3. stycznia 2014 roku holenderska firma z branży IT security Fox-IT poinformowała na swoim blogu o dokonanym odkryciu. Według Fox-IT, serwer reklamowy Yahoo!, znajdujący się w domenie ads.yahoo.com (serwer jest odpowiedzialny za wyświetlanie reklam na stronach portalu), uległ atakowi, w wyniku którego od 30. grudnia 2013 roku część z reklam odpowiedzialna była za ataki typu drive-by download.
Czytaj dalej »
Jakie są skutki założenia, że wprowadzanie skomplikowanego hasła jest zbyt niewygodnie dla użytkownika i że potrzebuje on prostszego rozwiązania?
Twórcy protokołu WPS szukali metody łatwego dodawania nowych urządzeń do sieci Wi-Fi. Zapomnieli jedynie o zapewnieniu bezpieczeństwa nowemu protokołowi.
Czytaj dalej »
Istotną częścią układanki omawianej wysokodostępnej i wydajnej architektury dla LAMP są serwery aplikacyjne, na których osadzone będą strony WWW. Zapraszam do prezentacji tych, które moim zdaniem dobrze spełnią powierzane im zadania.
Czytaj dalej »
Dzisiaj publikujemy drugi tekst cyklu poświęconego budowaniu i konfigurowaniu wysokodostępnej i wydajnej architekturze dla LAMP. Tym razem będzie mowa o: keepalived oraz haproxy.
Czytaj dalej »
Jest wiele przykładów na to, jak zaniedbanie podstawowych kwestii związanych z websecurity może nadszarpnąć reputację firmy i narazić ją na wielomilionowe straty. Opierając swój biznes na aplikacjach sieciowych, pamiętajmy o bezpieczeństwie – serwis internetowy to produkt czysto wirtualny, ale straty wynikające z zakończonego powodzeniem ataku – są jak najbardziej realne.
Czytaj dalej »
Czy dedykowana, napisana od podstaw aplikacja internetowa to wymyślanie na nowo czegoś co już jest dostępne, często darmowe, a dodatkowo dobrze supportowane? Jak stworzyć naprawdę bezpieczną stronę firmy, nie obawiając się przy tym o koszt jej utrzymania i rozwijania?
Czytaj dalej »
Pierwszym krokiem na drodze do bezpiecznego, firmowego serwisu WWW jest wybór pomiędzy już istniejącym na rynku, sprawdzonym rozwiązaniem, a zleceniem zbudowania go od podstaw. W sieci roi się od darmowych systemów CMS, gotowych systemów CRM czy sklepów internetowych. Często są to też rozwiązania typu opensource. Czy są tak samo bezpieczne, jak dostępne?
Czytaj dalej »
Zobaczcie na ciekawą analizę problemu z Dropbox. Interesujące jest to, że problemem nie jest samo oprogramowanie klienckie dropbox-a jako takie, ale sposób w jaki wpływa ono na inne procesy, wyłączając w pewnym obszarze jeden z mechanizmów ochrony przed podatnościami typu buffer overflow – ASLR. Warto też dodać, że problematyczna jest…
Czytaj dalej »
Parę dni temu ukazała się pewna analiza podatności w serwerze ssh (ROSSSH) instalowanym na urządzeniach Mikrotik. Podatne są wersje na systemach RouterOS 5.* oraz 6.* Co umożliwia luka? Według autora znaleziska: Exploitation of this vulnerability will allow full access to the router device. czyli w wolnym tłumaczeniu: Wykorzystanie tej podatności…
Czytaj dalej »
O błędzie Cross-Site-Scripting napisano już zapewne wiele powieści ;) Nie bez powodu – podatność ta jest jedną z najczęściej występujących luk w aplikacjach webowych. Zobaczmy jak wygląda XSS w praktyce – na koniec tekstu mały konkurs – hackme.
Czytaj dalej »
Scapy to rozbudowany i modułowy generator pakietów. Pisaliśmy o nim również w kontekście tematyki monitoringu komunikacji sieciowej. Niedawno niejaki @catalyst256 opublikował PDF-a z łagodnym wprowadzeniem do tego narzędzia. Zachęcam do umieszczenia w zakładkach :). –ms
Czytaj dalej »
Z badań amerykańskiej firmy Sucuri zajmującej się monitorowaniem bezpieczeństwa serwisów internetowych wynika, że w ostatnim czasie zauważalnie wzrasta liczba ataków na strony www przez zainfekowane moduły serwera Apache oraz zmodyfikowane pliki konfiguracyjne.
Są to dość wyrafinowane metody, z reguły trudne do wykrycia i dające spore możliwości atakującemu.
Czytaj dalej »
W tekście przedstawiam kilka prostych kroków, które pomogą zwiększyć bezpieczeństwo aplikacji webowej. Są to techniki podstawowe i nie obejmują lokalizacji / usuwania bardziej technicznych podatności jak SQL injection / XSS / OS Command Execution, Path Traversal, Authorization Bypass, itd.
Czytaj dalej »
Współczesne aplikacje internetowe to bardzo rozbudowane projekty, wykorzystujące wiele różnorodnych zasobów. Podczas testów penetracyjnych warto zaopatrzyć się w zestaw wyspecjalizowanych narzędzi, przydatnych w określonych sytuacjach. Jednym z nich jest DirBuster – prosty skaner aplikacji webowych, przeznaczony do wykrywania nieosiągalnych z poziomu nawigacji serwisu folderów i plików.
Do czego opisywany program może nam się przydać w praktyce?
Czytaj dalej »
W tym rozdziale zostaną opisane podstawowe wskazówki dotyczące budowy słowników haseł. Rozmiar słownika ma bezpośredni wpływ na czas ataku. Im większy słownik, tym bardziej zbliżamy się do wariantu ataku siłowego, a właśnie tego chcemy zazwyczaj uniknąć. Aby skutecznie przeprowadzać ataki słownikowe warto posiadać nie jeden, a kilka słowników.
Czytaj dalej »