Teksty

Race Conditions w atakach na aplikacje webowe na przykładzie zadania ‚Aart’ (Ghost In The Shellcode 2015 CTF)

02 lutego 2015, 18:05 | Teksty | komentarzy 5
Race Conditions w atakach na aplikacje webowe na przykładzie zadania ‚Aart’ (Ghost In The Shellcode 2015 CTF)

Race condition to termin, który oznacza dość specyficzną sytuację w programie komputerowym. W przypadku, gdy system dopuszcza wykonywanie wielu operacji równocześnie, ale powodzenie konkretnej operacji zależy od właściwej kolejności wykonania, może dojść do sytuacji, w której zakładana kolejność nie zostanie zachowana i spowoduje błąd lub nieprzewidziane rezultaty.

Czytaj dalej »

OWASP: Mobile Top 10 Risks 2014

17 stycznia 2015, 21:10 | Teksty | 0 komentarzy
OWASP: Mobile Top 10 Risks 2014

OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.

Czytaj dalej »

Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

10 grudnia 2014, 18:25 | Narzędzia, Teksty | komentarzy 17
Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

Pierwsza część artykułu rzuciła światło na problem powolnych połączeń HTTP, które są sercem ataku Slowloris. W drugiej części przyjrzymy się szczegółowo innej odmianie tego ataku – wariancie Slow HTTP Body. Zapoznamy się również z narzędziem SlowHttpTest pozwalającym przeprowadzać szczegółowe testy różnych zagrożeń Slow HTTP DoS.

Czytaj dalej »

Error-based SQL Injection w aplikacjach ASP(.NET) + MS SQL

14 października 2014, 21:34 | Teksty | komentarzy 5
Error-based SQL Injection w aplikacjach ASP(.NET) + MS SQL

W tym artykule przyjrzymy się, w jaki sposób wykorzystać podatność SQL Injection w aplikacji zbudowanej w oparciu o technologie Microsoft: ASP.NET (lub ASP) oraz MSSQL. Technika, którą wykorzystamy, znana jest jako „error based injection” – wszystkie interesujące nas informacje uzyskamy dzięki komunikatom błędów, jakie będzie zwracał nam serwer w odpowiedzi na nasze modyfikowane zapytania.

Czytaj dalej »

Zabawy z padding oracle

16 lipca 2014, 17:07 | Teksty | komentarzy 11
Zabawy z padding oracle

Jakiś czas temu, zainspirowany przez sekuraka, postanowiłem zabawić moich kolegów z zespołu w pracy i zorganizować CTF. Jednym z etapów było rozszyfrowanie tokena zaszyfrowanego przy pomocy AES w trybie CBC. Token można było wprowadzić na stronie podatnej na atak padding oracle.

Czytaj dalej »