Teksty

Race condition to termin, który oznacza dość specyficzną sytuację w programie komputerowym. W przypadku, gdy system dopuszcza wykonywanie wielu operacji równocześnie, ale powodzenie konkretnej operacji zależy od właściwej kolejności wykonania, może dojść do sytuacji, w której zakładana kolejność nie zostanie zachowana i spowoduje błąd lub nieprzewidziane rezultaty.

Afera Edwarda Snowdena pokazała, że Internet nie jest już medium, w którym łatwo można dzielić się treścią w sposób anonimowy. Dowiedzmy się, jakie mechanizmy są używane przez Wielkiego Brata – osoby prywatne, firmy czy rząd – aby śledzić aktywność przeglądarek użytkowników Internetu.

Wśród osób związanych bezpieczeństwem teleinformatycznym oraz pasjonatów z całego świata dość popularne są turnieje znane jako Capture The Flag (lub w skrócie CTF). W tekście przedstawiam moje zmagania z tematem.

Czy istnieje technologia umożliwiające przykazywanie dźwięku na duże odległości – nawet tak aby był on słyszalny bez posiadania żadnego odbiornika? Zobaczmy małe opracowanie dotyczące wybranych technologii dźwięku kierunkowego.

Mechanizm wyszukiwania serwera proxy (domyślnie włączony w systemie Windows) umożliwia łatwe przeprowadzenie ataku polegającego na przechwyceniu ruchu http(s) w sieci lokalnej. W artykule wyjaśnienie jak działa ten mechanizm oraz praktyczna prezentacja przeprowadzenia ataku.

OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.

Mój przegląd pozycji książkowych dotyczących bezpieczeństwa platformy Android pozwolił odkryć krótką, ale dość ciekawą książkę: „Application Security for the Android Platform” autorstwa Jeff’a Six.

Pierwsza część artykułu rzuciła światło na problem powolnych połączeń HTTP, które są sercem ataku Slowloris. W drugiej części przyjrzymy się szczegółowo innej odmianie tego ataku – wariancie Slow HTTP Body. Zapoznamy się również z narzędziem SlowHttpTest pozwalającym przeprowadzać szczegółowe testy różnych zagrożeń Slow HTTP DoS.

W tym artykule przyjrzymy się, w jaki sposób wykorzystać podatność SQL Injection w aplikacji zbudowanej w oparciu o technologie Microsoft: ASP.NET (lub ASP) oraz MSSQL. Technika, którą wykorzystamy, znana jest jako „error based injection” – wszystkie interesujące nas informacje uzyskamy dzięki komunikatom błędów, jakie będzie zwracał nam serwer w odpowiedzi na nasze modyfikowane zapytania.

W artykule przedstawiam kilka przykładów ataków XSS, których przeprowadzenie jest możliwe ze względu na użycie nietypowych (japońskich) kodowań znaków.

Na rynku książek oferujących pomoc osobom zajmującym się monitoringiem bezpieczeństwa coraz lepiej. Niedawno wydana została książka „Applied Network Security Monitoring: Collection, Detection, and Analysis”.

W artykule opisano jak clickjacking, dopuszczanie niepoprawnych nazw domen i specyficzne zachowanie przeglądarki Chrome umożliwiło przeprowadzenie ataku skutkującego wyciekiem danych osobowych użytkowników Facebooka.

Wykrywanie podatności w aplikacjach internetowych z reguły polega na enumeracji tzw. punktów wejścia, manipulowaniu żądaniami HTTP oraz analizie odpowiedzi. Skuteczność takiego przepływu pracy można zwiększyć dzięki Burp Proxy. Zobaczmy, jak z jego pomocą wykonywać podstawowe testy bezpieczeństwa web aplikacji.

Jakiś czas temu, zainspirowany przez sekuraka, postanowiłem zabawić moich kolegów z zespołu w pracy i zorganizować CTF. Jednym z etapów było rozszyfrowanie tokena zaszyfrowanego przy pomocy AES w trybie CBC. Token można było wprowadzić na stronie podatnej na atak padding oracle.

Pośrednik HTTP analizujący ruch między przeglądarką a serwerami WWW jest podstawowym narzędziem pracy testera web aplikacji. Burp Suite – popularne akcesorium bezpieczeństwa skonstruowane wokół funkcji lokalnego proxy – jest narzędziem, koło którego żaden inżynier bezpieczeństwa nie może przejść obojętnie.