Tag: websecurity

Boston Key Party CTF 2015, czyli nie taki diabeł straszny

03 marca 2015, 10:30 | Aktualności | komentarzy 8
Boston Key Party CTF 2015, czyli nie taki diabeł straszny

W dniach 27 lutego – 1 marca odbył się jeden z najbardziej znanych turniejów w kalendarzu CTF – Boston Key Party Capture The Flag 2015. W tekście zaprezentowane zostaną poszczególne wyzwania z kategorii dla początkujących „School Bus” wraz z rozwiązaniami – jak się okaże, ten poziom trudności jest jak najbardziej osiągalny dla każdego z nawet niewielkim doświadczeniem programistycznym.

Czytaj dalej »

Deobfuskacja JavaScript

24 lutego 2015, 14:40 | Teksty | komentarze 2
Deobfuskacja JavaScript

Obfuskacja (ang. obfuscation) to proces celowej modyfikacji kodu źródłowego w taki sposób, aby był on mniej czytelny, a rezultat jego wykonania nie zmienił się. W artykule spróbujemy odwrócić proces obfuskacji i próbować zrozumieć działanie zaciemnionego kodu.

Czytaj dalej »

Quick Tip: Mozilla SSL Configuration Generator

02 lutego 2015, 18:22 | Narzędzia, W biegu | komentarze 4
Quick Tip: Mozilla SSL Configuration Generator

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Czytaj dalej »

Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

10 grudnia 2014, 18:25 | Narzędzia, Teksty | komentarzy 18
Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

Pierwsza część artykułu rzuciła światło na problem powolnych połączeń HTTP, które są sercem ataku Slowloris. W drugiej części przyjrzymy się szczegółowo innej odmianie tego ataku – wariancie Slow HTTP Body. Zapoznamy się również z narzędziem SlowHttpTest pozwalającym przeprowadzać szczegółowe testy różnych zagrożeń Slow HTTP DoS.

Czytaj dalej »

Error-based SQL Injection w aplikacjach ASP(.NET) + MS SQL

14 października 2014, 21:34 | Teksty | komentarzy 5
Error-based SQL Injection w aplikacjach ASP(.NET) + MS SQL

W tym artykule przyjrzymy się, w jaki sposób wykorzystać podatność SQL Injection w aplikacji zbudowanej w oparciu o technologie Microsoft: ASP.NET (lub ASP) oraz MSSQL. Technika, którą wykorzystamy, znana jest jako „error based injection” – wszystkie interesujące nas informacje uzyskamy dzięki komunikatom błędów, jakie będzie zwracał nam serwer w odpowiedzi na nasze modyfikowane zapytania.

Czytaj dalej »

PHP Object Injection – mało znana, krytyczna klasa podatności

05 czerwca 2014, 12:40 | Teksty | komentarzy 13
PHP Object Injection – mało znana, krytyczna klasa podatności

Deserializacja danych z niezaufanych źródeł zawsze może prowadzić do problemów z bezpieczeństwem. W przypadku PHP, może być furtką do praktycznie każdej podatności webowej (SQL Injection, XSS, Path Traversal, Remote Code Execution itp.). W tekście pokażemy rzeczywistą podatność tego typu w Joomli, w której Object Injection prowadziło do usuwania dowolnych katalogów na dysku.

Czytaj dalej »