Dodany: 2018-12-13 05:35:03 | Ostatnio wołany: 2018-12-13 05:36:37


Jak wyglądają realne błędy w aplikacjach?
W dzisiejszym odcinku #od0dopentestera pokażę Ci 4 błędy w oprogramowaniu Kallithea, które umożliwiają dostęp do cudzych danych.

Kallithea to serwer #git napisany w #python

Uprawnienia w całej aplikacji są weryfikowane przy pomocy dekoratorów.

Za każdym razem gdy chcemy sprawdzić czy użytkownik posiada dostęp do danej funkcjonalności - zamiast wywoływać funkcję HasRepoPermission - możemy użyć dekoratorów.

@HasRepoPermissionAllDecorator('repository.admin')
def delete(self, repo_name):

Takie rozwiązanie poprawia czytelność kodu, ale jeżeli nie umieścimy żadnego dekoratora przed funkcją - aplikacja będzie myślała, że dany użytkownik ma pełne uprawnienia do danej funkcjonalności.

W tym wypadku programiści zapomnieli o dekoratorze w miejscu, które było odpowiedzialne za ustawianie odpowiednich uprawnień dostępu do repozytorium.

Wystarczyło więc znać nazwę cudzego repozytorium i ustawić siebie jako administratora.

Drugi błąd znajdował się w interfejsie API.

Aplikacja pozwalała na tworzenie repozytoriów na podstawie innych repozytoriów.

Standardowe użycie to podanie adresu http interesującego nas repozytorium - na przykład na Githubie.

Ale git pozwala również na klonowanie lokalnych repozytoriów - przy użyciu normalnej ścieżki do katalogu.

Jeżeli znaliśmy nazwę używaną przez innego użytkownika - mogliśmy przewidzieć w jakim katalogu Kallithea trzyma wszystkie potrzebne dane.

Następnie wystarczyło podać tą ścieżkę podczas tworzenia nowego repozytorium i kod do którego nie posiadaliśmy dostępu, nagle okazuje się być dostępny.

Więcej informacji na temat tych błędów na moim blogu.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-12-11 13:41:46 | Ostatnio wołany: 2018-12-11 13:42:26


Co to jest atak na pomoc techniczną i jak nie dać się nabrać.
Czy kradzież danych z mieszkania przy pomocy żarówek jest możliwa?
Jak wykorzystać Google Translate jako serwer proxy?
Atak gorszy niż spam - email flooding.
Znajdowanie drukarek podpiętych do Internetu przy pomocy serwisu Shodan.

#podcast Szurkogadanie - zestawienie ciekawych informacji o #bezpieczenstwo
Dostępny również na Spotify oraz Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat #security? Zadaj je na grupie od 0 do pentestera na Facebooku.

#od0dopentestera #programowanie #swiat #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-12-07 07:28:43 | Ostatnio wołany: 2018-12-07 07:29:51


postMessage pozwala na wymienianie danych pomiędzy różnymi domenami przy użyciu #javascript
Dzisiaj w #od0dopentestera o tym, jak sprawdzić źródło wiadomości oraz dlaczego nie używać wyrażeń regularnych do tego celu.

window.addEventListener("message", function(message) {
alert(message.data);
}

Jeżeli na stronie umieścimy taki kawałek kodu, dowolna inna witryna będzie mogła przesłać do naszej domeny wiadomość i wyświetlić ją użytkownikowi:

document.getElementById("f").contentWindow.postMessage("Wiadomość", "*");

Jest to możliwe ponieważ nie sprawdzamy skąd pochodzi taka wiadomość.
Powinniśmy pozwalać na wykonanie akcji tylko zaufanym stroną.
W tym celu przeglądarka do każdej wiadomości dodaje pole origin, w którym zawarta jest nazwa domeny próbującej przesłać wiadomość:

if (message.origin == "http://naszadomena.local")

Ale ciągi znaków można sprawdzać na różne sposoby, na przykład przy użyciu wyrażeń regularnych:

if (/^http\/\/www.domena.local$/.test(message.origin))

Łatwo wtedy zapomnieć, że kropka - oznacza dowolny jeden znak.
Aby sprawdzać czy jest tam rzeczywiście kropka - musielibyśmy poprzedzić ją \.
W tym przypadku dane można również wysłać z wwwXdomena.local czy też wwwYdomena.local.

if (message.origin.indexOf("www.domena2.local") > 0)

Funkcja indexOf zwraca offset pod którym odnalazła poszukiwany ciąg.
Sprawdza zatem czy podany tekst znajduje się gdziekolwiek.
Aby obejść ten filtr możemy stworzyć subdomenę: www.domena2.local.innadomena.local

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

Ps. Zapraszam do obserwowania tagu autorskiego #od0dopentestera

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-12-03 14:35:47 | Ostatnio wołany: 2018-12-03 14:36:43


Jak przy pomocy zakupów w supermarketach sprawdzić czy jesteś w ciąży?
Co to jest atak homograficzny na domeny internetowe?
Jak stworzyć odcisk palca pasujący do wielu osób?
Nowa metoda rozpowszechniania złośliwego oprogramowania przy pomocy obrazów iso.
Dlaczego atakujący próbują zdobyć nasze dane do Spotify?

#podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

Ps. Zapraszam do obserwowania tagu autorskiego #od0dopentestera

#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-30 08:39:18 | Ostatnio wołany: 2018-11-30 08:46:23


Dzisiaj w #od0dopentestera o ataku: Cross-Site Websocket Hijacking na przykładzie #java
Dawniej, aby na stronie treści pojawiały się w czasie rzeczywistym należało z poziomu #javascript co kilka sekund wysyłać żądanie do serwera.
Teraz do tego celu wykorzystuje się websockety.

@ServerEndpoint(value="/endpoint")
public class socketer {
@OnMessage
public void onMessage(String message, Session session) {
session.getBasicRemote().sendText("tajny socket:"+message);
}
}

Jeżeli coś pojawi się na websockecie - odsyłam tą treść do użytkownika dodając do niej tekst.
Równocześnie mamy stronę, która próbuje się połączyć z endpointem.

var w = new WebSocket('ws://dobradomena.local/endpoint');
w.onmmessage = function(e) {
alert(e.data);
};
w.onopen = function(e) {
w.send('Hej!');
};

Jak działa taka komunikacja?

Nasza strona wysyła żądanie HTTP, w którym informuje, że chce przejść na websockety.
W odpowiedzi, serwer zwraca kod 101 i od tego momentu komunikacja odbywa się na podstawie ramek.

Gdzie jest błąd?

Aby uprościć przykład - nie jest w nim widoczna żadna metoda autoryzacji.
Załóżmy więc, że aby połączyć się z endpointem użytkownik musi posiadać prawidłowe ciasteczko.

Skopiujmy teraz nasz kod i umieśćmy go na innej domenie.
Tam również będzie działał prawidłowo. Dlaczego?

W kodzie #js odnosimy się do dobrejdomeny.
Podczas inicjalizacji połączenia z websocketem najpierw wysyłane jest żądanie HTTP.
Przeglądarka widząc więc dobradomena.local dołączyła do niej pasujące ciasteczko.
Serwer sprawdził ciasteczko i zwrócił odpowiedni socket.
Tym samym zła domena może odczytywać oraz zapisywać do niego dowolne dane.

Atakujący nie musiał posiadać hasła użytkownika.
Wystarczy, że atakowana osoba była wcześniej zalogowana.

Jak zatem uchronić się przed tym atakiem?

Przeglądarka do żądań dodaje również nagłówek origin, w którym zawiera nazwę domeny, od której pochodzi dane zapytanie.
Możemy zatem sprawdzać jego treść po stronie serwera - i weryfikować czy żądanie pochodzi z naszej witryny.
Wtedy - nawet jeżeli ciasteczko jest prawidłowe - a żądanie pochodzi z obcej domeny - będziemy je w stanie rozpoznać.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

Ps. Zapraszam do obserwowania tagu autorskiego #od0dopentestera

#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-26 08:19:05 | Ostatnio wołany: 2018-11-26 08:19:48


#od0dopentestera Garść #ciekawostki ze świata #bezpieczenstwo.
W tym odcinku:
- jak przestępcy sprzedają noclegi w drogich hotelach wykorzystując punkty lojalnościowe,
- co to jest „swatting” czyli nasyłanie zbrojnych oddziałów policji na swoich znajomych,
- wyłudzanie pieniędzy od przedsiębiorców przy użyciu firm łudząco podobnych do instytucji państwowych,
- dlaczego ta wiadomość jest w folderze „wysłane” - błędne filtrowanie nagłówka „from” w Gmailu,
- jak wykorzystując odpowiednią grafikę przekonać użytkownika iPhone do kupna drogiego abonamentu.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku

#podcast #programowanie #informatyka #it #nauka #technologia #security #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-22 06:00:14 | Ostatnio wołany: 2018-11-22 06:01:33


W tym tygodniu w #od0dopentestera trochę nietypowo – dziele się bowiem
moimi notatkami z konferencji Security PWNing 2018.

W ramach tego filmu opisuje 9 prezentacji, w których brałem udział.

Jest to więc skrót tego co można było na niej zobaczyć.

Większość prelekcji była nagrywana, więc jeżeli coś Cię zaciekawi –
nic straconego.

W tym wideo opowiadam o:

- Hackowanie zamków elektronicznych w pokojach na wynajęcie
- Metody ataku na sieci bezprzewodowe w firmach
- Bezpieczeństwo tokenów JWT
- Jak wygląda poszukiwanie błędów w bankach
- Metody oszustw internetowych stosowanych w naszym kraju
- Jak uruchomić plik pod #linux bez zapisywania go na dysk twardy

Jeżeli chcesz być wołany dodaj się do
Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do
pentestera na Facebooku

#programowanie #informatyka #it #nauka #technologia #security
#ciekawostki #warszawa

Przejdź do wpisu

Dodany: 2018-11-19 08:49:40 | Ostatnio wołany: 2018-11-19 08:51:15


Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- podszywanie się pod twórcę Tesli na Twitterze przy użyciu zweryfikowanych kont,
- cookie stuffing czyli jak oszukiwać na afiliacjach w Internecie,
- ile kosztuje oprogramowanie typu ransomware na czarnym rynku,
- co to jest atak supply chain.

Podcast dostępny również na Google i Apple Podcasts

Jeżeli chcesz być wołany dodaj się do Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku

#od0dopentestera #podcast #programowanie #informatyka #it #nauka #technologia #security

Przejdź do wpisu

Dodany: 2018-11-15 05:10:16 | Ostatnio wołany: 2018-11-15 05:10:42


Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.

Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
Nie zna bowiem prawidłowej wartości oczekiwanej przez serwer - tak działa mechanizm CSRF (Cross-site request forgery).

HTML pozwala na osadzanie we wnętrzu naszej strony zewnętrznych witryn.
Można tego dokonać przy pomocy tagu IFRAME.
W parametrze src podajemy adres, którego treść ma się u nas pojawić.
Możemy dowolnie modyfikować wielkość osadzonej ramki a także zmieniać jej położenie względem naszej strony

Używając narzędzia Burp Clickbandit możemy spreparować ramkę wyświetlaną na naszej stronie w taki sposób, aby nie była widoczna dla użytkownika.
Jednocześnie - w miejscu przycisku "Usuń konto" pozycjonujemy inną grafikę - na przykład z informacją o wygraniu w loterii.
Teraz wystarczy już tylko przekonać zalogowanego użytkownika do odwiedzenia naszej strony i kliknięcia w interesującą grafikę.

Atakowany, myśli że klika w nią aby odebrać jakąś nagrodę - a tak naprawdę wysyła formularz usunięcia konta na innym serwisie internetowym.
Pod tą grafiką bowiem znajdował się przycisk, wyświetlany poprzez mechanizm iframe.
Użytkownik klikając w grafikę tak naprawdę klikał zatem w ten guzik wysyłając tym samym odpowiedni token do serwera.

Jak obronić się przed tym atakiem?
Jeżeli nie chcesz aby Twoja strona była osadzana przy użyciu mechanizmu ramek - dodaj do niej specjalny nagłówek X-Frame-Options: DENY.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #java #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-12 09:29:21 | Ostatnio wołany: 2018-11-12 09:29:56


Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- atak na osoby pobierające Chrome przy użyciu reklam w wyszukiwarce Bing,
- jak wyłączyć wszystkie iPhony w danym pomieszczeniu,
- co może zmienić najnowsza wersja projektu reCaptcha,
- urząd skarbowy zastanawia się nad wprowadzeniem technologii rozpoznawania mowy na infolinii podatkowej.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#od0dopentestera #podcast #programowanie #informatyka #it #nauka #technologia #security

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 195
Wołań: 85
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2020-07-30 12:51:51
@hidd3n13 dołączył do listy


2020-05-27 00:11:52
@KrzysiekGO dołączył(a) do listy


2020-05-15 19:48:00
@ialath dołączył do listy


2020-05-12 09:26:07
@cybermnich dołączył do listy


2020-05-12 08:29:43
@123admin dołączył do listy


2020-05-11 23:09:32
@Nartenlener dołączył do listy


2020-05-11 23:08:43
@Ramen dołączył do listy


2020-04-28 12:28:17
@eintopf dołączył do listy


2020-04-27 23:02:03
@geralt101 dołączył do listy


2020-04-27 21:15:30
@fakeman dołączył do listy