W

Polsce podejście do błędów typu JavaScript Injection, XSS, Session Fixation, RCSR, itp. jest mniej poważne, niż być powinno. Podczas swoich testów natknąłem się na błędy w wielu serwisach internetowych. Niektóre są większe, inne mniejsze. W pierwszej części tego artykułu chciałbym się skupić na lukach wykrytych w dwóch największych polskich portalach.
[ czytaj całość… ]

P

rzede wszystkim muszę zastrzec, że ten tekst jest specyficzny dla Linuksa i potrzebna jest pewna wiedza o programowaniu w ANSI C oraz trochę o asemblerze. Było już dawniej parę różnych technik wstrzykiwania procesu z udziałem, kilka publicznych, jak i prywatnych exploitów, furtek i innych aplikacji. Przyjrzymy się bliżej funkcji i nauczymy się, jak pisać własne furtki.
[ czytaj całość… ]

Z

arządzanie tożsamością jest bardzo szerokim pojęciem, które posiada wiele definicji. Definicje te można sprowadzić do stwierdzenia, które mówi, że jest to zestaw technologii i procedur umożliwiający efektywne zarządzanie cyklem życia tożsamości użytkownika.
[ czytaj całość… ]

N

owa generacja wirusów: nikt nie jest bezpieczny? Wywiad z Mikko Hypponenem.
[ czytaj całość… ]

Z

agadnienia związane z bezpieczeństwem systemów komputerowych w przedsiębiorstwach nabrały ogromnego znaczenia w ciągu ostatnich lat. Powodem zaistniałej sytuacji stał się wzrost ilości różnych typów złośliwego oprogramowania oraz metod rozpowszechniania go w sieci Internet.
[ czytaj całość… ]

I

nwigilacja to dyskretne obserwowanie osób albo miejsc przez system monitoringu cyfrowego, system kontroli wejścia i wyjścia, a także przez prywatnych detektywów, policję. Pojęcie to rozszerza jeszcze informatyka o zdalną kontrolę systemów informatycznych.
[ czytaj całość… ]

D

la wielu mniej zaawansowanych twórców aplikacji webowych projekt kończy się wraz z wyklikaniem w swoim tworze podstawowych przypadków użycia. W efekcie sieć pełna jest witryn dziurawych jak ser szwajcarski. Znaczne zwiększenie bezpieczeństwa aplikacji webowych jest proste. Trzeba tylko wiedzieć, jak to zrobić.
[ czytaj całość… ]

Z

awodowo nie zajmuję się administracją serwerów Oracle. Moja praca wiąże się raczej z analizowaniem bezpieczeństwa systemów IT (testy penetracyjne, przeglądy konfiguracji). Z tego względu prezentowany materiał przyjmuje raczej punkt widzenia atakującego system niż administratora. Artykuł jest podsumowaniem ponad dwuletnich doświadczeń w testowaniu bezpieczeństwa systemów Oracle. Większość informacji pochodzi ze źródeł powszechnie dostępnych w Internecie.
[ czytaj całość… ]

E

ntropia, rozumiana jako wielkość losowości pewnych danych, może służyć wprawnemu badaczowi jako narzędzie pomocne w wyszukiwaniu ukrytych danych oraz interpretacji budowy nieznanych plików. Niniejszy artykuł ma na celu przedstawić Czytelnikowi zagadnienia związane z entropią.
[ czytaj całość… ]

W

łączamy komputer i po krótszej lub dłuższej chwili związanej z ładowaniem systemu operacyjnego wita nas pulpit ze znajomą ikonką przeglądarki internetowej. Uruchamiamy zatem przeglądarkę i wpisujemy adres strony WWW aby po chwili cieszyć się lekturą zawartości naszych ulubionych stron… A teraz pytanie: co działo się od momentu włączenia zasilania do chwili, kiedy w okienku przeglądarki zaczęły pojawiać się obrazki i napisy — i co ewentualnie mogło pójść źle? Przyjmijmy, że mamy zainstalowany system MS Windows 2000 Professional, a do Internetu przyłączeni jesteśmy za pośrednictwem sieci lokalnej zbudowanej w oparciu o standardowy ethernet i że korzystamy z usług serwera DNS znajdującego się gdzieś u naszego providera. Żeby było łatwiej w odpowiedzi możemy pominąć rozważania związane z ładowaniem systemu operacyjnego.
[ czytaj całość… ]