NFsec Logo

Kupujesz i po latach rekla(spa)mujesz

17/06/2016 w Techblog Brak komentarzy.

Z

acznijmy od początku. Społecznościówki (Google+, Facebook, LinkedIn), e-banki, e-płatności, e-commerce, hotele itp. – wszystkie wymagają podania adresu e-mail. Do prawie wszystkich można zalogować się w klasycznym układzie typu: e-mail / hasło. Nie trzeba już wymyślać sobie kozackiego, jedynego nicku, ponieważ serwisy zaczynają traktować adresy e-mail jako unikatowe identyfikatory użytkowników z którymi w ten sposób mogą prowadzić „bezpieczną” komunikację. Wszechobecne dzielenie się adresem e-mail z technicznego punktu widzenia nie jest złe, ale na dłuższą metę powoduje kilka irytujących problemów – spam, poznanie Twojego loginu do poczty przy wycieku danych itd. Niektóre z nich można rozwiązać lub uczynić znacznie prostszymi za pomocą aliasów pocztowych.
[ czytaj całość… ]

Błędy w serwisach Onet.pl i WP.pl, Allegro.pl i mBank.com.pl

26/01/2010 w Hakin9 & Linux+ Brak komentarzy.

W

Polsce podejście do błędów typu JavaScript Injection, XSS, Session Fixation, RCSR, itp. jest mniej poważne, niż być powinno. Podczas swoich testów natknąłem się na błędy w wielu serwisach internetowych. Niektóre są większe, inne mniejsze. W pierwszej części tego artykułu chciałbym się skupić na lukach wykrytych w dwóch największych polskich portalach.
[ czytaj całość… ]