All posts by robin

Latest Posts
4 years ago

Icinga2 setup without connection to Master

Leave a comment

My network consists of several locations connected using VPN tunnels. All machines within this network are monitored using icinga2. Adding new machines and generating the required certificates can be easily done using node wizard. This requires the master to be reachable from the new node. To monitor my public services (like this blog) I’m using […]

Continue reading Icinga2 setup without connection to Master
4 years ago

WebUntis: Warum XSS Filter eine schlechte Idee sind

3 Comments

Noch am Tag der Veröffentlichung wurde die hier genannte Schwachstelle geschlossen. Über die Details liegen derzeit keine Informationen vor. Ende März diesen Jahres habe ich mehrere Schwachstellen in der Stundenplan- und Klassenbuchsoftware WebUntis in einem Responsible Disclosure Verfahren offengelegt. Neben einer CSRF Schwachstelle war es auch an mehreren Stellen möglich, JavaScript in die Webapplikation einzuschleusen. […]

Continue reading WebUntis: Warum XSS Filter eine schlechte Idee sind
IT-Sec

Notenmanipulation in elektronischen Klassenbüchern

Am 07.06.2020 gelang der Nachweis, dass die umgesetzten Maßnahmen nicht ausreichnd sind. Mehr dazu hier. Die vollständige Veröffentlichung aller Details und Proof-of-Concepts ist am 22.03.2020 erfolgt. Seit dem 31.03.2020 existiert eine offizielle Stellungnahme der Firma Untis. Details dazu hier. Bei WebUntis handelt es sich um ein elektronisches Klassenbuch, das die Aufgaben eines herkömmlichen Klassenbuchs auf […]

Continue reading Notenmanipulation in elektronischen Klassenbüchern
Elektronik, Heimautomatisierung

Junkers Therme mit WLAN und MQTT

4 Comments

Zur Einsparung von Gas wollte ich die in der Wohnung vorhandene Gastherme Internetfähig machen. Ziel war dabei die Einsparung von Gas. Bisher habe ich dazu die vorhandene Zeiteinstellung genutzt und beim Verlassen der Wohnung die voraussichtliche Ankunftszeit eingestellt. Das führt jedoch dazu, dass die Wohnung entweder noch kalt ist, sofern man früher als erwartet zurück […]

Continue reading Junkers Therme mit WLAN und MQTT
IT-Sec

Revealing domain credentials in “public” Hotspots

Leave a comment

This article is a follow up of my previous articles about common security issues on WPA2 Enterprise networks and the mysterious “Connect to these servers” option of Windows. It describes an attack which could endanger your networks security with a simple social engineering attack. As stated in my first article about WPA2 Enterprise, using MS-CHAP […]

Continue reading Revealing domain credentials in “public” Hotspots
IT-Sec

Show me your smartphone and I tell you where you are from

2 Comments

This article outlines privacy issues with WiFi enabled smartphones and my tracking approach using a few lines of code. Using a $2 chinese wireless USB adapter, an old Raspberry Pi B and Scapy I was able to track peoples habits and visualize their homes location in realtime. Disclaimer: In most (European) countries this proceeding will […]

Continue reading Show me your smartphone and I tell you where you are from
5 years ago

Sicherheit unverschlüsselter Netzwerke und Captive Portals

2 Comments

In Hotels, Gaststätten und in vielen Firmen ist es Standard, eine Anmeldung für Gäste am WLAN mit einem Captive Portal zu versehen. Dabei müssen entweder nur Nutzungsbestimmungen oder aber vorher bekanntgegebene Zugangsdaten eingegeben werden. In den meisten Fällen ist diese Art der Umsetzung kein Problem, denn viele Dienste im Internet werden inzwischen verschlüsselt erreicht. Die […]

Continue reading Sicherheit unverschlüsselter Netzwerke und Captive Portals