff zu erhalten.



Das war so in groben Liste der Dinge die ich mir dort angesehen habe, für mich war war echt sehr interessant, wobei ich doch stark bezweifle, das so welche Sicherheitslücken noch in vielen "größeren" Sides zu finden sind.
Wer sich diese Vorführungen ansehen will, sollte in Halle 11, Stand D06 vorbeischauen. Auch im heise Forum dreht sich diese Jahr alles um Sicherheit und Recht auch dort gibt es jeden Tag (ausgenommen Fr. da c't Aufzeichnung) Live Hacking mit Sebastian Schreiber. Bin heute jedoch noch nicht dazugekommen mir die Vorstellung anzusehen.