Dodany: 2019-04-29 09:36:37 | Ostatnio wołany: 2019-04-29 09:39:27



Czy kliknięcie w odnośnik może być niebezpieczne? #od0dopentestera
Parę tygodniu temu opisywałem podstawy ataku XSS.
Dzisiaj nadarzyła się okazja aby opisać tą podatność w oparciu o prawdziwy błąd w oprogramowaniu QNAP NAS.
Podatny kod mieści się w jednej linijce:
location.href = decodeURIComponent(location.href.replace(/(.*?\?r=)/,''));
W teorii miał przekierowywać użytkownika pod nowy adres znajdujący się w parametrze ?r=.
Czyli wchodząc na podatną stronę skrypt.html?r=http://google.pl zostajemy automatycznie przeniesieni do wyszukiwarki.
Jest to wiec typowy przykład Open Redirection.
Tutaj, można go jednak wykorzystać do wykonania kodu #javascript.
Jak to możliwe?
W pasku adresu w przeglądarce oprócz domeny można również podać ciąg zaczynający się od słowa javascript a następnie kod #js.
Wystarczy więc przekonać użytkownika do wklejenia dziwnego tekstu do okna przeglądarki.
W praktyce bardzo ciężko jest przeprowadzić taki atak.
Dużo prościej jest, gdy użytkownik musi jedynie kliknąć w link albo odwiedzić złośliwą podstronę.
http://NAS:8080/nc/oauth/redirect.html?r=javascript:e val("nasz_złosliwy_kod")
W tym przypadku po kliknięciu w odnośnik, location.href przeniesie nas pod nowy adres zaczynający się od słowa javascript a to oznacza wykonanie danego kawałka kodu.
Podsumowując: jeżeli zalogowany administrator kliknie w link znajdujący się na złośliwej stronie, automatycznie zostanie utworzone nowe konto administratora w oprogramowaniu QNAP.
A to sprawia, że ktoś uzyskuje pełen dostęp do naszych danych znajdujących się na urządzeniu.
Ten błąd ma numer CVE-2019-7179 i jeżeli posiadasz któreś z urządzeń QNAP warto zaktualizować oprogramowanie do wersji QTS 4.4.0.0883.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-22 10:35:22 | Ostatnio wołany: 2019-04-22 10:37:06


Poranek z #od0dopentestera
Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania.
CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining.
Co to jest plik apple-app-site-association i jakie dane można w nim znaleźć.
Nowa sztuczka wykorzystywana przez malware Emotet.
Jak stracić milion dolarów? Historia miłosnego zauroczenia.
A także wyjaśnienie pojęcia Sextortion.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast możesz również przeczytać w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-16 04:54:39 | Ostatnio wołany: 2019-04-16 04:55:39


Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty.
Co to jest credential stuffing i jak się przed nim obronić.
Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny.
Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów.
Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM.
Jak testować bezpieczeństwo sklepów internetowych.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast możesz również przeczytać w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-09 04:58:18 | Ostatnio wołany: 2019-04-09 04:59:04


Co to jest atak BadUSB? Czyli jak podpinając #raspberrypi do routera można monitorować ruch w danej sieci.
Co oznacza termin trust on first use - jak sprawdzać, kto czai się po drugiej stronie komunikatora.
Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy.
Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento?
Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast możesz również przeczytać w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-05 05:05:29 | Ostatnio wołany: 2019-04-05 05:09:17


Jak dobrze znasz #php ?
W dzisiejszym odcinku #od0dopentestera zapraszam do małego quizu.
Wykorzystałem tutaj kawałki kodu, na które natrafiłem podczas RADARCTF oraz VolgaCTF.
Ile z nich jesteś w stanie rozwiązać - czyli wyświetlić tekst OK?
Podziel się spostrzeżeniami w komentarzu.
Wyjaśnienia wszystkich zagadek znajdziesz w filmie.

1. Kolizja MD5 - wartość $salt nie jest znana

if($a !== $a){
if(hash('md5', $salt . $a) == hash('md5', $salt . $b)){
echo "OK";
}
}

2. Trzycyfrowa liczba, która jest większa od 10000

if (strlen($number) < 4) {
if (is_numeric($number)) {
if ($number > 10000) {
echo "OK";
}
}
}

3. Hash MD5 równy wartości liczby zmiennoprzecinkowej

if (strlen($d) == 3 and !is_numeric($d)) {
if (floatval($d) == md5($d)) {
echo 'OK';
}
}

4. Wyświetlenie konkretnego pliku bez znajomości jego nazwy

if (substr(strtolower($e), 0, 4) != "http") {
if (file_get_contents($e) === "0") {
echo "OK";
}
}

5. Deserializacja tajnego obiektu – wartość $r->flag nie jest znana

class Secrets {
var $temp;
var $flag;
}

$r = unserialize($f);
$r->flag = "SEKRET";

if ($r->flag === $r->temp) {
echo 'OK';
}

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-04-01 15:15:57 | Ostatnio wołany: 2019-04-01 15:17:25


Co to jest high frequency trading i jakie przeszkody stoją przed osobami, które się nim zajmują.
Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search.
Podszywanie się pod okno przeglądarki na #iphone - o ataku Picture in Picture.
Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kodu w infrastrukturze Mozilli.
Oszustwa w mechanizmie reklam mobilnych - jak wyświetlać dwie reklamy w jednej.
Używanie legalnych komponentów do rozpowszechniania złośliwego oprogramowania - jak wykorzystano serwis Firebase.
Czy słyszałeś o Google BigQuery? Przeszukiwanie wielu gigabajtów danych w celu odnalezienia tokenów API na GitHubie.
A także o last minute persistence, czyli jak ewoluowały metody przetrzymywania restartu komputera w złośliwym oprogramowaniu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast dostępny jest również w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-03-29 08:40:00 | Ostatnio wołany: 2019-03-29 08:42:46


W większości języków programowania możemy tworzyć obiekty - czyli instancje klas.
Serializacja to sposób na przechowywanie obiektów lub struktur tak aby mogły być łatwo transmitowane.
Z deserializacją niezaufanych obiektów mamy do czynienia jeżeli użytkownik kontroluje zawartość zserializowanego obiektu.
Serwer aby przetworzyć tak zapisany obiekt, musi bowiem wykonać operację odwrotną nazywaną deserializacją.
W niektórych językach podczas tej procedury, pewne metody są wywoływane automatycznie.
W PHP te metody nazywane są magicznymi i zaczynają się od podwójnego podkreślenia.
Cała idea ataku opiera się zatem na znalezieniu podatnej magicznej metody, której kod może zostać wykorzystany w zły sposób.
Przykładowo, w #php jeśli klasa posiada metodę __wakeup, podczas deserializacji obiektu przy pomocy funkcji unserialize - wykona się ona automatycznie.
Powiedzmy, że nasza implementacja __wakeup usuwa plik bazując na właściwości $plik.
Jeżeli atakujący kontroluje zserializowany obiekt, może zmienić wartość tego pola.
PHP automatycznie wykona magiczną metodę, a ta wywoła funkcje unlink, usuwając plik wskazany przez użytkownika.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-03-25 12:55:07 | Ostatnio wołany: 2019-03-25 13:01:19


Czy wiesz co można odnaleźć w zakładce Ważne miejsca w #iphone
Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs.
Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym.
Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons.
Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com
A także o badaniu pokazującym kiedy programiści piszą swój kod w bezpieczny sposób.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Transkrypcja
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-03-22 09:33:03 | Ostatnio wołany: 2019-03-22 09:33:53


W atakach XSS treść podana przez użytkownika jest wyświetlana bezpośrednio w przeglądarce.
Wygląd każdej strony internetowej opiera się na połączeniu HTML, CSS i JavaScript.
Jeżeli użytkownik kontroluje to, co się wyświetla - może dodać swój własny kod do naszej strony.

Podatności XSS możemy podzielić na 3 główne rodzaje.

W Reflected XSS parametr od użytkownika jest wyświetlany na stronie od razu bez żadnej lub z drobną modyfikacją.
Parametr ten może być częścią adresu URL lub też polem wysłanym w zwykłym formularzu.
Może też być nagłówkiem wysyłanym przez przeglądarkę, chociażby polem User-agent.

Tylko, że aby ten rodzaj ataku zadziałał - należy jakoś przesłać użytkownikowi złośliwy kod.
Zazwyczaj robi się to wykorzystując długi adres URL, w który ofiara musi kliknąć.
Ten problem rozwiązuje atak stored XSS.
Tutaj payload jest najpierw zapisywany w bazie danych.
Dzięki temu, użytkownik wchodzący na podatną podstronę, pobiera wcześniej zapisane dane z bazy i je wyświetla.
Nie musi, zatem klikać w specjalnie spreparowany odnośnik.

Ale kod HTML może być także tworzony z poziomu JavaScript.
Jeżeli więc kod JS pobiera jakiś parametr z adresu URL a następnie na jego podstawie tworzy kawałek HTML - mamy do czynienia z podatnością DOM Based.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-03-19 05:04:17 | Ostatnio wołany: 2019-03-19 05:05:12


Czy próbowałeś kiedyś swoich sił w konkursach CTF?
Capture The Flag to drużynowe turnieje, w których próbujemy złamać zabezpieczenia w zadaniach przygotowanych przez organizatorów.
Dzisiaj w ramach #od0dopentestera prezentuję rozwiązania dwóch zadań, które miały miejsce w ramach CONFidence CTF 2019.
W pierwszym z nich mamy do czynienia z kodem #php
Tłumaczę tam dlaczego porównywanie stringa z liczbą przy użyciu == nie jest najlepszym pomysłem.
W drugim przykładzie natomiast próbujemy wykonać atak XSS przy użyciu plików SVG.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 111
Wołań: 49
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2019-05-12 18:48:11
@Init0 dołączył do listy


2019-04-29 14:27:39
@100lik dołączył do listy


2019-04-29 09:39:27
@KacperSzurek zawołał do wpisu


2019-04-25 12:56:26
@adrpan opuścił listę


2019-04-22 10:37:06
@KacperSzurek zawołał do wpisu


2019-04-16 04:55:39
@KacperSzurek zawołał do wpisu


2019-04-09 08:50:12
@azer dołączył do listy


2019-04-09 04:59:04
@KacperSzurek zawołał do wpisu


2019-04-05 10:33:34
@r5Kh7r dołączył(a) do listy


2019-04-05 05:09:17
@KacperSzurek zawołał do wpisu