Mittwoch, 21. November 2007
[Thema: augenblick-fingerfertig.de]
...das heißt auch dieses Jahr wieder, dass wir auf dem Weihnachtsmarkt in Steinbach am Taunus ausstellen. Der findet wie immer am ersten Advents-Wochenende statt, also am 1. und 2. Dezember 2007.
Zusätzlich werden wir dieses Jahr unsere Karten auch im Kölner Kunstverein ausstellen (Annaya, wie heisst der noch genau? Gibts ne Webseite?)
Und schließlich, auch mal schön: Google mag uns und schickt viele Besucher zu unserer kleinen Geschichte zum Bau unseres Weihnachtsmarkt-Stands.
Zusätzlich werden wir dieses Jahr unsere Karten auch im Kölner Kunstverein ausstellen (Annaya, wie heisst der noch genau? Gibts ne Webseite?)
Und schließlich, auch mal schön: Google mag uns und schickt viele Besucher zu unserer kleinen Geschichte zum Bau unseres Weihnachtsmarkt-Stands.
Mittwoch, 28. Februar 2007
[Thema: augenblick-fingerfertig.de]
Wir sind wieder auf einem Markt - nachdem wir auf dem Weihnachtsmarkt im Taunus viel Spaß gehabt und recht gut verkauft haben, gehen wir demnächst auf den Ostermarkt in Hering am Otzberg. Da werden wir selbstgefräste Eier, Ostergestecke, Ketten und natürlich unsere selbstgemachten Karten verkaufen. Hier könnt ihr euch Beispiele für unsere Waren anschauen.
Also schaut doch mal vorbei: Wir sind auf dem Ostermarkt in Hering am Otzberg am 24. und 25. März sowie am 31. März und 1. April 2007 (Palmsonntag).
Also schaut doch mal vorbei: Wir sind auf dem Ostermarkt in Hering am Otzberg am 24. und 25. März sowie am 31. März und 1. April 2007 (Palmsonntag).
Samstag, 27. Januar 2007
[Thema: augenblick-fingerfertig.de]
Ab sofort gibts viele verschiedene Ketten bei Augenblick-Fingerfertig. Die haben die beiden Damen für den Weihnachtsmarkt selbst gefädelt - und jetzt kommen sie ins Internet, soweit sie nicht verkauft wurden. Die Preise sind sehr moderat - in Köln haben wir baugleiche Ketten für den doppelten bis dreifachen Preis gesehen. Hier ist mal ein Beispiel für eine Kette:
Ach ja: Nicht vergessen, am 14.2. ist Valentinstag - da ist so ein Schmuckstück ein schönes Geschenk für die Angebetete :)
Ach ja: Nicht vergessen, am 14.2. ist Valentinstag - da ist so ein Schmuckstück ein schönes Geschenk für die Angebetete :)
Mittwoch, 22. November 2006
Sonntag, 5. November 2006
[Thema: augenblick-fingerfertig.de]
Unser Stand für den Weihnachtsmarkt in Steinbach ist dieses Wochenende entstanden...
Wie eine Menge Bretter zu einem Stabilen Stand verarbeitet wurden, kann man in einem Feature bei Augenblick-Fingerfertig nachlesen.
Wie eine Menge Bretter zu einem Stabilen Stand verarbeitet wurden, kann man in einem Feature bei Augenblick-Fingerfertig nachlesen.
Dienstag, 22. August 2006
[Thema: augenblick-fingerfertig.de]
Der neue OSCommerce Shop geht jetzt in Produktion. Alles weitere drüben auf www.augenblick-fingerfertig.de.
EDIT: Es ist vollbracht: Der neue Shop läuft. Demnächst wird es auch Kalender für 2007 und viele schöne Geschenkartikel geben. Es lohnt sich also reinzuschauen.
Wenn ihr über neue Artikel informiert werden wollt, dann könnt ihr Uns schreiben und bekommt dann den Augenblick-Fingerfertig Newsletter zugesandt.
EDIT: Es ist vollbracht: Der neue Shop läuft. Demnächst wird es auch Kalender für 2007 und viele schöne Geschenkartikel geben. Es lohnt sich also reinzuschauen.
Wenn ihr über neue Artikel informiert werden wollt, dann könnt ihr Uns schreiben und bekommt dann den Augenblick-Fingerfertig Newsletter zugesandt.
Dienstag, 15. August 2006
[Thema: augenblick-fingerfertig.de]
Hier gibt es einen Artikel zum Cross Site Scripting als Ausgangspunkt für Shell Access auf einem Webserver: XSS Vulnerability.
In diesem Artikel beschreibt der Autor, ein Seth Fogie drei Angriffsschritte zum Knacken einer Web Applikation:
Am Spannensten war für mich die Code Injection. Fogie hat anstelle eines Bildes ein PHP-Script (mit Endung .php) hochgeladen. Dieses wurde so abgelegt, dass es als Webseite aufrufbar war. Eine Prüfung auf eine Bild-Endung geschah nicht. Dadurch konnte er beliebigen Code in den Server einspielen und mit den Rechten des Webserver-Benutzers ausführen.
Diese Attacke ist bei OS Commerce nur im Admin-Bereich möglich: Dort wird z.B. für die Produktbilder beim hochladen keine Prüfung durchgeführt, ob es sich um eine Bild-Endung (.jpg, .jpeg, .png, .gif) handelt. Allerdings können im Admin-Bereich auch beliebige PHP-Dateien mit einem Editor verändert werden. Damit kann man ganz offiziell PHP-Code bearbeiten. Anders gesagt: Wer in den Admin-Bereich von OS Commerce eindrigen kann, kann auch seinen eigenen Code ausführen lassen. Um diesen Bereich abzusichern, müsste man den dortigen Datei-Manager entfernen und bei allen Aufrufen der "upload"-Klasse den Dateityp prüfen. Die Upload-Klasse bietet bereits eine Prüfung an, diese wird lediglich nicht genutzt: Der letzte Parameter beim Konstruktor upload() ist ein Array von erlaubten Endungen.
Kann man nun in den Admin-Bereich über Session Hijacking eindringen? Benutzer werden dort nicht wie im eigentlichen Webshop über Cookies oder Session IDs identifiziert. Stattdessen muss der Admin-Bereich über eine HTTP-Authentifizierungsmethode des Webservers gesichert werden. Dies kann man auf dem Apachen mit .htaccess Dateien oder über die Konfiguration des Webservers erreichen. Der im obigen Artikel beschriebene Session Hijacking Angriff greift damit für den Admin-Bereich nicht.
Kann nun das Session Hijacking im normalen Webshop (also nicht im Admin-Bereich) benutzt werden, um Benutzer-Sessions zu kapern und damit die Benutzerdaten (z.B. auch Kontodaten beim Lastschrift-Einzug) auszuspähen? Hierzu müsste ein normaler Benutzer (anonym oder als nicht-admin Benutzer angemeldet) Javascript-Code in die Webseiten des Shops einfügen können. Hier habe ich einige Stichproben durchgeführt:
Bei der Eingabe eines vorhandenen Benutzernamens werden weder der Benutzername noch das Passwort bei Falscheingabe in der nachfolgenden Fehlermeldung ausgegeben. Auch bei der Suche wird die Suchanfrage nicht in der Webseite angezeigt. Bei der Abgabe von Bewertungen werden < und > im vom Benutzer eingegebenen Text entfernt. So ergibt die Eingabe von
Insgesamt kann man keine dieser Eingabemöglichkeiten benutzen, um eine Cross Site Scripting Attacke durchzuführen.
Dies ist noch keine umfassende Überprüfung, langt mir aber für eine erste Einschätzung des OS Commerce: Herr Ponce De Leon scheint beim Bau des OS Commerce Systems auch an derartige Attacken gedacht zu haben, das ist recht beruhigend.
Achja, den zweiten Punkt, die Parameter-Veränderung habe ich nicht betrachtet. Das wäre aber ein grober Faux-Pas bei der Programmierung, und so etwas ist mir bei OS Commerce bisher nicht aufgefallen.
Meine Empfehlung zur Absicherung des Webshops: Man sollte den Admin-Bereich extrem stark absichern. Wenn man bedenkt, dass bei der BASIC HTTP-Authentifizierung das Passwort bei jedem Zugriff im Klartext übertragen wird, sollte man mindestens eine gesicherte Verbindung über HTTPS verwenden.
In diesem Artikel beschreibt der Autor, ein Seth Fogie drei Angriffsschritte zum Knacken einer Web Applikation:
- Session Hijacking, um die Session eines Benutzers mitbenutzen zu können, ohne sein Passwort eingegeben zu haben.
- Parameter-Veränderung um an Daten anderer Benutzer zu gelangen.
- Code Injection in den Server über einen File-Upload.
Am Spannensten war für mich die Code Injection. Fogie hat anstelle eines Bildes ein PHP-Script (mit Endung .php) hochgeladen. Dieses wurde so abgelegt, dass es als Webseite aufrufbar war. Eine Prüfung auf eine Bild-Endung geschah nicht. Dadurch konnte er beliebigen Code in den Server einspielen und mit den Rechten des Webserver-Benutzers ausführen.
Diese Attacke ist bei OS Commerce nur im Admin-Bereich möglich: Dort wird z.B. für die Produktbilder beim hochladen keine Prüfung durchgeführt, ob es sich um eine Bild-Endung (.jpg, .jpeg, .png, .gif) handelt. Allerdings können im Admin-Bereich auch beliebige PHP-Dateien mit einem Editor verändert werden. Damit kann man ganz offiziell PHP-Code bearbeiten. Anders gesagt: Wer in den Admin-Bereich von OS Commerce eindrigen kann, kann auch seinen eigenen Code ausführen lassen. Um diesen Bereich abzusichern, müsste man den dortigen Datei-Manager entfernen und bei allen Aufrufen der "upload"-Klasse den Dateityp prüfen. Die Upload-Klasse bietet bereits eine Prüfung an, diese wird lediglich nicht genutzt: Der letzte Parameter beim Konstruktor upload() ist ein Array von erlaubten Endungen.
Kann man nun in den Admin-Bereich über Session Hijacking eindringen? Benutzer werden dort nicht wie im eigentlichen Webshop über Cookies oder Session IDs identifiziert. Stattdessen muss der Admin-Bereich über eine HTTP-Authentifizierungsmethode des Webservers gesichert werden. Dies kann man auf dem Apachen mit .htaccess Dateien oder über die Konfiguration des Webservers erreichen. Der im obigen Artikel beschriebene Session Hijacking Angriff greift damit für den Admin-Bereich nicht.
Kann nun das Session Hijacking im normalen Webshop (also nicht im Admin-Bereich) benutzt werden, um Benutzer-Sessions zu kapern und damit die Benutzerdaten (z.B. auch Kontodaten beim Lastschrift-Einzug) auszuspähen? Hierzu müsste ein normaler Benutzer (anonym oder als nicht-admin Benutzer angemeldet) Javascript-Code in die Webseiten des Shops einfügen können. Hier habe ich einige Stichproben durchgeführt:
Bei der Eingabe eines vorhandenen Benutzernamens werden weder der Benutzername noch das Passwort bei Falscheingabe in der nachfolgenden Fehlermeldung ausgegeben. Auch bei der Suche wird die Suchanfrage nicht in der Webseite angezeigt. Bei der Abgabe von Bewertungen werden < und > im vom Benutzer eingegebenen Text entfernt. So ergibt die Eingabe von
<a href="http://www.tagesschau.de" onmouseover="alert('hacked!');">Tolle Seite</a>
nach dem Speichern den Text _a href="http://www.tagesschau.de" onmouseover="alert('hacked!');"_Tolle Seite..
Insgesamt kann man keine dieser Eingabemöglichkeiten benutzen, um eine Cross Site Scripting Attacke durchzuführen.
Dies ist noch keine umfassende Überprüfung, langt mir aber für eine erste Einschätzung des OS Commerce: Herr Ponce De Leon scheint beim Bau des OS Commerce Systems auch an derartige Attacken gedacht zu haben, das ist recht beruhigend.
Achja, den zweiten Punkt, die Parameter-Veränderung habe ich nicht betrachtet. Das wäre aber ein grober Faux-Pas bei der Programmierung, und so etwas ist mir bei OS Commerce bisher nicht aufgefallen.
Meine Empfehlung zur Absicherung des Webshops: Man sollte den Admin-Bereich extrem stark absichern. Wenn man bedenkt, dass bei der BASIC HTTP-Authentifizierung das Passwort bei jedem Zugriff im Klartext übertragen wird, sollte man mindestens eine gesicherte Verbindung über HTTPS verwenden.
Montag, 7. August 2006
[Thema: augenblick-fingerfertig.de]
Ah ja, so will man den Webshop eigentlich haben. Ein guter Tipp, denn damit fallen viele Umbauarbeiten weg, die noch anstanden. Stattdessen Redesign der Oberfläche des OS Commerce hin zum Augenblick-Fingerfertig.de Design - erweitert um die schönen Funktionen, die OS Commerce mitbringt: Neueste Artikel, beliebteste Artikel, Benutzerverwaltung und so weiter. Der Urlaub ist gerettet!
Sonntag, 23. Juli 2006
[Thema: augenblick-fingerfertig.de]
Bei www.augenblick-fingerfertig.de gibts richtig schöne Sachen:
Fotogrußkarten:
Fotogrußkarten:
Fotogrußkarten: Blumen |
Fotogrußkarten: Rosen |
Fotogrußkarten: Frühling | Fotogrußkarten: Winter |
Postkarten | Dekorationsartikel | ||
Postkarten: Katzen |
Postkarten: Blumen |
Dekorationsartikel: Ostereier |
Donnerstag, 13. April 2006
[Thema: augenblick-fingerfertig.de]
Froogle.de Kostenlos, von Google, einfache Technik
kelkoo.de Kostenlos, von Yahoo
Shopboy kostenlos
Metashopper / Preissuchmaschine Anmeldung und genauere Informationen nur per eMail zu erfahren - Sie wollen, dass man neben Vorauskasse noch mindestens eine andere Zahlungsart anbietet...
billiger.de von solute, nicht kostenlos
Preisauskunft.de nicht kostenlos
Milando.de Im ersten Monat kostenlos, dann ab 5 Cents pro Click, bei Einbau eines Backlinks 100 Clicks pro Monat kostenlos
Golem.de Nur für Computerkram
geizkragen.de Anmeldeseite im Moment defekt
kelkoo.de Kostenlos, von Yahoo
Shopboy kostenlos
Metashopper / Preissuchmaschine Anmeldung und genauere Informationen nur per eMail zu erfahren - Sie wollen, dass man neben Vorauskasse noch mindestens eine andere Zahlungsart anbietet...
billiger.de von solute, nicht kostenlos
Preisauskunft.de nicht kostenlos
Milando.de Im ersten Monat kostenlos, dann ab 5 Cents pro Click, bei Einbau eines Backlinks 100 Clicks pro Monat kostenlos
Golem.de Nur für Computerkram
geizkragen.de Anmeldeseite im Moment defekt
... nächste Seite