Dodany: 2019-03-01 07:41:10 | Ostatnio wołany: 2019-03-01 07:42:15


OWASP Top 10 czyli co każdy programista o bezpieczeństwie wiedzieć powinien.
Dzisiaj o nieprawidłowym parsowaniu plików XML pochodzących od użytkownika. #od0dopentestera
XML w wolnym tłumaczeniu to Rozszerzalny Język Znaczników.
Przeznaczony jest do reprezentowania różnych danych w strukturalizowany sposób.
Gdy operujemy na dużych zbiorach danych niektóre informację się powtarzają.
W tym formacie można temu zapobiec stosując tak zwane encje.
Jest to pewnego rodzaju makro – definiujemy więc nazwę encji wraz z jej treścią.
Następnie w dokumencie używamy tej skróconej nazwy poprzedzonej ampresandem a parser automatycznie zamieni ją na tą dłuższą, zdefiniowaną wcześniej.
Encje te można zagnieżdżać – czyli z poziomu jednej odnosić się do kolejnej.
Zazwyczaj nie definiuje się maksymalnego poziomu takiej rekurencji.
Wtedy to mały plik przesłany przez użytkownika rośnie do ogromnych rozmiarów na serwerze.
Dodatkowo, treść encji może być pobierana z zewnętrznego pliku lub adresu.
Gdy ta funkcjonalność jest włączona – można ją wykorzystać do poznania treści tajnych plików, chociażby /etc/shadow pod Linuxem.
Treść tego pliku zostanie bowiem dodana do naszego wynikowego XML-a jeżeli jest on wyświetlany użytkownikowi.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-02-25 13:11:53 | Ostatnio wołany: 2019-02-25 13:13:05


Jak przekonać użytkowników do uruchomienia 2FA na przykładzie gier?
Czy wiesz co oznacza termin catastrophic destruction?
Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości?
Techniczny opis ataku podniesienia uprawnień w Linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego.
Jak wyciek naszego adresu zamieszkania może doprowadzić do braku snu a także o mało znanej funkcji Amazon S3.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-02-22 06:20:49 | Ostatnio wołany: 2019-02-22 06:21:50


Kolejny odcinek na temat bezpieczeństwa stron internetowych w ramach #od0dopentestera
Dzisiaj w cyklu OWASP Top 10 o ekspozycji wrażliwych danych czyli o wydobyciu przez atakującego informacji, których nie powinien posiadać.
A jest ich wbrew pozorom całkiem sporo: począwszy od numerów kart kredytowych, haseł do konta czy też adresu email.
Różne są ryzyka związane z wyciekiem różnych danych.
I tak jeżeli wyciekną numery kart możemy stracić pieniądze a email może zostać użyty w kampaniach złośliwego oprogramowania.

Ważnym punktem jest szyfrowanie - chodzi tutaj głównie o protokół https.
Ciasteczka mogą mieć ustawioną flagę Secure, która sprawia, że ich zawartość nie będzie przesłana jeżeli używamy nieszyfrowanego połączenia.

Nie zapominajmy również o aplikacjach na urządzenia mobilne, które to komunikują się naszymi endointami API.
Tutaj kluczowym jest sprawdzanie poprawności certyfikatu.
W przypadku stron - jest za to odpowiedzialna przeglądarka.
W aplikacji to programista musi użyć odpowiednich funkcji.

W różnych językach programowania są różne funkcję generujące dane pseudo losowe - czyli takie oparte na ziarnie.
Jeżeli posiadamy wartość początkową - algorytmy te są deterministyczne - to znaczy, ze zwracają te same dane wyjściowe dla tych samych danych wejściowych.
Przykładem niech będzie funkcja Random w #java i mój filmik na temat odzyskania tak wygenerowanej wartości.

Oczywistym wydaje się fakt, aby nie przechowywać haseł w tak zwanym plaintext a w formie haszy z solą.
Sól to dodatkowy, losowy ciąg, który łączony jest z hasłem przesłanym przez użytkownika.
I to z całego takiego ciągu generuje się hasz - czyli wynik funkcji jednokierunkowej i porównuje się go z tym, zapisanym w bazie.

W przypadku szyfrowania - nie wystarczy używać sprawdzonych bibliotek, należy to również robić w prawidłowy sposób.
Tutaj koronnym przykładem jest AES w trybie ECB.
Szyfry blokowe bowiem operują na blokach danych - gdzie dane wejściowe są podzielone na bloki równej długości.
Tylko, że jeżeli w szyfrowanej wiadomości znajdują się jakieś regularności - na przykład powtarzalne ciągi, to ta sama struktura może się uwidocznić w zaszyfrowanych danych.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-02-18 14:40:42 | Ostatnio wołany: 2019-02-18 14:41:42


Sekunda przestępna powodem 100% zużycia CPU.
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail.
Sposób na kradzież pieniędzy od użytkowników ebooków.
Phishing przy pomocy tłumacza Google Translate.
Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł?
Co to jest session replay - czyli jak śledzić poczynania użytkowników aplikacji mobilnych.
Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie VirusTotal?
Do czego służy Facebook Custom Audiences a także o programach Bug Bounty.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-02-14 05:00:03 | Ostatnio wołany: 2019-02-14 05:00:54


#od0dopentestera Kontynuujemy 10 odcinkowy kurs bezpieczeństwa aplikacji internetowych dla początkujących programistów.
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.

W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostać bezpieczne zapisane na przykład w bazie danych – tutaj kłania się haszowanie przy pomocy funkcji jednokierunkowych wraz z losowymi solami.
Gdy użytkownik posiada już konto – może się zalogować.
Ile razy może błędnie podać swoje dane logowania?
Jak zabezpieczyć się przed botami przy użyciu mechanizmu captchy?
Czy użyty został dodatkowy mechanizm dwuskładnikowego uwierzytelnienia - na przykład przy pomocy kodów SMS?
A może któryś z endpointów API nie wspiera tego mechanizmu co sprawia, że staje się on bezużyteczny?
Gdy dane zostaną już prawidłowo sprawdzone – należy wygenerować identyfikator sesji, na podstawie którego użytkownik będzie rozpoznawany w systemie.
Czy jest on dostatecznie losowy i unikalny?
A może opiera się na mailu lub też innej stałej co może doprowadzić do zalogowania się na konto innego użytkownika?
Zazwyczaj identyfikator ten jest przechowywany w ciasteczkach.
One to powinny mieć ustawioną flagę HttpOnly – tak aby nie można się było do nich dostać z poziomu kodu #javascript.
Na koniec – wylogowanie z systemu powinno być nieodwracalne – to znaczy sesje należy zniszczyć, aby nie można się było przy jej pomocy ponownie zalogować.
A może sesja nie jest niszczona a tylko usuwane jest ciasteczko po stronie użytkownika?
Zapraszam do materiału wideo.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-02-11 14:22:28 | Ostatnio wołany: 2019-02-11 14:23:57


Jak działa zimny i gorący portfel w odniesieniu do kryptowalut?
Czy Twoja firma przetrwa śmierć kluczowego pracownika? O czynniku autobusowym.
Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów?
Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach.
Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon?
Jak sprawdzić czy legitymacja studencka jest sfałszowana?
O bezpieczeństwie skrótów Siri w iPhone.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat

Przejdź do wpisu

Dodany: 2019-02-07 05:02:06 | Ostatnio wołany: 2019-02-07 05:02:56


OWASP Top 10 to zbiór dziesięciu najpopularniejszych błędów bezpieczeństwa, które można spotkać na stronach internetowych.
Rozpoczynam nowy cykl filmów właśnie na ten temat w ramach #od0dopentestera
Są one przeznaczone dla szerszego grona #webdev oraz #programista15k a nie tylko osób zajmujących się #bezpieczenstwo
Skupiam się tutaj na ogólnym przedstawieniu koncepcji a nie na szczegółowym wytłumaczeniu każdego z błędów.
Można to więc potraktować jako punkty, na które warto zwrócić uwagę podczas #programowanie

Dzisiaj A1: Injection czyli wstrzyknięcie.
Błędy tego rodzaju powstają jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i trafiają one bezpośrednio do zapytania lub jakiegoś polecenia.
Przy pomocy odpowiednio spreparowanego ciągu znaków atakujący ma możliwość pobrania innych rekordów lub wywołania innych komend niż wcześniej zakładano.
Najczęściej tego rodzaju podatności można spotkać w kodzie odpowiedzialnym za zapytania do różnego rodzaju baz danych.
Mogą one występować również gdy używamy funkcji służących do wykonania komend systemowych.
Kluczowe jest zatem odpowiednie filtrowanie danych pochodzących z zewnątrz.
W odniesieniu do SQL Injection - chodzi tutaj o Prepared Statements.
Zamiast przekazywać parametry bezpośrednio do zapytania - oznaczamy je zazwyczaj używając pytajnika.
A ich podmianą zajmuje się odpowiednia funkcja, która dba o zabezpieczenie całości.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-02-04 15:22:01 | Ostatnio wołany: 2019-02-04 15:23:01


Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
Kopiowanie kodu ze StackOverflow początkiem problemów.
Jak powinien wyglądać dobry raport z testu penetracyjnego?
Historia wspólnego klucza prywatnego używanego przez wiele stron.
Co to jest "domain hijacking" i jak się przed nim bronić.
Quiz na temat phishingu od Google.
Jak przejąć domenę poprzez błędny rekord DNS?
Dlaczego tajny token do podpisywania ciasteczek musi być losowy?
Poradnik bezpieczeństwa dla Iphona.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.

#od0dopentestera #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-01-31 08:58:36 | Ostatnio wołany: 2019-01-31 08:59:15


CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wykonania jakiejś akcji przez zalogowanego użytkownika – chociażby stworzenia nowego konta administratora.
Dzisiaj w #od0dopentestera wytłumaczę jak działa ten mechanizm.

Przesyłając dane do strony zazwyczaj używamy formularza.
Serwer odpowiednio procesuje wysłane przez nas informacje i na ich podstawie wykonuje daną akcję.
Ale nic nie stoi na przeszkodzie, żeby ten sam formularz umieścić na jakiejś innej stronie – nie powiązanej z tą, do której przesyłamy dane.
Na pierwszy rzut oka możesz pomyśleć, że to nie zadziała – wszak musimy być zalogowani na danej stronie – a przecież inna domena nie jest powiązana z naszą witryną.
Tylko, że przeglądarki działają inaczej.
Kiedy przesyłane są jakieś dane do serwera – jeżeli przeglądarka posiada ciasteczko pasujące do danej domeny – dołącza je do żądania automatycznie.
A to właśnie na podstawie ciasteczka serwer wie, że my to my.
Stąd też atakujący może dla przykładu umieścić formularz mający za zadanie stworzyć nowego administratora na swojej stronie a następnie musi przekonać nas, abyśmy będąc zalogowanymi odwiedzili jego witrynę.
Wtedy to dane z formularza zostaną automatycznie przesłane razem z naszym ciasteczkiem – a ponieważ, byliśmy zalogowani – serwer wykona żądaną akcję.

Jak więc wygląda mechanizm obrony przed tym atakiem?
Do każdego formularza dokłada się dodatkowe pole – z losową wartością, która to jest następnie sprawdzana przed wykonaniem danej czynności.
Serwer wie jaka to wartość – wszak ją generuje, ale atakujący nie ma pojęcia jaka ona będzie – za każdym razem jest ona inna i losowa.
Dzięki temu nie jest w stanie spreparować formularza, który będzie zawierał prawidłową wartość.
Teraz już wiesz, dlaczego w ukrytych polach znajdują się losowe litery i cyfry.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-01-28 08:16:37 | Ostatnio wołany: 2019-01-28 08:17:32


Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na Instagramie?
Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych?
Garść porad na temat poszukiwania ukrytych kamer.
Nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi.
Atakowanie dźwigów na budowie.
Wykrywanie dronów na podstawie analizy wifi.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 133
Wołań: 64
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2019-09-17 08:02:44
@KacperSzurek zawołał do wpisu


2019-09-14 08:57:59
@500ml dołączył do listy


2019-09-11 22:50:45
@Qrzysio dołączył do listy


2019-09-11 22:21:36
@sapieha dołączył do listy


2019-09-11 21:36:46
@te1000 dołączył do listy


2019-09-11 21:20:48
@lisek91 dołączył do listy


2019-09-11 11:12:10
@devopsiarz dołączył do listy


2019-09-11 07:35:57
@KacperSzurek zawołał do wpisu


2019-09-04 04:50:05
@KacperSzurek zawołał do wpisu


2019-09-02 10:30:05
@centaurusX dołączył do listy