Przeglądasz posty z kategorii: "Security"
paź
31

OvertheWire Natas Wargame – write-ups

autor: p____h  //  ::medium::, Security  //  brak komentarzy

Kilka dni temu, OvertheWire dorzucił do swojej kolekcji nowe wargame. Tym razem webowe. Po kilku godzinnej zabawie, zamieszczam rozwiązania wszystkich 16 poziomów, z którymi się uporałem.
Uwaga. Poniższy wpis zawiera rozwiązania wszystkich zadań. Jeśli nie chcesz psuć sobie zabawy, nie klikaj w link „Czytaj dalej”.

Czytaj dalej »»

kw.
7

Słów kilka o system() z stdlib.h

Po stosunkowo długiej przerwie czas wrócić do bloga. Dziś pod lupę wpadnie pewien mankament, z którym spotkałem się już kilkakrotnie: używanie system() z stdlib.h przez programistów.

Czytaj dalej »»

gru
4

JavaScript, a URLencoding

autor: p____h  //  ::medium::, Security  //  komentarze 2

W porównaniu do kilku poprzednich wpisów, dziś nazwa tematu zdecydowanie mniej finezyjna, ale sam temat za to zdecydowanie bardziej techniczny. Spotkałem się już kilka razy ze stwierdzeniem, że urlencode jest całkiem niezłym pomysłem nad zabezpieczeniem przed Cross-Site Scripting. Poniżej – kilka słów o tym, że nie jest jednak tak kolorowo.

Czytaj dalej »»

lis
12

URL Redirection, a Google

autor: p____h  //  ::easy::, Security  //  komentarzy 11

URL Redirection to patrząc z poziomu security technika dość niepożądana. Wykorzystując zaufanie do danej witryny, możemy przemycić w którymś z parametrów adres do zewnętrznej strony (ze złośliwym oprogramowaniem, czy nawet wersją stworzoną przez phisingerów). Byłoby nadużyciem, gdybym stwierdził, że popularna wyszukiwarka Google bugi typu URL Redirection ma – ale na pewno warto przyjrzeć się pewnemu, bardzo podobnemu do niego mechanizmowi.

Czytaj dalej »»

paź
30

Clickjacking z przeszłości

autor: p____h  //  ::easy::, Security  //  komentarze 2

Myślałem dziś ze znajomym nad ciekawym sposobem zabezpieczenia się przed clickjackingiem. I chociaż kilka zdających egzamin rozwiązań już jest [patrz chociażby ClearClick] szukaliśmy czegoś nowego. Pewnego rodzaju burza mózgów zachęciła mnie do napisania kilku przemyśleń.

Czytaj dalej »»

paź
29

Uważaj do kogo mailujesz

autor: p____h  //  ::easy::, Security  //  brak komentarzy

Wpadł mi dziś w ręce pewien artykuł. Pierwsze skojarzenie: o ktoś z GW przypomniał sobie o zagrożeniu wynikającym z typosquattingu (i nie ironizując, jest to zagadnienie dość poważne – zwłaszcza, że dodając tutaj spoofing nagłówków mailowych można otrzymać naprawdę ciekawe efekty).
Skojarzenie drugie (które dotyczy odpowiedzi na opisany eksperyment) to pytanie, na które postaram się odpowiedzieć w poniższym wpisie – czy rzeczywiście nie istnieje sposób na wyeliminowanie zminimalizowanie pomyłek/literówek podczas wysyłania maili?

Czytaj dalej »»