SQL Injection ist heutzutage in aller Munde. Hier eine Anleitung für Fortgeschrittene von Joe McRay auf der L1 2009.

Die Einführung einer gut strukturierten und gut gepflegten Configuration Management Database (CMDB) ist oft einer der ersten Schritte zur Einführung von IT Governance im Unternehmen. Definiert durch die Publikation Service Transition, oder spezieller dem dort beschrieben Prozess Asset und Configuration Management wird die Wichtigkeit einer guten Software gestützten CMDB klar.

Produkte die in ihren Werbslogans volle CMDB Fähigkeit versprechen sind oft nur wenig bis gar nicht für die Nutzung einer ITIL kompatiblen CMDB geeignet. Andere Produkte sind wiederum sehr mächtig und nahezu uneingeschränkt ITIL konform, diese sind dann aber meist für kleinere bis mittlere Unternehmen schlicht nicht leistbar. Hier schafft eine Lösung namens OneCMDB Abhilfe. Vor einigen Jahren entstand OneCMDB eigentlich als Showcase für eine optimale CMDB. Mittlerweile ermöglicht zum einen ein sehr ausgereiftes GUI, sowie eine mächtige API die produktive Nutzung im Unternehmen sowie auch die Einbindung in bereits bestehende Unternehmenssoftware.

OneCMDB ist inkl. Sourcecode frei auf der Seite http://www.onecmdb.org erhältlich

Immer wieder sehen sich Administratoren damit konfrontiert auf Linux basierende Appliances zu installieren
ohne sich zuvor mit Linux beschäftigt zu haben. Meist ist es hier notwendig ohne graphische Oberfläche die grundsätzliche Netzwerkkonfiguration
des Geräts vorzunehmen. Erst dann kann man via Web Interface das Gerät administrieren.

Aus diesem Grund stell ich hier mal eine kurze Anleitung zum setzen der Basisnetzwerkdaten online.
Die Anleitung bezieht sich auf RedHat/CentOS/Fedora Core basierende Appliances.

Schritt 1: Setzen der IP Adresse

Grundsätzlich lässt sich die IP Adresse mit dem Tool ifconfig setzen (z.b. ifconfig eth0 10.0.16.12 netmask 255.255.255.0 up). Die hiermit vorgenommen Änderungen
überleben allerdings den nächsten Reboot nicht (Besonders fies da die Appliance ja erstmal funktioniert).
Während ifconfig auf allen Linux Distributionen sowie den meisten Unix Distributionen verfügbar ist, unterscheidet sich der Vorgang zum dauerhaften setzen der Adresse
von Distro zu Distro. Bei RedHat/CentOS/Fedora Core basierenden Distros funktioniert das über das sogenannte ifup script. Für Ethernet Adapter heißt das script ifup-eth.

Wie genau der Adapter zu konfigurieren ist teilt man dem Script über ein Konfigurationsfile nach dem Schema ifcfg-<adaptername> mit (Also ifcfg-eth0 für eth0).
Das Script ifup-eth sowie das Konfigurationsfile befinden sich im Verzeichnis /etc/sysconfig/network-scripts.

Folgende Konfiguration beschreibt die Zuteilung einer statischen IP mit entsprechender Subnetzmaske sowie Default Gateway.

### Demo Config BEGIN ###
DEVICE=eth0
IPADDR=10.0.16.12
NETMASK=255.255.255.0
NETWORK=10.0.16.0
BROADCAST=255.255.255.255
GATEWAY=10.0.16.254
ONBOOT=yes
### Demo config END ###

Schritt 2: Hostname setzen

Wie auch beim setzen der IP Adresse gibt es auch hier wieder einen trügerischen Weg zum setzen des Hostnames dessen Änderungen nach einem Reboot verloren sind.
Zum schnellen ändern des Hostnames ohne Reboot verwendet man das Tool hostname <neuer.hostname> .
Dauerhaft wird die Änderung wenn der hostname in die Date /etc/hostname eingetragen wird. Zusätzlich bietet es sich auch an für die Namensauflösung den eigenen Hostnamen in die /etc/hosts
Datei einzutragen. Diese entspricht syntaktisch der Datei \windows\system32\drivers\etc\hosts unter Windows.

Schritt 3: DNS Server eintragen

Das Konfigurations zu Definition der DNS Server heißt /etc/resolv.conf. Folgendes Beispiel zeigt die Definition eines Suchpfades sowie eines primären sowie eines sekundären DNS Servers.

### Demo Config BEGIN
search meinedomain.at
nameserver 10.0.16.12
nameserver 10.0.16.13
### Demo Config END

Schritt 4: Netzwerk neu starten

Mit dem Befehl /etc/init.d/network restart wird nun noch das Netzwerk neu gestartet um die Änderungen zu aktivieren

Mit Skipfish bringt Google ein Opensource Tool für Penetration Tests gegen Webservices in die Community ein. 

Das in C geschriebene Programm sucht dabei nach typischen Fehler in Webanwendungen wie Cross-Site-Scripting-, SQL- und Code-Injection. Anhand vordefinierter Listen und Dateiendungen sowie durch Permutation kann das Tool zudem verborgene Datei und Verzeichnisse finden und untersuchen.

Das Tool steht unter folgender Adresse zum freien Download bereit:

http://code.google.com/p/skipfish/