NFsec Logo

1001 Pen Test oraz Bug Bounty Tips & Tricks #6 – Korelacja czasowa ważności certyfikatu

Napisał: Patryk Krawaczyński

08/10/2022 w Pen Test Możliwość komentowania 1001 Pen Test oraz Bug Bounty Tips & Tricks #6 – Korelacja czasowa ważności certyfikatu została wyłączona

W

iele nowoczesnych serwisów internetowych stosuje automatyczne wydawanie i odnawianie certyfikatów TLS. Dla firm dostępne są usługi komercyjnych wystawców SSL. Dla wszystkich innych dostępne są bezpłatne usługi, takie jak Let’s Encrypt i ZeroSSL. Jednak bardzo często popełniany jest błąd w sposobie w jaki konfiguruje się wdrożenie darmowych wersji certyfikatów TLS. Pozwala on każdemu odkryć prawie wszystkie nazwy domen i subdomen używanych przez ten sam serwer webowy. Jak wiemy, istnieje takie coś jak Certyficate Transparency (CT), czyli internetowy standard bezpieczeństwa służący do monitorowania i audytu wystawiania certyfikatów TLS. Tworzy on system logów publicznych, które służą do rejestrowania wszystkich certyfikatów wydawanych przez publicznie zaufane urzędy certyfikacji (CA). Do przeszukiwania dzienników CT możemy używać serwisów: crt.sh, certstream, a także Censys, który również pozwala na przeszukiwanie wyników skanowania certyfikatów w internecie.
[ czytaj całość… ]

Ubuntu 14.04 LTS rsyslog time travel

Napisał: Patryk Krawaczyński

19/05/2016 w Administracja, Debug Możliwość komentowania Ubuntu 14.04 LTS rsyslog time travel została wyłączona

G

dyby kogoś zdziwiły wpisy z przeszłości w logach np. dotyczące różnego rodzaju zadań wykonywanych w dość małych odstępach czasowych to nie należy się stresować:

May 19 18:55:01 darkstar CRON[7328]: (test) CMD (/bin/echo "test")
May 15 07:45:01 darkstar CRON[7942]: (test) CMD (/bin/echo "test")
May 19 19:05:01 darkstar CRON[7945]: (test) CMD (/bin/echo "test")
May  9 10:55:01 darkstar CRON[8563]: (test) CMD (/bin/echo "test")
May  4 18:50:01 darkstar CRON[8880]: (test) CMD (/bin/echo "test")
May 19 19:35:01 darkstar CRON[9819]: (test) CMD (/bin/echo "test")
May  9 19:45:01 darkstar CRON[10093]: (test) CMD (/bin/echo "test")
May 19 19:40:01 darkstar CRON[10143]: (test) CMD (/bin/echo "test")

Bug do Ubuntu zgłoszony już w 2015 roku, ale jakoś team rsyslog’a nie pali się do jego poprawienia.

Wykonanie zadania crontab ostatniego dnia miesiąca

Napisał: Patryk Krawaczyński

18/12/2011 w Administracja Możliwość komentowania Wykonanie zadania crontab ostatniego dnia miesiąca została wyłączona

K

lasyczny problem. Większość daemonów cronowych nie posiada natywnej obsługi wykonywania zadań “ostatniego dnia miesiąca”, więc jeśli posiadamy potrzebę wykonania wybranego zadania w tym czasie – musimy zastosować mały trick – dokładniej mówiąc wykonać warunek sprawdzający za pomocą polecenia date – czy jutrzejszy dzień jest już dniem kolejnego miesiąca:
[ czytaj całość… ]

Zadania cron w CentOS/RHEL 6.x

Napisał: Patryk Krawaczyński

11/10/2011 w Administracja Możliwość komentowania Zadania cron w CentOS/RHEL 6.x została wyłączona

W

szóstej wersji CentOS’a / Red Hat’a został zmieniony system zarządzania zadaniami za pomocą daemona cron. Dla nieświadomych – za pomocą programu cron jesteśmy w stanie m.in. rotować dzienniki systemowe, indeksować pliki w systemie, czy uruchamiać skrypty o określonych porach (najczęściej w takich, w których serwer nie jest zajęty wykonywaniem “ważniejszych” rzeczy). A co zostało zmienione w kolejnym wydaniu tych systemów?
[ czytaj całość… ]

Twitter @nfsec_pl
Dołącz do NFsociety
RSS via e-mail