Sunday, July 24, 2011
Anleitung abgeschnitte Faxe mit der Fritz Box verhindern
Seit kurzem habe ich zum ersten Mal die Fax Funktion meiner Fritz Box 7170 ausprobiert. Doch leider kommen die Faxe immer nur zerstückelt an, siehe Bild.
Nach einiger Internetrecherche[1] habe ich im Freetz Webinterface 40MB Swap Space eingestellt. Die Swappiness[2] habe ich auf dem Standardwert 60 belassen. Scheinbar wird der Swap Space auch nur während der Konvertierung des empfangenen Faxes genutzt und 40MB reichen auf jeden Fall für einen ordentlichen Faxempfang aus! Kann ich nur empfehlen, falls ihr das gleiche Problem habt.
Im normalen Betrieb bleibt der SWAP ungenutzt:
[1] http://www.ip-phone-forum.de/showthread.php?t=217730
[2] http://juliusbeckmann.de/blog/linux-speichermanagement-tunen-swappiness.html
Sunday, July 17, 2011
Cross Site Scripting wird in Browsern vertuscht
Cross Site Scripting ist eine unschöne Sache. Dabei übernimmt der Server ohne weitergehende Prüfung eingaben des Benutzers.
Formularfelder werden vielfach per Javascript geprüft. Das ist nicht sicher! Man kann zum Beispiel GET Parameter direkt in der URL Leiste manipulieren.
Moderne Browser machen hier leider einen Strich durch die Rechnung indem URLs automatisch URL-encoded werden.
Beispiel Chrome:
Sichtbar ist in der URL Bar folgendes:
Ähnlich wird in Internet Explorerer 8 und Firefox 3 and 4 vorgegangen. Allerdings wird hier der URL encoded String im Browser angezeigt, zumindest ein Hinweis für die Web Entwickler.
Wichtig ist es für einen WEB Entwickler, die Anzeige in der URL Leiste gegenzuchecken mit Firefox Plugins wie Tamper Data oder der Network Leiste in Google Chrome. Nur so kann effektiv auf Cross Site scripting überprüft werden. Im Zweifel sollte ein intercepting Proxy, zum beispiel Burp, herangezogen werden. Der kann dann auch POST Parameter modifizieren und ist frei von jeglichen Jacascript Checks.
Links:
- OWASP: Cross Site Scripting
- Burp intercepting Proxy
Formularfelder werden vielfach per Javascript geprüft. Das ist nicht sicher! Man kann zum Beispiel GET Parameter direkt in der URL Leiste manipulieren.
Moderne Browser machen hier leider einen Strich durch die Rechnung indem URLs automatisch URL-encoded werden.
Beispiel Chrome:
Sichtbar ist in der URL Bar folgendes:
example.com/?param=<script>alert(document.cookie)</script>Tatsächlich verwendet wird aber:
http://example.com/?param=%3Cscript%3Ealert(document.cookie)%3C/alert%3EHier wurde ein URL Encoding vorgenommen. Problematisch, weil mit URL-Encoding häufig kein Ausnutzen des Cross Site Scripting möglich ist. Es sieht aus, als ob die Web Anwendung sicher ist. Durch einen Intercepting Proxy ist ein Ausnutzen aber immer noch möglich!
Ähnlich wird in Internet Explorerer 8 und Firefox 3 and 4 vorgegangen. Allerdings wird hier der URL encoded String im Browser angezeigt, zumindest ein Hinweis für die Web Entwickler.
Wichtig ist es für einen WEB Entwickler, die Anzeige in der URL Leiste gegenzuchecken mit Firefox Plugins wie Tamper Data oder der Network Leiste in Google Chrome. Nur so kann effektiv auf Cross Site scripting überprüft werden. Im Zweifel sollte ein intercepting Proxy, zum beispiel Burp, herangezogen werden. Der kann dann auch POST Parameter modifizieren und ist frei von jeglichen Jacascript Checks.
Links:
- OWASP: Cross Site Scripting
- Burp intercepting Proxy
Subscribe to:
Posts (Atom)