Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: cloudflare

::ffff:127.0.0.1 – co to za dziwny adres IP? Ano taki, którym udało się zgarnąć od Cloudflare $7500 nagrody bug bounty

03 lutego 2023, 16:26 | W biegu | 0 komentarzy
::ffff:127.0.0.1 – co to za dziwny adres IP? Ano taki, którym udało się zgarnąć od Cloudflare $7500 nagrody bug bounty

Opis na serwisie Hackerone jest dość enigmatyczny: By using IPv4-mapped IPv6 addresses there was a way to bypass Cloudflare server’s network protections and start connections to ports on the loopback (127.0.0.1) or internal IP addresses (such as 10.0.0.1) Cloudflare zdecydował się jednak przygotować nieco dłuższy opis podatności, która została zgłoszona…

Czytaj dalej »

Problem z routingiem w Cloudflare i brak dostępu do wielu serwisów

22 lipca 2020, 15:16 | W biegu | komentarze 2
Problem z routingiem w Cloudflare i brak dostępu do wielu serwisów

W nocy 17 lipca użytkownicy na całym świecie odnotowali, że popularne serwisy, takie jak Discord, Orange, Roblox, Steam, Santander, nie działają. Hmmm https://t.co/vI9xvp3pyR jest… 'down' podobnie jak Discord i parę innych serwisów. — Sekurak (@Sekurak) July 17, 2020 Wiadomo, że awaria tak wielu serwisów jednocześnie musi mieć wspólną przyczynę. Działanie…

Czytaj dalej »

VPN od Cloudflare dostępny bezpłatnie na smartfony (do 10 GB / mc)

30 września 2019, 18:15 | W biegu | komentarzy 16

Aplikacja 1.1.1.1: Faster & Safer Internet na Androida i iOS posiada już wsparcie dla VPN od Cloudflare (Warp+). Całość oparta jest na nowoczesnym (w porównaniu np. do OpenVPN) protokole Wireguard. Zapewni to odpowiednią prędkość działania. Od kwietnia była dostępna w sklepach z aplikacjami, należało zapisać się na długą listę oczekujących…

Czytaj dalej »

.*(?:.*=.*))) zabiło całe Cloudflare. Przerywamy spotkanie! Wszystkie ręce do konsol!

13 lipca 2019, 10:38 | Aktualności | komentarzy 9
.*(?:.*=.*))) zabiło całe Cloudflare. Przerywamy spotkanie! Wszystkie ręce do konsol!

O problemie pisaliśmy w krótki sposób kilka dni temu. TLDR: wejdźcie na https://regex101.com/ i wpiszcie ten fragment oryginalnego wyrażenia regularnego użytego przez Cloudflare w jednej z reguł WAF-a: .*(?:.*=.*) W „TEST STRING” możecie wpisać: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa; Silnik obsługujący wyrażenia regularne aby dopasować dość prosty i niedługi ciąg znaków potrzebuje wykonać około 7000 kroków!…

Czytaj dalej »

Podmienili javascripty popularnej firmy zbierającej statystyki odwiedzin serwisów webowych – potencjalnie podatnych 700 000 serwisów!

08 listopada 2018, 18:11 | W biegu | komentarze 4

Dołączacie zewnętrzne pliki JavaScript do swojej strony? Co wtedy może pójść nie tak? Np. ktoś może podmienić ten zewnętrzny JavaScript i w ten sposób atakować osoby odwiedzające waszą stronę. Taka historia właśnie miała miejsce w przypadku systemu statcounter[kropka]com. Według doniesień atak był targetowany na giełdę kryptowalut gate.io. Atak jest o tyle…

Czytaj dalej »

Ciekawostka: Ominięcie XSS Auditora wykorzystując funkcje Cloudflare

11 sierpnia 2017, 16:02 | Aktualności | 0 komentarzy
Ciekawostka: Ominięcie XSS Auditora wykorzystując funkcje Cloudflare

Standardowe biblioteki oraz funkcje JavaScript, które wykorzystuje i udostępnia Cloudflare można wykorzystać do ominięcia mechanizmu XSS Auditor w przypadku, gdy domena podpięta pod usługi Cloudflare podatna jest na Reflected XSS (Non-persistent XSS). Taką ciekawostką podzielił się Masato Kinugawa, specjalista bezpieczeństwa IT, znany z badań dotyczących podatności XSS jak i współorganizacji zawodów XSSMas Challenge.

Czytaj dalej »