Sekurak - piszemy o bezpieczeństwie

Obecnie coraz częściej zdarza się tak, że ze względów bezpieczeństwa dostęp do zasobów światowej pajęczyny jest filtrowany. Jeśli jednak w pracy, szkole, czy publicznej bibliotece jakiś elektroniczny cenzor uniemożliwia nam dostęp do niezbędnych zasobów, możemy spróbować pewnej prostej sztuczki.

Czy nasza ochrona przed złośliwym oprogramowaniem serwowanym za pośrednictwem witryn internetowych działa prawidłowo? Żeby się o tym przekonać, najlepiej będzie przeprowadzić prosty test, jak jednak zrobić to w pełni skutecznie i bezpiecznie?

O XPATH (XML Path Language) pisaliśmy niedawno temu w kontekście jego możliwego wykorzystania w niektórych przypadkach podatności SQL injection. Teraz czas na XPATH injection + małe hackme.

Amerykańskie agencje rządowe, takie jak FBI i NSA, w ciągu roku generują dziesiątki tysięcy żądań dostępu do danych klientów korzystających z rozmaitych usług teleinformatycznych. W sytuacji prowadzonego przez służby śledztwa, taka potrzeba nie dziwi. Co jednak może być zaskakujące, na tego typu usługi rząd USA wydaje corocznie fortunę — płacąc…

Badacze z Uniwersytetu Kalifornijskiego w Berkeley wzięli w ostatnim czasie pod lupę komercyjne programy poszukiwania nowych podatności. Jak wykazała analiza, płacenie za informacje o nieznanych do tej pory błędach daje praktycznie same korzyści.

W artykule postaram się zatem przybliżyć najważniejsze składniki oraz sposób działania tych najczęściej spotykanych przeglądarek internetowych (Firefox, Chrome, IE, Opera i Safari). Tam, gdzie będzie to możliwe zwrócę uwagę na aspekty szczególnie istotne dla tematyki bezpieczeństwa informatycznego.

Typowi domowi użytkownicy komputerów rzadko zastanawiają się nad tym, dlaczego właściwie warto dbać o bezpieczeństwo własnego systemu oraz zgromadzonych w nim danych. Zazwyczaj jest to związane z przekonaniem, że komputer zwykłego Kowalskiego nie stanowi dla nikogo łakomego kąska. Nic bardziej mylnego!

O błędzie Cross-Site-Scripting napisano już zapewne wiele powieści ;) Nie bez powodu – podatność ta jest jedną z najczęściej występujących luk w aplikacjach webowych. Zobaczmy jak wygląda XSS w praktyce – na koniec tekstu mały konkurs – hackme.

Przedstawiamy pierwszy z serii artykułów poruszających kwestie nagłówków HTTP oraz flag dla ciasteczek mających na celu zwiększenie bezpieczeństwa web-aplikacji. W tym odcinku o fladze HttpOnly, która jest jednym ze sposobów częściowej ochrony przed atakami typu XSS.

Z pewnością wielu naszych czytelników pamięta film „Gry wojenne” z 1983 roku, w którym mogliśmy śledzić losy młodego hakera uzyskującego dostęp do amerykańskiego superkomputera kontrolującego wyrzutnie rakiet z głowicami jądrowymi. Wszystko to warto sobie przypomnieć przy okazji niecodziennej historii komputera IMSAI 8080, używanego w filmie przez głównego bohatera!

Przez parę dni walczyliście z ćwiczeniem zaanonsowanym w ostatni piątek wieczorem. Dzisiaj małe podsumowanie i ogłoszenie laureatów.

W zasadzie rozpoczęły się już wakacje, stąd też małe podsumowanie tego co się działo na sekuraku od… początku jego istnienia.

Parę dni temu opisywałem podstawy SQL injection, dzisiaj nieco bardziej złożony przypadek, a mianowicie wykorzystanie w SQLi języka XPATH (XML Path Language). Na koniec tekstu – mały praktyczny hackme :-)

Niedawno prezentowaliśmy podstawowe metody wykorzystywane przez oprogramowanie antywirusowe w celu wykrywania złośliwego oprogramowania. O tym, jak dalece niedoskonałe są dzisiejsze antywirusy niech świadczy natomiast poniższy przypadek oprogramowania ochronnego Malwarebytes, które pewnego razu oflagowało własne pliki.

Kompletne źródła popularnego trojana bankowego Carberp zostały upublicznione w Internecie. Fakt ten jest interesujący z co najmniej kilku powodów, spójrzmy więc na szczegóły tej niecodziennej sytuacji.