NFsec Logo

Błędy w serwisach Onet.pl i WP.pl, Allegro.pl i mBank.com.pl

26/01/2010 w Magazyny Możliwość komentowania Błędy w serwisach Onet.pl i WP.pl, Allegro.pl i mBank.com.pl została wyłączona

W

Polsce podejście do błędów typu JavaScript Injection, XSS, Session Fixation, RCSR, itp. jest mniej poważne, niż być powinno. Podczas swoich testów natknąłem się na błędy w wielu serwisach internetowych. Niektóre są większe, inne mniejsze. W pierwszej części tego artykułu chciałbym się skupić na lukach wykrytych w dwóch największych polskich portalach.
[ czytaj całość… ]

Czytanie dokumentów SXW bez OpenOffice

25/01/2010 w Hacks & Scripts Możliwość komentowania Czytanie dokumentów SXW bez OpenOffice została wyłączona

Z

godnie z informacjami z Wikipedii o formacie .sxw:

SXW to rozszerzenie plików zawierających dokumenty tekstowe pakietu OpenOffice.org w wersji 1.x. Plik .sxw jest skompresowanym plikiem w formacie ZIP, wewnątrz którego znajdują się pliki XML opisujące strukturę dokumentu oraz ewentualne obiekty osadzone w jego wnętrzu, takie jak rysunki, wykresy i in. Na bazie formatu .sxw powstał używany w OpenOffice.org 2.x oraz innych procesorach tekstu format ODT, opisany w specyfikacji OpenDocument.

[ czytaj całość… ]

Hakowanie aplikacji Rootkity i Ptrace

11/01/2010 w Magazyny Możliwość komentowania Hakowanie aplikacji Rootkity i Ptrace została wyłączona

P

rzede wszystkim muszę zastrzec, że ten tekst jest specyficzny dla Linuksa i potrzebna jest pewna wiedza o programowaniu w ANSI C oraz trochę o asemblerze. Było już dawniej parę różnych technik wstrzykiwania procesu z udziałem, kilka publicznych, jak i prywatnych exploitów, furtek i innych aplikacji. Przyjrzymy się bliżej funkcji i nauczymy się, jak pisać własne furtki.
[ czytaj całość… ]

Brak nasłuchu podczas sesji X

10/01/2010 w Bezpieczeństwo Możliwość komentowania Brak nasłuchu podczas sesji X została wyłączona

W

iększość osób ignoruje bezpieczeństwo systemu X w nadziei, że w ich przypadku nie spowoduje to zagrożenia całego systemu. W systemach wykorzystujących środowiska graficzne X, do których należy większość używanych komputerów, podsystem graficzny ma dostęp do wszystkich danych wprowadzanych przez użytkowników przy użyciu klawiatury oraz wyświetlanych na ekranie.
[ czytaj całość… ]

Zarządzanie tożsamością

05/01/2010 w Magazyny Możliwość komentowania Zarządzanie tożsamością została wyłączona

Z

arządzanie tożsamością jest bardzo szerokim pojęciem, które posiada wiele definicji. Definicje te można sprowadzić do stwierdzenia, które mówi, że jest to zestaw technologii i procedur umożliwiający efektywne zarządzanie cyklem życia tożsamości użytkownika.
[ czytaj całość… ]

Odwzorowanie nazw – /etc/hosts.conf

04/01/2010 w Bezpieczeństwo Możliwość komentowania Odwzorowanie nazw – /etc/hosts.conf została wyłączona

P

lik /etc/host.conf zawiera podstawowe opcje resolvera nazw. W większości wypadków wystarczy domyślna konfiguracja zawarta w tym pliku. Jednak w celu usprawnienia jego działania oraz bezpieczeństwa należy ustawić kolejność odpytywania w odpowiedniej kolejności serwera DNS oraz włączenie mechanizmu zabezpieczającego przed podszywaniem się:
[ czytaj całość… ]

Nowa generacja wirusów: nikt nie jest bezpieczny?

02/01/2010 w Magazyny Możliwość komentowania Nowa generacja wirusów: nikt nie jest bezpieczny? została wyłączona

N

owa generacja wirusów: nikt nie jest bezpieczny? Wywiad z Mikko Hypponenem.
[ czytaj całość… ]

Program [s]uper [u]ser tylko dla wybranych

01/01/2010 w Bezpieczeństwo Możliwość komentowania Program [s]uper [u]ser tylko dla wybranych została wyłączona

P

rogram su jest programem umożliwiającym zwykłemu użytkownikowi uzyskanie uprawnień administratora dzięki wpisaniu jego hasła. W celu ograniczenia tej możliwości z zachowaniem poprawnej pracy programu do pewnej, wybranej ilości czy grupy użytkowników powinniśmy stworzyć plik konfiguracyjny /etc/suauth, w którym umieścimy odpowiednie reguły dotyczące uprawnień korzystania z programu SU. Jeśli chcemy umożliwić korzystanie z programu tylko jednemu użytkownikowi np. o loginie agresor to wpis ten powinien wyglądać następująco:
[ czytaj całość… ]

Współczesne rozwiązania wielosilnikowe

31/12/2009 w Magazyny Możliwość komentowania Współczesne rozwiązania wielosilnikowe została wyłączona

Z

agadnienia związane z bezpieczeństwem systemów komputerowych w przedsiębiorstwach nabrały ogromnego znaczenia w ciągu ostatnich lat. Powodem zaistniałej sytuacji stał się wzrost ilości różnych typów złośliwego oprogramowania oraz metod rozpowszechniania go w sieci Internet.
[ czytaj całość… ]

Zły czas pracy na konsoli

30/12/2009 w Bezpieczeństwo Możliwość komentowania Zły czas pracy na konsoli została wyłączona

K

olejnym sposobem ograniczenia logowania się na lokalną konsolę serwera (jeśli w pliku /etc/login.defs opcja: PORTTIME_CHECKS_ENAB posiada ustawioną wartość “yes”) jest program porttime. Plik konfiguracyjny tego programu (/etc/porttime) zawiera listę terminali (tty), loginy użytkowników oraz czas pozwalający im na zalogowanie się na danym terminalu.
[ czytaj całość… ]