Zwei recht ähnliche Lücken erlaubten SQL-Injections auf Websites, die auf Ruby on Rails 2.0.0 bis 3.1.18 sowie auf 4.x aufsetzen. In mehreren Anläufen haben die Rails-Entwickler die Lücken nun geschlossen.

Heute mit: Klopftechniken, einem angriffslustigen Google-Bot, angreifbaren Web-Apps, vorhergesagten PHP-Zufallszahlen, nützlichen Python-Skripten und den Defcon-Mitschnitten.

Der Web Application Attack Report von Imperva kommt zu dem Schluss, dass Einzelhändler im wesentlich häufiger per SQL Injection attackiert werden, als andere Branchen. Das kann auch an der Vielzahl von Katalogseiten einer Webseite liegen.

Heute mit: einer fingierten Phishing-Falle, SQL-Injections wie im Lehrbuch, Security-Nachhilfe für App-Entwickler, Cisco-Bugs, einer Fortinet-Faceplam, einem Pentester-Firefox und Neuigkeiten zu den QNAP-Lücken.

Das ist der Stoff, aus dem die Shitstorms sind: Kanadisches College exmatrikuliert Studenten, weil er auf eine Sicherheitslücke aufmerksam gemacht hat. Statt einzulenken, verteidigt das Dawson College seine Position.

Alle aktuellen Versionen des Fameworks Ruby on Rails sind von einer Sicherheitslücke betroffen, die das Einschleusen von beliebigem SQL-Code ermöglicht. Nutzer sollten ihre Software möglichst schnell aktualisieren.

Der Entwickler der Web-Applikation PHP Gift Registry hat fast 8 Jahre nach der Veröffentlichung eines Hinweises auf eine schwere Sicherheitslücke schließlich doch noch geantwortet: Das Problem sei nun behoben.

Das Online-Auktionshaus hat unter anderem eine Lücke geschlossen, durch die man lesend und schreibend auf eine seiner Datenbanken zugreifen konnte.

Die LulzSec-Gruppe hatte im vergangenen Jahr eine Website von Sony gehackt und Nutzerdaten veröffentlicht. Ein Mitglied der Gruppe bekannte sich bereits schuldig. Nun wurde ein zweiter Verdächtiger verhaftet.

Die auf den Schutz vor verteilten Denial-of-Service-Attacken spezialisierte Firma Prolexic hat diverse Sicherheitslücken in dem DDoS-Toolkit Dirt Jumper veröffentlicht – und ist prompt nicht mehr zu erreichen.

Die Security-Firma FireHost berichtet, dass die Zahl der registrierten SQL-Injection-Angriffe im letzten Quartal um 69 Prozent angestiegen ist. Das passt gut zu den in letzter Zeit sehr gehäuft auftretenden Passwort-Lecks.

Der Hoster hat eine kritische Sicherheitslücke auf seiner Webseite geschlossen, noch bevor dadurch vertrauliche Daten entwendet werden konnten.

Das FBI soll den Führer der Hacktivistengruppe UGNazi verhaftet haben. Die Hacker hatten vor kurzem die Website des Bezahlsystemanbieters WHMCS gehackt und zahlreiche Kundendatensätze online gestellt.

Durch kritische Schwachstellen in der Webpräsenz soll der Zugriff auf vertrauliche Daten wie Kreditkartennummern, Passagierlisten und Passwörter möglich gewesen sein.

Nachdem heise Security die Kreditkartenfirma über ein kritisches Sicherheitsproblem auf ihren Web-Seiten informiert hat, wurde die Lücke innerhalb weniger Tage geschlossen.

Eine Welle von gezielten SQL-Injection-Attacken breitet sich nach Angaben von Sicherheitsexperten immer stärker aus. Betreiber sollten ihre Websites überprüfen und Gegenmaßnahmen ergreifen.

Eine Schwachstelle in seiner Bulletin-Board-Software ist Nokia zum Verhängnis geworden. Ein Hacker erlangte Zugriff auf E-Mailadressen und Geburtsdaten von im Developer-Forum registrierten Entwicklern.