Sekurak - piszemy o bezpieczeństwie

Poszukiwanie XSS-ów w ciasteczkach http jest równie uzasadnione, jak w parametrach GET czy POST. Na takie podatności szczególnie narażone są firmy, które korzystają z wielu subdomen do hostowania swoich stron, wówczas XSS z jednej domeny może być eskalowany do innej (potencjalnie o wyższej istotności). Takie poszukiwania to także świetna okazja do rozwinięcia swoich umiejętności.

Golismero to framework służący do przeprowadzania testów penetracyjnych, napisany w Pythonie. Jest też doskonałym przykładem możliwości, jakie daje użycie Pythona w tego typu oprogramowaniu.

Po krótkim wstępie do narzędzi wspomagających analizę stron internetowych, nadszedł czas na trochę praktyki. Poznajmy kilka tricków, które uprzyjemnią pracę z Chrome DevTools i pozwolą zaoszczędzić nam trochę czasu podczas testowania bezpieczeństwa web–aplikacji. Zacznijmy od panelu Network.

Pod koniec kwietnia rusza konkurs CTF (po naszemu: hackme), organizowany przez polską grupę Dragon Sector.

Wykryto krytyczny błąd w OpenSSL – jednej z najpopularniejszych bibliotek wykorzystywanych przy zestawianiu połączeń SSL/TLS. To kolejna podatność w infrastruktyrze SSL po choćby odkrytym w zeszłym roku Lucky Thirteen, niedawnym Applowym goto fail czy podobnych problemach w GnuTLS. Wracając do samego OpenSSL – sami autorzy biblioteki opisują problem dość lakonicznie.

XSS jest jednym z najczęściej opisywanych błędów bezpieczeństwa aplikacji internetowych. Na Sekuraku podatność miała już swój artykuł, było też kilka tekstów o XSS-ach w Google’u, a nawet o wykorzystaniu ich do ataku DDoS. Dzisiaj ciekawy przypadek, nieoczywistego błędu XSS.

Ruszamy z nowym hackme, w którym nagrodą jest bezpłatny udział w konferencji Honeynet Workshop, o której pisaliśmy już wcześniej.

Chcielibyście zagrać czasem w pracy i przy okazji czegoś ciekawego się nauczyć? Nie macie pomysłu na rozkręcenie imprezy? Polecam zatem przyjrzeć się oryginalnej grze: Control-Alt-Hack.

Jeszcze przez 2 tygodnie (tj. do 14. kwietnia) można wysyłać teksty na nasz konkurs: „najlepszy tekst o bezpieczeństwie”. Mamy do rozdysponowania dwie nagrody: iPada (z możliwością wymiany na gotówkę) oraz jedno ze szkoleń z bezpieczeństwa organizowanych przez Securitum.

Ciekawy przypadek infekcji bankomatu odkryli ostatnio specjaliści z firmy Symantec. W opisywanym przypadku, podłączony do bankomatu telefon służył przestępcom jako bramka umożliwiająca kontrolowanie urządzenia siecią GSM i wykonywanie takich operacji jak wyrzut dowolnej ilości gotówki.

Podatności związane z XXE (XML eXternal Entity) ostatnimi czasy zdobywają coraz większą „popularność” w aplikacjach internetowych. Najczęściej wykorzystanie XXE jest sposobem na wykonanie ataku Path Traversal, czasem może jednak dawać większe możliwości. Przyjrzyjmy się tematowi z bliska.

Analiza kodu stron internetowych może być koszmarem – mieszanina HTML/JS/CSS jest często plątaniną wielu bibliotek, kontekstów, zdarzeń oraz zmiennych, w których łatwo się pogubić. Zniechęca to nie tylko web developerów, ale również inżynierów bezpieczeństwa, do przeprowadzania szczegółowej inspekcji kodu, który zostaje zwracany przez serwer web aplikacji. Poznajmy kilka sztuczek, które ułatwią analizę elementów budujących współczesne strony internetowe.

Kolejna dawka sekurakowych tekstów, do których być może jeszcze raz warto powrócić.

Pod tym nieco przewrotnym tytułem prezentujemy interesujące odkrycie opisywane przez Netcraft. Otóż jeden z webserwerów EA został shackowany (zdalne wykonanie kodu na serwerze przez jedną z niezaktualizowanych aplikacji) a następnie przerobiony na serwer phishingowy pobierający m.in. dane kart kredytowych.

Pierwsza edycja Sekurak Hacking Party okazała się… ciekawą i mile przyjętą inicjatywą. Dzisiaj kilka informacji na ten temat oraz zaproszenie do zgłaszania własnych prezentacji.