NFsec Logo

101 Pen Test oraz Bug Bounty Tips & Tricks #2 – Google Analytics oraz Adsense ID

10/11/2019 w Pen Test Możliwość komentowania 101 Pen Test oraz Bug Bounty Tips & Tricks #2 – Google Analytics oraz Adsense ID została wyłączona

P

odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:

curl -L https://pentest.target | egrep 'UA-[0-9]+'
_gaq.push(['_setAccount', 'UA-12345678-22']);

Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.

Więcej informacji: Hussein Daher

TCP BBR – nowy algorytm kontroli przeciążenia od Google

23/07/2017 w Administracja Możliwość komentowania TCP BBR – nowy algorytm kontroli przeciążenia od Google została wyłączona

B

ottleneck Bandwidth and RTT, czyli BBR jest nowym algorytmem kontroli przeciążenia TCP od firmy Google. Został on przetestowany w jego centrach danych, jak i frontowych serwerach takich stron jak: Google.com oraz YouTube.com. Dąży on do optymalizacji zarówno przepustowości, jak i opóźnienia – RTT. Jak wspomina samo Google po wprowadzeniu tego mechanizmu do swojej usługi publicznej chmury obliczeniowej, uzyskał średnio od 4%14% większą przepustowość sieciową. Pierwsze publiczne wydanie BBR nastąpiło we wrześniu 2016 roku. Do jego użycia wymagane jest posiadanie jądra w wersji 4.9 lub wyższej, w przeciwnym wypadku wymagane jest nałożenie łatki i rekompilacja jądra.
[ czytaj całość… ]

Narzędzie do Content Security Policy od Google

12/10/2016 w Bezpieczeństwo Możliwość komentowania Narzędzie do Content Security Policy od Google została wyłączona

G

oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.
[ czytaj całość… ]

Hosting statycznych stron i treści w Google Drive

26/12/2013 w Techblog Możliwość komentowania Hosting statycznych stron i treści w Google Drive została wyłączona

G

oogle Drive umożliwia nie tylko przechowywanie zdjęć i innych dokumentów, ale również statycznych stron HTML, plików JavaScript oraz CSS. W tym celu wystarczy:

  • Stworzyć nowy folder i udostępnić go jako publiczny,
  • Wgrać do tego folderu pliki HTML, JS, CSS,
  • Zaznaczyć wybrany plik HTML i wybrać z menu Więcej: Otwórz za pomocą: Przeglądarka Dysku Google
  • W otworzonej zakładce z przeglądarką ponownie kliknąć Pogląd i skopiować URL

Tak otrzymany URL: https://googledrive.com/host/1B4SBiW70ZQreMzZtbktoQ1k0VHM/static.html (gdzie host to nazwa udostępnionego folderu) możemy wkleić w kod innej strony – plik static.html zamienić na np. static.css itd. – wykorzystując infrastrukturę Google do celów hostingowych małych i prostych plików.

Więcej informacji: Host webpages on Google Drive

Poprawa odpytywania serwerów DNS

13/09/2012 w Administracja Możliwość komentowania Poprawa odpytywania serwerów DNS została wyłączona

S

ystemy linuksowe wyposażone są w lokalny resolver, który jest odpowiedzialny za tłumaczenie żądań programów o informacje o hostach w zapytania dla serwerów DNS oraz przekształcanie ich odpowiedzi w informacje dla tychże programów. Od wersji BIND 8.2 możemy dodać kilka nowych opcji do reslover’a, które teoretycznie mogą poprawić nam czasy odpowiedzi i wykorzystanie więcej niż jednego serwera DNS. Poniżej znajduje się przykładowy plik konfiguracyjny /etc/resolv.conf, który zawiera wpisy:
[ czytaj całość… ]

Akceleracja sprzętowa w Google Chrome

19/05/2011 w Techblog Możliwość komentowania Akceleracja sprzętowa w Google Chrome została wyłączona

G

oogle Chrome posiada możliwość uruchomienia akceleracji GPU, czyli pełne wykorzystanie możliwości karty graficznej podczas oglądania stron internetowych i aplikacji na nich umieszczonych. Na przykład przeprowadzając test w serwisie FishTank bez aktywnej akceleracji GPU, a na procesorze Intel(R) Xeon(R) 5130 @ 2.00GHz i rozmiarze okna 1280 x 909 uzyskano następujące wyniki:
[ czytaj całość… ]

Szukanie blogów w domenie .edu oraz .gov za pomocą Google

09/05/2011 w Pen Test Możliwość komentowania Szukanie blogów w domenie .edu oraz .gov za pomocą Google została wyłączona

W

celu wyszukania blogów w domenie .edu lub .gov za pomocą wyszukiwarki Google – wystarczy w pole wyszukiwania wpisać:

site:.edu inurl:blog "post a comment"
site:.gov inurl:blog "post a comment"

[ czytaj całość… ]

9 mitów bezpieczeństwa stron internetowych dla początkujących

17/03/2011 w Bezpieczeństwo Możliwość komentowania 9 mitów bezpieczeństwa stron internetowych dla początkujących została wyłączona

I

gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]

Publiczne serwery DNS Google

15/12/2009 w Bezpieczeństwo Możliwość komentowania Publiczne serwery DNS Google została wyłączona

T

rzeciego grudnia 2009 roku firma Google oddała własne serwery DNS do publicznego użytku. Jest to projekt bardzo zbliżony do OpenDNS. Ma on zapewnić jego użytkownikom szybkość odpowiedzi resolwerów DNS, ich bezpieczeństwo oraz niezawodność w działaniu. Szybkość i niezawodność osiągnięto dzięki zapewnieniu odpowiedniej obsługi klastrów złożonych z serwerów DNS; równoważeniu obciążenia (ang. load-balancing) zapytań do resolwerów DNS jak i zastosowaniu mechanizmu aktywnego prefetchingu.
[ czytaj całość… ]

Poznaj swój komputer – oczami intruza

28/11/2009 w Hakin9 & Linux+ Możliwość komentowania Poznaj swój komputer – oczami intruza została wyłączona

W

Sieci jeszcze bardziej niż w życiu realnym należy chronić wszelkie informacje dotyczące naszej osoby, firmy, działań, kierunków rozwoju… Dbać o te wszystkie dane muszą ludzie, którym je powierzamy. Dlatego zadziwiająca jest beztroska większości użytkowników Internetu w kwestiach bezpieczeństwa i ochrony wrażliwych danych.
[ czytaj całość… ]