Tag: cloudflare

VPN od Cloudflare dostępny bezpłatnie na smartfony (do 10 GB / mc)

30 września 2019, 18:15 | W biegu | komentarzy 16

Aplikacja 1.1.1.1: Faster & Safer Internet na Androida i iOS posiada już wsparcie dla VPN od Cloudflare (Warp+). Całość oparta jest na nowoczesnym (w porównaniu np. do OpenVPN) protokole Wireguard. Zapewni to odpowiednią prędkość działania. Od kwietnia była dostępna w sklepach z aplikacjami, należało zapisać się na długą listę oczekujących…

Czytaj dalej »

.*(?:.*=.*))) zabiło całe Cloudflare. Przerywamy spotkanie! Wszystkie ręce do konsol!

13 lipca 2019, 10:38 | Aktualności | komentarzy 9
.*(?:.*=.*))) zabiło całe Cloudflare. Przerywamy spotkanie! Wszystkie ręce do konsol!

O problemie pisaliśmy w krótki sposób kilka dni temu. TLDR: wejdźcie na https://regex101.com/ i wpiszcie ten fragment oryginalnego wyrażenia regularnego użytego przez Cloudflare w jednej z reguł WAF-a: .*(?:.*=.*) W „TEST STRING” możecie wpisać: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa; Silnik obsługujący wyrażenia regularne aby dopasować dość prosty i niedługi ciąg znaków potrzebuje wykonać około 7000 kroków!…

Czytaj dalej »

Podmienili javascripty popularnej firmy zbierającej statystyki odwiedzin serwisów webowych – potencjalnie podatnych 700 000 serwisów!

08 listopada 2018, 18:11 | W biegu | komentarze 4

Dołączacie zewnętrzne pliki JavaScript do swojej strony? Co wtedy może pójść nie tak? Np. ktoś może podmienić ten zewnętrzny JavaScript i w ten sposób atakować osoby odwiedzające waszą stronę. Taka historia właśnie miała miejsce w przypadku systemu statcounter[kropka]com. Według doniesień atak był targetowany na giełdę kryptowalut gate.io. Atak jest o tyle…

Czytaj dalej »

Ciekawostka: Ominięcie XSS Auditora wykorzystując funkcje Cloudflare

11 sierpnia 2017, 16:02 | Aktualności | 0 komentarzy
Ciekawostka: Ominięcie XSS Auditora wykorzystując funkcje Cloudflare

Standardowe biblioteki oraz funkcje JavaScript, które wykorzystuje i udostępnia Cloudflare można wykorzystać do ominięcia mechanizmu XSS Auditor w przypadku, gdy domena podpięta pod usługi Cloudflare podatna jest na Reflected XSS (Non-persistent XSS). Taką ciekawostką podzielił się Masato Kinugawa, specjalista bezpieczeństwa IT, znany z badań dotyczących podatności XSS jak i współorganizacji zawodów XSSMas Challenge.

Czytaj dalej »