SQL-Injection-Testing

Oktober 23, 2017 - Lesezeit: ~1 Minute

Man schreibt ja schon die ein oder andere Webanwendung. Fehler passieren, aber im Falle von Fehlern in der Webanwendung könnte das den ganzen Server, die Datenbank oder Benutzerinformationen bedrohen.

Ein schnelles und einfach einzusetzendes Tool ist das Python-basierte SQLMap. Datenbank und Schnittstellen mal eben schnell auf die gängigen SQL-Injections der Script-Kiddies abklopfen, kein Problem.

Man benötigt nur python auf dem Server.

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Nachdem SQLMap von GitHub geklont wurde reicht der Aufruf:

python sqlmap.py -u https://www.domain.tld/?param=arg --batch --banner

Danach wird die Schnittstelle über den den $_GET-Parameter PARAM auf SQL-Injections geprüft und versucht, die ersten Daten über das verwendete Backend zu ermitteln.

Screenshot

Das ist nur die Spitze des Eisbergs. Die Dokumentation des Tools findet man auf der Seite der Entwickler.

Meiner Meinung nach ein heftiges Werkzeug.

Nutzung auf eigene Gefahr.

Und dass nur eigene Anwendungen gecheckt werden dürfen, versteht sich hoffentlich von selbst.


Sniffing on Localhost

Januar 19, 2017 - Lesezeit: ~1 Minute

Wenn man mit unter Windows versucht, mit Wireshark Verbindungen zum Localhost zu untersuchen, wird man schnell feststellen, dass WinPcap diese Verbindung nicht unterstützt / das Interface nicht gelistet ist.

RawCap bietet diese Möglichkeit und das daraus resultierende Capture-File kann anschließend in Wireshark geladen und untersucht werden.

Keine Installation, schnell, kostenlos, intuitiv bedienbar und das wichtigste -> funktioniert..


Geocache-Final mit Peilung (Wegpunktprojektion)

Februar 23, 2015 - Lesezeit: ~1 Minute

Heute kam ich dazu, mir den Geocache "GPS Referenzpunkt Frankfurt" mal genauer anzuschauen.
Um an die Koordinaten des Finals zu bekommen, muss gepeilt werden.

Mit Peilung hatte ich zuletzt vor einigen Jahren beim Bund zu tun, als wir im Wald mit "KarteKompass" beim Orientierungsmarsch unterwegs waren.

Um die Peilung für den Cache durchzuführen, wollte ich mal das Internet befragen und siehe da, ein Online-Tool das auch noch funktioniert.

http://www.zwanziger.de/gc_tools_projwp.html

Nachdem die bekannten Daten eingetragen waren, wurden mir die Koordinaten für das Final angezeigt und Google-Maps zeigte mir per Sateliten-Bild die genaue Position.


Dateien löschen älter als X Tage

August 25, 2014 - Lesezeit: ~1 Minute

Löscht Dateien die älter sind als 90 Tage (Änderungsdatum).

find /raid0/backup/ -mtime +90 -type f -exec rm -v {} \;

Löscht Dateien die jünger sind als 90 Tage (Änderungsdatum).

find /raid0/backup/ -mtime -90 -type f -exec rm -v {} \;

Löscht Dateien die vor genau 90 Tagen geändert wurden.

find /raid0/backup/ -mtime 90 -type f -exec rm -v {} \;

Logout trotz laufendem Shell-Prozess

Dezember 27, 2013 - Lesezeit: 2 Minuten

Terminal auf.. per SSH auf die Remotekiste und mal eben schnell ein Script starten..
Dann erst realisieren, dass man sich nun für eine gefühle Ewigkeit nicht von der Konsole abmelden darf ohne den Prozess zu killen..

Wie man einen Prozess im Hintergrund weiterlaufen lässt weiss wahrscheinlich jeder, der regelmässig mit der Konsole arbeitet. (COMMAND &)
Aber mit der Abmeldung von der Konsole ist auch dieser Prozess weg, ausser man startet den Prozess direkt mit nohup.

nohup ping google.de &

Wurde der Prozess bereits gestartet (ohne nohup), wird der Prozess mit Beendigung der Sitzung auch beendet.
Soll der Prozess dennoch weiterlaufen, kann man "nohup" nutzen um den Prozess von der Sitzung zu trennen.

// Prozess starten
# ping www.google.de

// Tastenkombination um den Vordergrundprozess anzuhalten
[CTRL]+[Z]

// Letzten angehaltenen Prozess im Hintergrund weiterlaufen lassen
# bg

// Laufende Prozesse bekommen kein -HUP-Signal gesendet und laufen weiter
# disown -h

// Sitzung beenden
# exit

disown kann auch, wie auch nohup, genutzt werden, um den Prozess direkt von der Sitzung zu trennen

wget -nv http://download.example.org/linux_image_1.iso & disown

[Quellen]


CSS Cross Browser Word-Wrap

Juli 3, 2013 - Lesezeit: ~1 Minute

Nachdem mir im Zuge der Umsetzung der Code-Snippets-Ansicht aufgefallen ist, dass kein automatischer Zeilenumbruch stattfindet, habe ich folgendes CSS gefunden.

.word_wrap
{
    white-space: pre-wrap; /* css-3 */
    white-space: -moz-pre-wrap; /* Mozilla, since 1999 */
    white-space: -pre-wrap; /* Opera 4-6 */
    white-space: -o-pre-wrap; /* Opera 7 */
    word-wrap: break-word; /* Internet Explorer 5.5+ */
}

[Quellen]