Angriff auf das CMS WordPress vorgeführt

Sam Thomas vom britischen Sicherheitsanbieter Secarma hat gerade auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework vorgeführt, der zu einer vollständigen Kompromittierung einer auf WordPress basierenden Internetseite führen kann. Der Bug ist schon seit über einem Jahr bekannt Das ist deshalb möglich, weil eine Sicherheitslücke, die schon seit einem Jahr besteht, bis heute ungepatcht ist. Für den Angriff muss das WordPress den Upload von Dateien erlauben. Ist das der Fall, kann ein Angreifer eine speziell gestaltete Thumbnail-Datei hochladen, die dann unter anderem einen Server Side Request Forgery-Bug ausnutzt. Die Sicherheitsforscher betonten, dass dadurch nicht nur vertrauliche Daten offen gelegt werden können, sondern unter Umständen sogar die Ausführung von Remotecode möglich ist. Die Sicherheitslücke steckt dem Forscher zufolge in der Funktion „wp_get_attachment_thumb_file“ in der Datei „/wpincludes/post.php“. Angreifer müssen nur die Kontrolle über einen der Parameter im Aufruf „file_exists“ gewinnen. Wenn zusätzlich auch das Autoloading aktiv ist, kann sogar Code der Angreifer geladen und ausgeführt werden, um damit letztlich das gesamte PHP-Framework zu kompromittieren.

2018-11-07T18:50:25+02:00August 19th, 2018|CMS|Kommentare deaktiviert für Angriff auf das CMS WordPress vorgeführt
Weiterlesen

MS-Connect(); zeigt Visual Studio und C# 7.0

Sowohl die nächste Version von Visual Studio "Visual Studio vNext" als auch das neue C# 7.0 wurden auf Microsofts Entwickler-Konferenz nur relativ kurz vorgestellt - der Zeitplan der Konferenz mit ihren vielen Neuerungen war wohl zu eng. Visual Studio kann jetzt auch PHP und R Bei Visual Studio vNext reichte es aber noch für den Hinweis, dass Microsoft im nächsten Visual Studio auch die Webserversprache PHP und die Sprache R für statistisches Rechnen und statistische Grafiken unterstützt. Im neuen Projektmappen-Explorer können die Entwickler mit "Open Code Folder" jetzt direkt zum entsprechenden Verzeichnis im Dateisystem wechseln. Kaum Details zu C# 7.0 In seiner nächsten Version wird C# (gesprochen C Sharp) auch Pattern Matching unterstützen. So können Entwickler beispielsweise durch eine Überladung für den is-Operator nun statt dem Code links auch den kürzeren rechts benutzen: var v=expr as Type; if (v != null) { //Code mit v } if (expr is Type v) { //Code mit v } Zusätzlich plant Microsoft auch die Unterstützung für Tupel und eine bessere Kontrolle der Entwickler über Speicherallokationen. Weitere Pläne für C# 7.0 und auch den aktuellen Stand der Implementierung können Sie auf GitHub mitverfolgen. C# 7.0 soll genau wie die aktuelle Programmversion C# 6.0 auf allen .NET-Versionen ab .NET 2.0 laufen.

2015-11-20T08:29:37+02:00November 20th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für MS-Connect(); zeigt Visual Studio und C# 7.0
Weiterlesen

Microsofts Visual Studio Code wird Open Source

Microsoft will sein Entwicklungswerkzeug Visual Studio Code ab sofort zu Open-Source-Software machen. Das kündigte der Konzern jetzt auf seiner Konferenz Connect(); an. Außerdem steht wieder eine neue Beta von Visual Studio Code für Windows, Mac OS X und Linux zum Download bereit. Das Entwicklungswerkzeug unterstützt auch Erweiterungen und beinhaltet einen Marktplatz für Addons, den sogenannten Visual Studio Marketplace, in dem sich schon 60 Erweiterungen für Visual Studio Code finden.

2015-11-19T23:51:38+02:00November 19th, 2015|Allgemein, CSS, HTML, Javascript, MySQL|Kommentare deaktiviert für Microsofts Visual Studio Code wird Open Source
Weiterlesen

Javascript-Konferenz enterJS in Darmstadt

Nach der zum ersten Mal im letzten Jahr in Köln abgehaltenen Konferenz für Javascript enterJS 2014 wird die Folgeveranstaltung in diesem Jahr vom 17. Bis zum 19. Juni im Darmstadtium in Darmstatt abgehalten. Wie von den letztjährigen Teilnehmern gewünscht, beginnt es gleich am 17. Jun mit einem Workshop-Tag, an dem für interessierte Entwickler Gelegenheit besteht, sich anhand praktischer Beispiele und Übungen intensiv mit den angesagten Themen aus dem JavaScript-Umfeld praktisch zu befassen. Angeboten werden diesmal die Schwerpunkte "JavaScript für Java- und C#-Entwickler", "Testgetriebene Entwicklung mit AngularJS", "Node.js, io.js und Co.: Entwickeln für die Cloud", "Eventgetriebene Programmierung und Architektur" und "Der Docker-Basis-Workshop". Am 18. und 19. Juni läuft dann die eigentliche Konferenz mit knapp 40 Vorträgen zu verschiedenen Themen. Das Programm der enterJS 2015 ist nun online verfügbar und die Registrierung ist eröffnet.

2015-02-23T15:06:55+02:00Februar 23rd, 2015|Allgemein|Kommentare deaktiviert für Javascript-Konferenz enterJS in Darmstadt
Weiterlesen
Nach oben