nie daj się cyberzbójom! – zapisz się bezpłatne szkolenie o bezpieczeństwie dla wszystkich

Tag: atak

Pozwalasz ładować pliki SVG? Masz XSS-a!

17 sierpnia 2015, 11:05 | Teksty | komentarzy 10
Pozwalasz ładować pliki SVG? Masz XSS-a!

Dodawanie plików przez użytkowników web aplikacji wiąże się z wieloma zagrożeniami. Pentesterzy w tym obszarze często szukają luk prowadzących do zdalnego wykonania kodu po stronie serwera. A co gdyby dodanie nowego pliku skutkowało wykonaniem złośliwego skryptu JS? Taką możliwość dają pliki SVG opisujące grafikę wektorową we współczesnych przeglądarkach.

Czytaj dalej »

Hackowanie bankomatu… łomem i młotem

08 kwietnia 2015, 12:51 | W biegu | komentarze 2

Brian Krebs opisuje ciekawy przypadek 'hackowania’ bankomatu. Mimo że fizyczne ataki na tego typu urządzenia nie są niczym nowym, to jednak profesjonalni przestępcy zazwyczaj robią to bardziej wyrafinowanymi narzędziami (jak choćby palnikami). Tym razem jednak użyto tradycyjnego brute force z wykorzystaniem narzędzi typu łom czy młot:   Koszt zniszczeń samych…

Czytaj dalej »

Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

10 grudnia 2014, 18:25 | Narzędzia, Teksty | komentarzy 19
Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

Pierwsza część artykułu rzuciła światło na problem powolnych połączeń HTTP, które są sercem ataku Slowloris. W drugiej części przyjrzymy się szczegółowo innej odmianie tego ataku – wariancie Slow HTTP Body. Zapoznamy się również z narzędziem SlowHttpTest pozwalającym przeprowadzać szczegółowe testy różnych zagrożeń Slow HTTP DoS.

Czytaj dalej »

Ataki Slow HTTP DoS (cz. 1.) – Slowloris

09 czerwca 2014, 22:02 | Teksty | komentarzy 21
Ataki Slow HTTP DoS (cz. 1.) – Slowloris

Ataki odmowy dostępu do usługi są niezwykle uciążliwym zagrożeniem – przy odpowiedniej liczbie zasobów agresorzy są w stanie zablokować działanie serwerów obsługujących nawet największe strony na świecie. Mimo że ataki DDoS ewoluują, ciągle zwiększając wolumen danych, to nie można zapomnieć o atakach subtelniejszych, czyli o DoSie warstwy siódmej…
Zapraszam do lektury kolejnego cyklu o atakach DoS.

Czytaj dalej »

PHP Object Injection – mało znana, krytyczna klasa podatności

05 czerwca 2014, 12:40 | Teksty | komentarzy 13
PHP Object Injection – mało znana, krytyczna klasa podatności

Deserializacja danych z niezaufanych źródeł zawsze może prowadzić do problemów z bezpieczeństwem. W przypadku PHP, może być furtką do praktycznie każdej podatności webowej (SQL Injection, XSS, Path Traversal, Remote Code Execution itp.). W tekście pokażemy rzeczywistą podatność tego typu w Joomli, w której Object Injection prowadziło do usuwania dowolnych katalogów na dysku.

Czytaj dalej »