NFsec Logo

Nagłówek HTTP X-Frame-Options

25/04/2013 w Bezpieczeństwo Brak komentarzy.

Nagłówek HTTP X-Frame-Options może zostać używany, aby określić politykę zachowania przeglądarki w stosunku do renderowania strony, która została zamknięta w ramkach: <FRAME> lub <IFRAME>. Serwisy internetowe mogą go wykorzystać, aby uniknąć ataków typu clickjacking – poprzez zapewnienie, że ich treść nie zostanie osadzona w innych witrynach.
[ czytaj całość… ]

Lepsze wyszukiwanie w bashu

18/04/2013 w Administracja 1 komentarz.

W

yszukiwanie poprzednich poleceń w powłoce bash zazwyczaj ogranicza się do użycia kombinacji klawiszy Ctrl+R. Możemy również trochę zmienić sposób wyszukiwania poprzez stworzenie w swoim katalogu pliku: ~/.inputrc i umieszczeniu w nim zawartości:
[ czytaj całość… ]

Niebezpieczne kopiuj / wklej z Internetu do terminala

13/04/2013 w Ataki Internetowe Brak komentarzy.

N

a pewno nie raz postępowaliśmy według następującego schematu: szukamy jakiegoś polecenia systemowego w Internecie, a że jest na tyle długie lub skomplikowane – kopiujemy je i wklejamy bezpośrednio do konsoli naszego systemu. Niestety nie zawsze to, co widzimy jest przez nas tylko kopiowane. Prosty przykład w kodzie HTML:
[ czytaj całość… ]

Lista hostów wirtualnych / domen utrzymywanych na danym adresie IP

04/04/2013 w Pen Test Brak komentarzy.

B

ing.com jest wyszukiwarką stworzoną przez firmę Microsoft wcześniej znaną jako MSN Search lub Live Search. Posiada ona unikalną funkcję do wyszukiwania stron internetowych (domen / hostów wirtualnych) utrzymywanych / hostowanych na konkretnym adresie IP. Funkcja ta może być bezpośrednio wywołana w wyszukiwarce na przykład za pomocą zapytania: IP:192.168.1.1. Andrew Horton z MorningStar Security napisał prosty skrypt w bashu, który odpytuje wyszukiwarkę i zwraca znalezione wyniki. Krok ten jest uważany za jedną z dobrych praktyk podczas fazy rozpoznania testów penetracyjnych w celu odkrycia potencjalnie większej ilości celów.
[ czytaj całość… ]

Race conditions

29/03/2013 w Bezpieczeństwo Brak komentarzy.

R

ace conditions (sytuacje wyścigu) – jak sama nazwa wskazuje, głównym założeniem tego zjawiska jest niepożądana sytuacja, która występuje, gdy urządzenie lub układ próbuje wykonać dwie lub więcej operacji w tym samym czasie, ale ze względu na charakter systemu lub urządzenia czynności te powinny być wykonywane w odpowiedniej kolejności, aby były wykonane poprawnie. W odniesieniu do programów w systemie operacyjnym można przedstawić to następująco: program zakłada, że dane które pobrał / otrzymał przed chwilą wciąż są aktualne. Aplikacja zakłada, że dane znajdujące się w pliku, czy zmiennej są takie jak kilka chwil wcześniej – a przecież tak naprawdę mogły ulec w międzyczasie zmianie poprzez inne procesy czy wątki. Typowy przykład wykorzystania sytuacji wyścigu:
[ czytaj całość… ]

Przejście z MD5 na SHA512 w systemach RedHat/CentOS 5.x (Fedora 9)

16/03/2013 w Bezpieczeństwo Brak komentarzy.

S

ystemy z rodziny RHEL w wersji 5‚tej korzystają z kryptograficznej funkcji skrótu MD5 do przechowywania haseł systemowych. Nie jest to zły algorytm, ale nie na tyle dobry i trudny do złamania – aby obecnie korzystać z jego możliwości. W celu zmiany metody szyfrowania z MD5 na SHA512, która jest o wiele bezpieczniejsza (i używana standardowo w wersji 6.x) wystarczy wydać polecenie:
[ czytaj całość… ]

Obraźliwe sudo!

10/03/2013 w Administracja Brak komentarzy.

P

odczas grzebania w pliku /etc/sudoers i czytaniu dokumentacji polecenia sudo natknąć można się na opcję: insults (ang. obrzucać (kogoś) oszczerstwami). Jak podaje dokumentacja sudo – gdy opcja ta zostanie aktywowana (standardowo wyłączona), a użytkownik wprowadzi niepoprawne hasło do podwyższenia uprawnień za pomocą sudo – te w komunikacie błędu „ośmieszy” użytkownika:
[ czytaj całość… ]

Dlaczego nie należy zostawiać swojego Mac OS X bez opieki #2

05/03/2013 w Bezpieczeństwo Brak komentarzy.

Kolejny powód dlaczego nie należy pozostawiać niezablokowanego komputera.

[agresor@darkstar ~]$ security dump-keychain -d ~/Library/Keychains/login.keychain

Jeśli po wydaniu powyższego polecenia wszystkie nasze zapisane hasła i certyfikaty w systemie zaczną pojawiać się na ekranie – oznacza to, że mamy zbyt luźną politykę jeśli chodzi o Dostęp do pęku kluczy (ang. Keychain Access). Możemy zmienić to poprzez polecenie:

[agresor@darkstar ~]$ security set-keychain-settings -lut 60

Spowoduje ono blokadę pęku kluczy, za każdym razem, gdy komputer wejdzie w stan uśpienia oraz po minucie nie korzystania z danego pęku kluczy.

Więcej informacji: man security

Dlaczego nie należy zostawiać swojego Mac OS X bez opieki #1

01/03/2013 w Bezpieczeństwo Brak komentarzy.

Dlaczego nigdy nie należy zostawiać komputera bez jego blokady!

[agresor@darkstar ~]$ date
ptk  1 mar 20:29:14 2013 CET
[agresor@darkstar ~]$ sudo -k

Przestawiamy datę systemową na: 01-01-1970 01:00:00 za pomocą preferencji daty i czasu…

[agresor@darkstar ~]$ date
czw  1 sty 01:00:03 1970 CET
[agresor@darkstar ~]$ sudo su
[root@darkstar]#

Sprawdzone na Mac OS X 10.7.5. Prawdopodobnie działa również z systemami Linux wyposażonymi w Gnome / KDE, które pozwalają zmianę daty bez uprawnień administratora.

Więcej informacji: hukl twitter, sudo bug

Błąd w implementacji HTML5 pozwala na zapełnienie dysku

28/02/2013 w Ataki Internetowe Brak komentarzy.

S

tandard Web Storage, który jest aktualnie wspierany przez współczesne przeglądarki (Chrome, Firefox 3.5+, Safari 4+, IE 8+ itd.) pozwala na przechowywanie określonej ilości danych (w zależności od przeglądarki jest to od 2.5 – 10 MB) na lokalnym dysku użytkownika. Zgodnie z standardem przeglądarki powinny wprowadzać limity przestrzeni jaką może wykorzystać ta funkcjonalność. Na przykład dla poszczególnych przeglądarek są to:
[ czytaj całość… ]

Strona 20 z 60« Pierwsza...510...1819202122...2530...Ostatnia »