Napisał: Patryk Krawaczyński
10/11/2019 w Pen Test
P
odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:
curl -L https://pentest.target | egrep 'UA-[0-9]+'
_gaq.push(['_setAccount', 'UA-12345678-22']);
Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.
Więcej informacji: Hussein Daher
Napisał: Patryk Krawaczyński
23/07/2017 w Administracja
B
ottleneck Bandwidth and RTT, czyli BBR jest nowym algorytmem kontroli przeciążenia TCP od firmy Google. Został on przetestowany w jego centrach danych, jak i frontowych serwerach takich stron jak: Google.com oraz YouTube.com. Dąży on do optymalizacji zarówno przepustowości, jak i opóźnienia – RTT. Jak wspomina samo Google po wprowadzeniu tego mechanizmu do swojej usługi publicznej chmury obliczeniowej, uzyskał średnio od 4% – 14% większą przepustowość sieciową. Pierwsze publiczne wydanie BBR nastąpiło we wrześniu 2016 roku. Do jego użycia wymagane jest posiadanie jądra w wersji 4.9 lub wyższej, w przeciwnym wypadku wymagane jest nałożenie łatki i rekompilacja jądra.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
12/10/2016 w Bezpieczeństwo
G
oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
26/12/2013 w Techblog
G
oogle Drive umożliwia nie tylko przechowywanie zdjęć i innych dokumentów, ale również statycznych stron HTML, plików JavaScript oraz CSS. W tym celu wystarczy:
- Stworzyć nowy folder i udostępnić go jako publiczny,
- Wgrać do tego folderu pliki HTML, JS, CSS,
- Zaznaczyć wybrany plik HTML i wybrać z menu Więcej: Otwórz za pomocą: Przeglądarka Dysku Google
- W otworzonej zakładce z przeglądarką ponownie kliknąć Pogląd i skopiować URL
Tak otrzymany URL: https://googledrive.com/host/1B4SBiW70ZQreMzZtbktoQ1k0VHM/static.html
(gdzie host to nazwa udostępnionego folderu) możemy wkleić w kod innej strony – plik static.html
zamienić na np. static.css
itd. – wykorzystując infrastrukturę Google do celów hostingowych małych i prostych plików.
Więcej informacji: Host webpages on Google Drive
Napisał: Patryk Krawaczyński
13/09/2012 w Administracja
S
ystemy linuksowe wyposażone są w lokalny resolver, który jest odpowiedzialny za tłumaczenie żądań programów o informacje o hostach w zapytania dla serwerów DNS oraz przekształcanie ich odpowiedzi w informacje dla tychże programów. Od wersji BIND 8.2 możemy dodać kilka nowych opcji do reslover’a, które teoretycznie mogą poprawić nam czasy odpowiedzi i wykorzystanie więcej niż jednego serwera DNS. Poniżej znajduje się przykładowy plik konfiguracyjny /etc/resolv.conf
, który zawiera wpisy:
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
19/05/2011 w Techblog
G
oogle Chrome posiada możliwość uruchomienia akceleracji GPU, czyli pełne wykorzystanie możliwości karty graficznej podczas oglądania stron internetowych i aplikacji na nich umieszczonych. Na przykład przeprowadzając test w serwisie FishTank bez aktywnej akceleracji GPU, a na procesorze Intel(R) Xeon(R) 5130 @ 2.00GHz i rozmiarze okna 1280 x 909 uzyskano następujące wyniki:
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
09/05/2011 w Pen Test
W
celu wyszukania blogów w domenie .edu lub .gov za pomocą wyszukiwarki Google – wystarczy w pole wyszukiwania wpisać:
site:.edu inurl:blog "post a comment"
site:.gov inurl:blog "post a comment"
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
17/03/2011 w Bezpieczeństwo
I
gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
15/12/2009 w Bezpieczeństwo
T
rzeciego grudnia 2009 roku firma Google oddała własne serwery DNS do publicznego użytku. Jest to projekt bardzo zbliżony do OpenDNS. Ma on zapewnić jego użytkownikom szybkość odpowiedzi resolwerów DNS, ich bezpieczeństwo oraz niezawodność w działaniu. Szybkość i niezawodność osiągnięto dzięki zapewnieniu odpowiedniej obsługi klastrów złożonych z serwerów DNS; równoważeniu obciążenia (ang. load-balancing) zapytań do resolwerów DNS jak i zastosowaniu mechanizmu aktywnego prefetchingu.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
28/11/2009 w Hakin9 & Linux+
W
Sieci jeszcze bardziej niż w życiu realnym należy chronić wszelkie informacje dotyczące naszej osoby, firmy, działań, kierunków rozwoju… Dbać o te wszystkie dane muszą ludzie, którym je powierzamy. Dlatego zadziwiająca jest beztroska większości użytkowników Internetu w kwestiach bezpieczeństwa i ochrony wrażliwych danych.
[ czytaj całość… ]
Ostatni komentarz :