NFsec Logo

Podstawy skryptów shell #3

29/07/2017 w Bezpieczeństwo Brak komentarzy.

T

rzecia część [ 1 ] [ 2 ] będzie poruszać ataki wstrzykiwania do skryptów powłoki. Te typy ataków występują, gdy użytkownik dostarcza jako argumenty przechowywane w zmiennych skryptu spreparowane polecenia lub wartości zamiast oczekiwanych danych wejściowych. W dodatku użyte zmienne są pozbawione znaków cytowania, które służą do usuwania interpretacji znaków specjalnych przez powłokę. Na przykład:

#!/bin/bash

read LOGIN
read COMMAND
if [ x$LOGIN = xroot ]; then
    echo $LOGIN
    eval $COMMAND
fi

[ czytaj całość… ]

Podstawy skryptów shell #2

11/06/2017 w Bezpieczeństwo Brak komentarzy.

W

drugiej części naszej serii zajmiemy się atakami na katalogi, które są dostępne do zapisu dla wszystkich użytkowników. Pliki znajdujące się w tych katalogach podatne są na atak polegający na możliwości zastąpienia ich innym, „złośliwym” plikiem, który skrypt zamierza odczytać lub zapisać.
[ czytaj całość… ]

Hackertising, czy harketing?

09/06/2017 w Hackultura Brak komentarzy.

N

a wstępnie pragnę zaznaczyć, że wpis ten w żadnym wypadku nie ma na celu dyskredytacji żadnej oficjalnej informacji, ani postawy prezentowanej przez opisane firmy, ani serwisy informacyjne. Jest po prostu innym spojrzeniem; luźną myślą, która powstała na skutek obserwacji zjawiska wygenerowanego przez opisane zdarzenie.
[ czytaj całość… ]

Podstawy skryptów shell #1

25/05/2017 w Bezpieczeństwo Brak komentarzy.

B

ezpieczeństwo, jeśli chodzi o pisanie skryptów shell bywa różne. Większość użytkowników skupia się zazwyczaj na rozwiązaniu napotkanego problemu programistycznego lub automatyzacji żmudnego zadania. Nie doprowadzanie w kodzie do luk umożliwiających późniejszą ich eksploatację schodzi na drugi plan. Dlatego w tej serii zostanie opisanych kilka typowych błędów popełnianych w skryptach shell oraz sposoby, w jaki można je wykorzystać i nim zapobiec.
[ czytaj całość… ]

Close all the things!

23/10/2016 w Ataki Internetowe, Bezpieczeństwo, Pen Test Brak komentarzy.

Z

nowu IofT dał popalić Internetowi. Jak powstrzymać te wszystkie urządzenia przed przejęciem? Hmm… najlepiej je zamknąć przed zewnętrznym dostępem. Ale jak? Co łączy wszystkie te urządzenia? Może protokół? Ale jaki? HTTP. No tak, ale nie wstrzykniemy nim przecież uwierzytelnienia. To musi być coś uniwersalnego… No tak! UPnP. Spójrzmy ile mniej więcej jest wystawionych interfejsów tego protokołu. Według shodana prawie 14 milionów (dokładnie: 13,968,198). To już daje jakieś pole do popisu. Zacznijmy od routerów.
[ czytaj całość… ]

Mr.Robot

29/09/2015 w Hackultura 1 komentarz.

M

r. Robot to serial, który skupia się na Elliocie mającym zaburzenia psychiczne. Przez swoją chorobę nie potrafi kontaktować się z ludźmi. Pewnego razu odkrywa, że może to robić przez hakowanie ich. Nowa umiejętność zmienia jego życie. Musi balansować między firmą zajmującą się bezpieczeństwem w sieci, dla której pracuje a podziemiem hackerskim, które chce go zatrudnić, aby pomógł im zniszczyć amerykańskie korporacje.
[ czytaj całość… ]

MovieCode

25/04/2014 w Hackultura Brak komentarzy.

M

ovieCode (pełna nazwa Source Code in TV and Films) jest stroną internetową wyjawiającą znaczenie kodów źródłowych różnych języków programowania użytych i przedstawionych w filmach oraz serialach TV. Stronę uruchomił w styczniu 2014 roku za pośrednictwem platformy microblogowania Tumblr programista oraz pisarz John Graham-Cumming zainspirowany przez film Elysium, w którym w jednej ze scen użyto kodu assemblera z dokumentu „Intel Architecture Software Developer’s Manual Volume 3: System Development”. Aktualnie strona publikuje przykłady screenshotów oraz źródła oryginalnego kodu przedstawiane przez swoich czytelników.

Więcej informacji: Movie Code

Grabienie rozproszonych systemów zarządzania wersjami dla zabawy i zysku

17/12/2012 w Bezpieczeństwo Brak komentarzy.

T

aki tytuł swojej prezentacji na DEFCON 19 przyjął Adam Baldwin. Opierała się ona na błędzie w postaci braku blokady dostępu do plików zawierających metadane systemów DVCS (ang. Distributed Version Control Systems), czyli po prostu plików pochodzących z rozproszonych systemów kontroli wersji takich jak: .git, .bzr (bazaar), .hg (mercurial), czy .svn (subversion). Błąd ten wynika najczęściej z faktu, że programiści używają tego rodzaju rozwiązań do wdrażania aplikacji na serwery środowisk produkcyjnych, które także pełnią rolę publicznych serwerów WWW.
[ czytaj całość… ]

Słowo „Hacker”

31/10/2010 w Hackultura Brak komentarzy.

I

stnieje społeczność, kultura grupowa, złożona z ekspertów w dziedzinie programowania i magików sieciowych, której historia sięga wstecz poprzez dziesięciolecia do pierwszych wielodostępnych minikomputerów z podziałem czasu i najwcześniejszych eksperymentów z siecią ARPANET. Członkowie tej kultury zapoczątkowali termin `hacker`. Hackerzy zbudowali Internet. Hackerzy uczynili z Unix’a system operacyjny, jakim jest dzisiaj. Hackerzy zapoczątkowali Usenet. Hackerzy sprawili, że Światowa Pajęczyna (World Wide Web) zaczęła działać.” ~ ESR
[ czytaj całość… ]

Cyberwojna

16/09/2010 w Hackultura, Hakin9 & Linux+ Brak komentarzy.

W

sztormie czarnej komunikacji internetowej coraz więcej mówi się o cyberwojnach napędzanych teoriami szpiegowskimi. Mocarstwa atakują mocarstwa. Giganci atakują gigantów. I z powodzeniem dzień za dniem złowrogie pakiety przeskakują na kolejne routery. W cyberprzestrzeni powstało wiele pojęć, które nie zawsze do końca są dobrze rozumiane przez osoby spoza środowiska. Wzorcowym przykładem jest prawidłowy wizerunek hackera w mediach, o co najmniej trzech odcieniach koloru. Niestety z białego, szarego i czarnego wiele przekazów jest wykonywanych w kolorach tęczy.
[ czytaj całość… ]

Strona 1 z 3123