NFsec Logo

Historia pewnego włamania #2

16/01/2015 w Ataki Internetowe Brak komentarzy.

K

iedyś ku mojemu zdziwieniu prosząc znajomego o udostępnienie WiFi zobaczyłem, że używa jeszcze szyfrowania typu WEP. Po serii epitetów o mądrości tego rozwiązania – otrzymałem odpowiedź, że przy innych formach szyfrowania ma bardzo słaby zasięg na drugim piętrze swojego mieszkania, a z tym przynajmniej działa mu w miarę płynnie Internet i poza tym, kto by się trudził w jakieś tam łamanie szyfru i inne afery szpiegowskie. Pozwoliłem sobie zademonstrować mu ile trudu trzeba włożyć, aby zacząć korzystać z jego sieci domowej oznajmiając, że sam podłącze się do jego routera bez jego pomocy.
[ czytaj całość… ]

Trust me i’m Googlebot – czy na pewno ?

26/04/2014 w Ataki Internetowe Brak komentarzy.

K

ażdy webdeveloper pragnie, aby Google odwiedziło jego stronę i zaindeksowało całą treść – i robiło to najczęściej, jak się to tylko da. W ten sposób Google uczy się, co nowego pojawiło się na indeksowanej stronie i daje możliwość wyszukiwania tych treści w swoich zasobach. Google używa do tego botów nazywanych „Googlebot„, które przeczesują miliony stron jednocześnie. Im częściej Googlebot odwiedza naszą stroną tym szybciej nowe treści będą dostępne w wynikach wyszukiwania tej wyszukiwarki. W związku z tym, niezwykle ważne jest, aby umożliwić Googlebotowi odwiedzanie stron internetowych bez blokowania i zakłócania jego pracy – specjaliści od SEM/SEO – wręcz nakażą Ci prawdziwe traktowanie Googlebotów – zresztą i innych botów wyszukiwarek jak V.I.P. Gdzie tu problem?
[ czytaj całość… ]

World War D(DoS)

09/11/2013 w Ataki Internetowe Brak komentarzy.

„O

krojone” przeglądarki pokonały stronę pewnej platformy transakcyjnej za pomocą ataku DDoS (ang. Distributed Denial-of-Service), który trwał około 150 godzin. Źródła ataku pochodziły z mniej więcej 180.000 unikalnych adresów IP – takie dane podała firma Incapsula, która odkryła oraz złagodziła skutki ataku dla swojego klienta. Firma odmówiła wskazania konkretnej marki, jaka była celem ataku – mówiąc tylko, że była to platforma handlowa, a motywem napastników prawdopodobnie była kompromitacja konkurencji. „Rząd wielkości ataku był znaczący”, jak przyznał Marc Gaffan – współzałożyciel Incapsula. „Nikt nie dysponuje 180 tysiącami adresów IP, chyba że jest to połączenie kilku odrębnych botnetów używanych zamiennie.”
[ czytaj całość… ]

URL hijacking – czy da się na tym zarobić?

02/07/2013 w Ataki Internetowe Brak komentarzy.

U

RL hijacking to popularna metoda na zdobywanie ruchu w Internecie, polegająca na rezerwacji domen w dowolny sposób podobnych do znanych i często odwiedzanych marek. Technika ta ma w konsekwencji zapewnić immanentny ruch na tych domenach bez podejmowania żadnych akcji marketingowych. Dokonując rezerwacji adresów wpisywanych pomyłkowo przez użytkowników Internetu w polskich realiach można zarabiać kilkadziesiąt, a nawet kilkaset złotych miesięcznie.
[ czytaj całość… ]

HTTP Cache Poisoning via Host Header Injection

27/06/2013 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

P

owszechną praktyką wśród programistów piszących własne webaplikacje oraz webowych frameworków odkrywających koło od nowa jest poleganie na wartościach zwracanych w nagłówku HTTP Host. Jest to bardzo wygodny sposób na gwarancję, że ta sama aplikacja zostanie uruchomiona na localhoście, serwerach środowiska: developerskiego, testowego, produkcyjnego, innych domenach i subdomenach itd., bez wprowadzania modyfikacji w kod aplikacji. Prosty przykład w PHP:
[ czytaj całość… ]

Historia pewnego włamania #1

18/05/2013 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

P

ewnego, dawnego razu – pewna firma – nazwijmy ją X – zauważyła, że jej firmowy serwer z aplikacją Y zaczyna coraz bardziej wolniej przetwarzać dane. Ówczesny administrator (specjalizujący się głównie w systemach .exe) zwrócił się do mnie z prośbą o „rzucenie okiem”, czy czasami serwer lub aplikacja nie wymaga zmian w konfiguracji, w celu przywrócenia pierwotnej wydajności i czy nie wynika to z ilości danych jakie zostały już przetworzone. Po uzyskaniu klucza SSH na konto uprawnione do polecenia sudo – 18.02.2011 roku zalogowałem się na serwer Z firmy X w celu sprawdzenia ogólnego stanu serwera. Po uzyskaniu informacji o stanie wolnego miejsca na partycji dla danych z aplikacji za pomocą polecenia df -h przyszedł czas na sprawdzenie aktualnych procesów za pomocą ulubionego narzędzia htop.
[ czytaj całość… ]

Niebezpieczne kopiuj / wklej z Internetu do terminala

13/04/2013 w Ataki Internetowe Brak komentarzy.

N

a pewno nie raz postępowaliśmy według następującego schematu: szukamy jakiegoś polecenia systemowego w Internecie, a że jest na tyle długie lub skomplikowane – kopiujemy je i wklejamy bezpośrednio do konsoli naszego systemu. Niestety nie zawsze to, co widzimy jest przez nas tylko kopiowane. Prosty przykład w kodzie HTML:
[ czytaj całość… ]

Błąd w implementacji HTML5 pozwala na zapełnienie dysku

28/02/2013 w Ataki Internetowe Brak komentarzy.

S

tandard Web Storage, który jest aktualnie wspierany przez współczesne przeglądarki (Chrome, Firefox 3.5+, Safari 4+, IE 8+ itd.) pozwala na przechowywanie określonej ilości danych (w zależności od przeglądarki jest to od 2.5 – 10 MB) na lokalnym dysku użytkownika. Zgodnie z standardem przeglądarki powinny wprowadzać limity przestrzeni jaką może wykorzystać ta funkcjonalność. Na przykład dla poszczególnych przeglądarek są to:
[ czytaj całość… ]

Identyfikacja metod HTTP serwera WWW

22/01/2013 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

P

oniżej znajduje się mały skrypt korzystający z polecenia netcat w celu łączenia się z dowolnym serwerem WWW i sprawdzaniem, które metody są przez niego obsługiwane:
[ czytaj całość… ]

CMSploit – wyjawianie danych do baz danych za pomocą edytorów tekstu

09/10/2012 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

„B

lisko 1% stron internetowych opartych na systemach CMS (takich jak WordPress lub Joomla) nieświadomie udostępnia dane do baz danych, dla tych którzy wiedzą gdzie ich szukać.” – do takiego wniosku doszedł Feross Aboukhadijeh pisząc mały programik o nazwie CMSploit. Ideą, na której polega jego działanie jest następująca:
[ czytaj całość… ]

Strona 3 z 512345