Tag: zabezpieczenia

Pośród zasobów światowej pajęczyny można odnaleźć 30 tys. instancji MongoDB, do których dostęp nie został w jakikolwiek sposób zabezpieczony. Przekłada się to na blisko 600 terabajtów publicznie dostępnych danych…

Rozpoczęła się własnie interesująca akcja serwisowa Land Rovera. Błąd w oprogramowaniu może powodować niekontrolowane i niesygnalizowane odblokowanie drzwi w 65 tys. pojazdów oraz ich otwarcie w trakcie jazdy!

Jak informuje CNN Money, sama tylko marynarka wojenna Stanów Zjednoczonych (United States Navy) musi płacić Microsoftowi 9 milionów dolarów rocznie w związku z dalszym wykorzystywaniem niewspieranego już systemu Windows XP.

Druga część serii tekstów o firewallu z MikroTik RouterOS. W tej części dowiemy się, w jaki sposób poprawnie budować zestaw reguł.

Firewall, jaki udostępnia nam MikroTik, pozwala na konfigurację szeregu funkcji dla różnego rodzaju zastosowań zdecydowanie wykraczających poza pojęcie zabezpieczenia tradycyjnie kojarzonych z firewallem. Najbardziej ogólnie można powiedzieć, że firewall w systemie MikroTik RouterOS, to świadome stanu połączeń narzędzie do filtrowania i modyfikacji pakietów.

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Rok 2014 kończy się odkryciem zbioru podatności w kolejnym szeroko stosowanym oprogramowaniu open source – NTP. Badacze z Google Research team, m.in. odkrywca Heartbleeda – Neel Mehta, ujawnili zbiór podatności w kodzie demona Network Time Protocol. Najbardziej krytyczna z odkrytych luk umożliwia zdalne wykonanie kodu. Szczegółowy opis podatności dostępny jest na stronie ntp.org.

Ten artykuł stanowi rozwinięcie poprzedniego tekstu o XML eXternal Entities (XXE). Przedstawiłem w nim prosty przykład na to, jak parsowanie plików XML może prowadzić do czytania dowolnego pliku z dysku atakowanej maszyny.

Podatności związane z XXE (XML eXternal Entity) ostatnimi czasy zdobywają coraz większą „popularność” w aplikacjach internetowych. Najczęściej wykorzystanie XXE jest sposobem na wykonanie ataku Path Traversal, czasem może jednak dawać większe możliwości. Przyjrzyjmy się tematowi z bliska.

Czy możemy jeszcze korzystać z przeglądarki, która nie pozwala sieciom reklamowym budować bazy naszych zwyczajów podczas surfowania w Internecie?
Nie jest to takie trudne, wystarczy zainstalować odpowiednio skonfigurowane dodatki.

Zielona kłódka w pasku adresu przeglądarki internetowej daje poczucie bezpieczeństwa. Niestety może okazać się, że prefiks HTTPS przed adresem strony wcale nie zagwarantuje nam uwierzytelnienia, integralności oraz poufności komunikacji, których oczekujemy od protokołu SSL.

Wyobraźmy sobie sytuację, w której podejrzewamy, że dokumenty z firmy są wykradane, ale brak nam na to dowodów. Przygotowujemy zatem plik Worda z odniesieniem do zewnętrznego obrazka na naszym serwerze, licząc na to, że włamywacze spróbują otworzyć ten dokument. Jeżeli haczyk zostanie połknięty, otrzymamy cenną informację, że rzeczywiście plik został otwarty, dodatkowo poznając adres IP owego niepożądanego czytelnika…

Jest wiele przykładów na to, jak zaniedbanie podstawowych kwestii związanych z websecurity może nadszarpnąć reputację firmy i narazić ją na wielomilionowe straty. Opierając swój biznes na aplikacjach sieciowych, pamiętajmy o bezpieczeństwie – serwis internetowy to produkt czysto wirtualny, ale straty wynikające z zakończonego powodzeniem ataku – są jak najbardziej realne.

Czy dedykowana, napisana od podstaw aplikacja internetowa to wymyślanie na nowo czegoś co już jest dostępne, często darmowe, a dodatkowo dobrze supportowane? Jak stworzyć naprawdę bezpieczną stronę firmy, nie obawiając się przy tym o koszt jej utrzymania i rozwijania?

W dobie powszechnego dostępu do Internetu posiadanie własnego serwisu WWW stało się standardem. Dziś trudno znaleźć firmę, która nie opublikowałaby choćby prostej wizytówki w postaci np. statycznej strony internetowej w HTML. W przeważającej większości są to jednak rozbudowane serwisy oferujące m.in. korzystanie z oferowanych usług bądź dokonywanie zakupów bezpośrednio z poziomu przeglądarki internetowej.