NFsec Logo

SSH: Identyfikacja serwera

15/08/2009 w Bezpieczeństwo Możliwość komentowania SSH: Identyfikacja serwera została wyłączona

W

szyscy używamy / korzystamy z połączeń SSH. Dzięki temu protokołowi jesteśmy w stanie w bezpieczny sposób łączyć się z inną maszyną i wykonywać na niej w zdalny sposób komendy. Jesteśmy także w stanie przesyłać bezpiecznie pliki (SCP), a nawet tworzyć o niebo bezpieczniejszą alternatywę dla FTP (RSSH + SCPOnly), czy tworzyć szyfrowane tunele itp. Jednak wiele osób nie zdaje sobie sprawy z tego, iż chociaż SSH szyfruje przesyłane dane to dla atakującego wcale nie jest problemem podsłuchać Naszą sesję. Podsłuchiwanie to z powodu szyfrowania sesji przybiera trochę inny kształt: atakujący może symulować serwer, z którym chcemy się połączyć. Dzięki symulowaniu serwera będzie w stanie Nas „podsłuchiwać”, ponieważ chociaż dane są szyfrowane to de fakto będą one przechodziły (lub adekwatnie od intencji atakującego — dochodziły) przez „niepowołaną” maszynę. Jest to tzw. atak typu Man-In-The-Middle. Artykuł ten ma na celu przybliżenie sposobu ochrony Naszej szyfrowanej sesji SSH dzięki kluczom identyfikacyjnym serwera.
[ czytaj całość… ]

Ataki HTML Injection

14/08/2009 w Magazyny Możliwość komentowania Ataki HTML Injection została wyłączona

A

taki HTML injection polegają na przesłaniu stronie, która oczekuje od nas danych w postaci czystego tekstu, ciągu zawierającego specjalnie spreparowany kod HTML. Co możemy w ten sposób osiągnąć?
[ czytaj całość… ]

PHP – Bezpieczne programowanie

13/08/2009 w Bezpieczeństwo Możliwość komentowania PHP – Bezpieczne programowanie została wyłączona

P

HP jest skryptowym językiem programowania, czyli programy, które zostały w nim napisane nie są kompilowane do postaci kodu maszynowego zrozumiałego dla procesora (jak to występuje w przypadku wielu innych języków programowania), lecz wykonywane przez specjalną aplikację zwaną interpreterem PHP. Pierwotnym przeznaczeniem PHP było wspomaganie tworzenia dynamicznych stron WWW, w obecnym czasie jest on także wykorzystywany do tworzenia aplikacji dla systemów operacyjnych. Wielu początkujących programistów tego języka popełnia wiele błędów, które mają swoje odbicie w bezpieczeństwie tworzonych programów i aplikacji. Poniżej został stworzony spis niemal wszystkich błędów, najczęściej popełnianych przez programistów PHP. Poniższa lista obejmuje oraz opisuje 11 ważnych i najczęściej spotykanych luk bezpieczeństwa wraz z przykładami oraz poradami, w jaki sposób można ich uniknąć w swoich projektach.
[ czytaj całość… ]

Jak wysyłany jest spam?

12/08/2009 w Magazyny Możliwość komentowania Jak wysyłany jest spam? została wyłączona

S

pamerzy często wykorzystują słabo zabezpieczone systemy. Kłopoty i koszty związane z wysyłką nierzadko dziesiątek lub setek tysięcy listów przenoszone są na osoby trzecie. Dowiedzmy się, na czym polegają stosowane przez spamerów techniki i jak się przed nimi zabezpieczyć.
[ czytaj całość… ]

Tanie przejęcie IP

11/08/2009 w Hacks & Scripts Możliwość komentowania Tanie przejęcie IP została wyłączona

P

rzedstawiony hack jest tłumaczeniem „Cheap IP Takeover” z książki „Linux Servers Hacks” autorstwa Rob’a Flickenger’a udostępnionym on-line (Hack #63) na stronie http://hacks.oreilly.com. Do tłumaczenia zostało dodane także parę informacji od tłumacza.
[ czytaj całość… ]

Bezpieczeństwo kont PHP

08/08/2009 w Magazyny Możliwość komentowania Bezpieczeństwo kont PHP została wyłączona

P

HP zawładnęło Internetem. Niekomercyjny rynek dynamicznych serwisów internetowych bazuje na tym języku skryptowym, tak jak część witryn komercyjnych. Firmy hostingowe prześcigają się w przekonywaniu klientów, proponując do wyboru PHP4 lub PHP5, alternatywne serwery baz danych, korzystniejszą pojemność konta. Czy nie zapominają o bezpieczeństwie pojedynczego konta?
[ czytaj całość… ]

Wyszukiwanie i zastępowanie z Perlem

07/08/2009 w Hacks & Scripts Możliwość komentowania Wyszukiwanie i zastępowanie z Perlem została wyłączona

P

rzedstawiony hack jest tłumaczeniem „Global Search and Replace with Perl” z książki „Linux Servers Hacks” autorstwa Rob’a Flickenger’a udostępnionym on-line (Hack #73) na stronie http://hacks.oreilly.com. Do tłumaczenia zostało dodane także parę informacji od tłumacza.
[ czytaj całość… ]

SQL Injection

06/08/2009 w Magazyny Możliwość komentowania SQL Injection została wyłączona

P

raktycznie każdy portal korzystający z baz danych wrażliwy jest na ataki SQL Injection. W poprzednim numerze wspomnieliśmy tylko o tej tematyce – dziś przyjrzymy jej się z bliska, oczywiście bez zbędnych powtórzeń.
[ czytaj całość… ]

Pasek postępu przy kopiowaniu cp

05/08/2009 w Hacks & Scripts Możliwość komentowania Pasek postępu przy kopiowaniu cp została wyłączona

P

rzedstawiony skrypt jest wynalazkiem Chrisa Lamba – powoduje on dodanie prostego paska postępu (takiego jaki jest używany w programie wget) w komendzie cp używanej do kopiowania plików w Linuksie:
[ czytaj całość… ]

Niebezpieczeństwa ataków XSS i CSRF

04/08/2009 w Magazyny Możliwość komentowania Niebezpieczeństwa ataków XSS i CSRF została wyłączona

S

pośród wszystkich zagrożeń bezpieczeństwa aplikacji internetowych, zwłaszcza tych napisanych w PHP, zdecydowanie najczęstszym jest podatność na ataki XSS i CSRF. Jednak nawet w przypadku ujawnienia tego typu słabości w aplikacji, programiści na ogół niechętnie zajmują się ich usuwaniem, mylnie twierdząc, że wszelkie ataki tego typu i tak są nieszkodliwe – może zresztą dlatego nie interesują się odpowiednim zabezpieczaniem tworzonych aplikacji od samego początku.
[ czytaj całość… ]