NFsec Logo

Rekonesans przez listę certyfikatów

27/10/2017 w Pen Test 2 komentarze.

J

ednym z sposobów rekonesansu wybranej domeny jest zabawa z serwerami DNS. Innym sposobem może być wykorzystanie innego serwisu – teoretycznie stworzonego do czynienia dobra. W czerwcu 2015 roku organizacja Comodo ogłosiła uruchomienie nowej strony internetowej umożliwiającej śledzenie certyfikatów witryn internetowych. Wprowadzając nazwę domeny lub nazwę organizacji, użytkownik jest w stanie wyświetlić pełną listę wydanych certyfikatów wraz ze szczegółami dotyczących organów certyfikujących.
[ czytaj całość… ]

TLS – Wyciek informacji przez rozszerzenie Server Name Indication (SNI)

09/10/2017 w Bezpieczeństwo Brak komentarzy.

M

oże się nam wydawać, że skoro używamy szyfrowanego połączenia TLS/SSL to tylko serwery DNS mogą zdradzać naszą aktywność w sieci. Nic bardziej mylnego. Powodem bardzo szybkiej identyfikacji odwiedzanych przez nas stron może być rozszerzenie TLS – SNI (ang. Server Name Indication) pozwalające na instalację wielu certyfikatów SSL na pojedynczym adresie IP (mogliśmy wcześniej się z nim spotkać przy analizie Cloudflare).
[ czytaj całość… ]

OpenSSL – sprawdzanie czy klucz pasuje do certyfikatu

10/05/2017 w CmdLineFu Brak komentarzy.

Jak sprawdzić, czy klucz prywatny pasuje do wydanego certyfikatu? Powinny posiadać identyczny skrót SHA256:

openssl rsa -noout -modulus -in kluczdomeny.key 2> /dev/null | sha256sum -
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 -
openssl x509 -noout -modulus -in certyfikat.crt 2> /dev/null | sha256sum -
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 -

Jeśli jest inaczej to znaczy, że coś poszło nie tak w procesie generowania certyfikatu lub pomyliliśmy pliki.

CAA – Certificate Authority Authorization

08/05/2017 w Bezpieczeństwo Brak komentarzy.

P

odczas ostatnich testów na SSL Labs zauważyłem nowy wpis, jaki pojawił się na tablicy wyników: DNS CAA: No. O, co chodzi z tym wsparciem dla DNS CAA? CAA jest nowym typem rekordu DNS, który określa, jaki CA (Certificate Authority – określenie organizacji bądź firmy zajmującej się wydawaniem i obsługą elektronicznych certyfikatów) jest uprawniony do wystawienia certyfikatu dla danej domeny. CAA został opisany w RFC 6844 w 2013 roku w celu poprawy siły ekosystemu PKI (Public Key Infrastructure). Niestety przez ostatnie 4 lata pozostawał on tylko w statusie propozycji standardu. Jednak za sprawą ostatniego głosowania CA/Browser Forum ma to się zmienić od 8 września 2017 roku. Po tym czasie standard wydawania certyfikatów zostanie wzbogacony o sprawdzanie rekordów CAA.
[ czytaj całość… ]

Obchodzenie zapór pośrednicząco-filtrujących strony web #2

05/05/2017 w Pen Test Brak komentarzy.

W

pierwszej części poznaliśmy prostą metodę przejęcia domeny wraz z jej pozycją SEO oraz reputacją. W dzisiejszym poście omówimy technikę zwaną domain fronting. Na czym ona polega? Dla przykładu spójrzmy na jeden z adresów IP używanych przez frontowy serwer obsługujący domenę www.google.es:

# host www.google.es
www.google.es has address 216.58.210.163
www.google.es has IPv6 address 2a00:1450:4003:808::2003

[ czytaj całość… ]

Obchodzenie zapór pośrednicząco-filtrujących strony web #1

15/04/2017 w Pen Test Brak komentarzy.

J

ak w środowisku, które jest poddawane dokładnej filtracji sieciowej stworzyć obejście i tunel do własnych serwerów C2? Istnieje wiele dróg, aby ominąć monitoring oraz restrykcje przepływu informacji z jednej sieci do drugiej. W niektórych przypadkach sprawdzą się takie narzędzia, jak ICMPsh lub DNScat. Jednak w tym wpisie zajmiemy się przypadkiem filtrowania przez proxy sieci wewnętrznej odwiedzanych stron internetowych. Coraz częściej firmy nie tylko blokują szkodliwe strony, ale także blokują dostęp do witryn, które zostały niezakwalifikowane do żadnej kategorii ( np. zakupy, finanse, sport itd.) lub posiadają wątpliwą / niską reputację.
[ czytaj całość… ]

Kilka słów o wdrożeniu SSL i TLS – cz.2

29/03/2017 w Bezpieczeństwo Brak komentarzy.

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.
[ czytaj całość… ]

Kilka słów o wdrożeniu SSL i TLS – cz. 1

09/02/2017 w Bezpieczeństwo Możliwość komentowania Kilka słów o wdrożeniu SSL i TLS – cz. 1 została wyłączona

S

SL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony korzystające z certyfikatów SSL, będą bardziej „lubiane” w wynikach wyszukiwania, a także chętniej indeksowane. Nie jest to jednak ostatnie słowo. Główna litera Alfabetu nie tylko tą akcją chce wprowadzić strony WWW w kolejny etap bezpiecznego internetu. Już na początku 2017 roku, rodzima przeglądarka Chrome będzie posiadała mechanizmy, które podczas łączenia z dowolną witryną jednoznacznie odpowiedzą użytkownikowi na pytanie: czy korzystanie z niej jest bezpieczne?
[ czytaj całość… ]

Zapalmy flarę nad CloudFlare

09/09/2016 w Pen Test Brak komentarzy.

P

rzy okazji wygasania certyfikatu na stronie zacząłem się zastanawiać, czy skorzystać z Let’s Encrypt, czy może z CloudFlare? CF to serwis oferujący „darmową” ochronę webaplikacji, CDN oraz szyfrowanie SSL (jeśli używa się go poprawnie). Zastanawiało mnie ile klientów / domen korzysta z tego serwisu? Oto, co udało mi się ustalić.
[ czytaj całość… ]

Konfiguracja nagłówków bezpieczeństwa na A+

08/01/2016 w Bezpieczeństwo Brak komentarzy.

S

ecurityheaders podobnie, jak Qualys SSL Test dla SSL oferuje sprawdzanie poprawności i ranking konfiguracji, jeśli chodzi o nagłówki bezpieczeństwa używane po stronie serwera i strony WWW. Zanim wykonamy test powinniśmy bliżej zapoznać się z następującymi pojęciami: Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS) oraz Public-Key-Pins (HPKP). Jeśli nie stosujemy żadnego z nich – ocena „F” nie powinna być zaskoczeniem.

Więcej informacji: securityheaders.io

Strona 1 z 3123