Wszystko

Najlepsze

Archiwum

DOgi
  • 5
Ważna uwaga dla korzystających z #mpay. Ich strona do płatności cardmobile.pl udostępnia w wyniku błędu heartbleed m.in. pełne dane kart płatniczych!

Jeśli korzystaliście z ich platform koniecznie zablokujcie swoje karty!

#bezpieczenstwo #security #internet #banki #bank

Wołam jeszcze @Bankierpl, bo może warto przekazać tę informację szerszemu gronu odbiorców. Ja natomiast proszę o wykopanie, żeby jak najwięcej więcej osób dowiedziało się o błędzie:

http://www.wykop.pl/link/1947374/mastercard-mobile-wyciek-danych-klientow-i-numerow-kart-platniczych/
źródło: comment_6fcrqCPVCByLFkmGGIrpPS92Hj4blFQc.jpg
Marmite
  • 6
Czy tylko dla mnie to jest jakieś dziwne, że bug dostaje ładną nazwę i logo? (stronę informacyjną już pominę bo jest słuszna, aczkolwiek domena z ładną nazwą też pod to podchodzi). Jak to wyglądało, przed opublikowaniem siedzieli i myśleli nad nazwą, a jakiś grafik zaprojektował logo? Oczywiście skala zagrożenia jest nieporównywalnie większa niż jak przy jakimś zwykłym "bugu", ale i tak strasznie mi się to kojarzy z jakimś marketingiem. A może to
pneumokok
  • 0
@mqmq: tfu, sorki (multitasking nie wychodzi na dobre).

chodziło mi o 'prywatną' klasę adresową, w sensie - operatora, którego IP w danym zakresie należą do indywidualnych... ;-)

jak ktoś przeskanuje zakres i zobaczy pozamykany host a obok 'zapraszający' dziurawy router... :P
pneumokok
  • 0
@mqmq: fail2ban za ciężki na openwrt, którym routuję, a też nie chcę na raspberry zajeżdżać nośnika ciągłym sprawdzaniem logów. chyba na opewnrt zarzucę na kilka (otwartych) portów regułkę iptables, którą zaraz wyhaczę. ;-)
marrbacca
  • 0
@Analityk: ja pisałem w nawiązaniu do wczorajszego wywiadu w radiowej Trójce, gdzie jakiś wojskowy mówił właśnie o tworzeniu korpusu kryptograficznego i poszukiwaniu dobrych kryptografików
b.....s
  • 1
@m4kb0l: Nie, od roku siedzę w transferuj. Rozważałem jeszcze przelewy24 i cashbill ale główną rolę grała możliwość płatności na raty bez zabawy w pośredników. Brakuje mi u nich tylko kart typu Ukash i PSC bo to przy groszowych transakcjach nawet spory rynek w PL.
A.....t
  • 4
#zagadkihakerskie #security

Co prawda nie jest to news pierwszej świeżości, ale pewnie wielu jeszcze nie słyszało. Jakby ktoś miał ochotę pobawić się w hakowanie nie tylko stron www, ale także normalnych aplikacji na systemy operacyjne (a więc zabawy z eskalacją uprawnień, wyścigi, błędne uprawnienia, buffer overlow, format string, explotiowanie stosu itp.) to zachęcam do zajrzenia na http://exploit-exercises.com/ . Znajdziecie tam kilka maszyn wirtualnych najeżonych błędami wspomnianymi powyżej.

Miłej zabawy :)
w.....y
  • 1
Internet przy połączeniu laptopa z modemem przez kabel ethernetowy działa mi ok. Natomiast jak tylko próbuję połączyć się z Internetem przez router wifi, to wszystko mi muli, strony się ładują wolno, połowa obrazków nie wczytuje, albo nie ładują się wcale.

W logach routera mam coś takiego, co to może oznaczać?

01/07/2014 18:23:59 SYN Flood 192.168.2.4, 61870->> 83.25.24.134, 21586 (from WAN Outbound)

01/07/2014 18:23:58 SYN Flood (per Min) 192.168.2.4, 61852->> 82.4.69.50, 17323 (from
A.....t
  • 1
#zagadkihakerskie #security #programowanie

Proponuję kolejną zagadkę hakerską, znów na tapetę bierzemy #xss. Pod adresem http://hakerium.cba.pl/zad8/ znajduje się strona z banalną podatnością typu XSS. Wystarczy wpisać dowolny tekst HTML i zostanie on wyświetlony na stronie, np. http://hakerium.cba.pl/zad8/?imie=%3Cscript%3Ealert%281%29%3C/script%3E

Na czym polega więc zagadka, skoro już podałem rozwiązanie? Ano na tym, że pole

imie
jest ograniczone do 30 znaków. A zatem najprostszy

alert(1)
da radę wykonać, ale odrobinę bardziej skomplikowany

alert(document.domain)
już nie: http://hakerium.cba.pl/zad8/?imie=%3Cscript%3Ealert%28document.domain%29%3C/script%3E
A.....t
  • 1
@koziolek: @rationalistic: OK, a więc rozwiązanie, o które mi chodziło:

Skorzystamy z tagu iframe i umieścimy XSS-owaną domenę wewnątrz tego iframe'a. Ze względu na same origin policy nie ma możliwości odwoływać się do jakichkolwiek atrybutów strony wewnątrz iframe'a, jeśli ta jest z innej domeny (z kilkoma wyjątkami, m.in.

postMessage
, który tutaj akurat się nie przysłuży). Istnieje jednak pewien atrybut, na który poprzez iframe'a możemy mieć wpływ - jest nim
scyth
  • 1
@Rachel_: Pół procent zebranych do testów kluczy (nieco ponad 64000) zostało złamane, całość operacji trwała 1,5h w amazonowej chmurze. Winą głównie obarczają kiepskie generatory liczb pseudolosowych.
noisy
  • 9
Fajnie... wszyscy kopiemy sobie #dogecoin.y, tylko... na co by tutaj je wydać? :) W ramach #noisyrzucapomysl.y oto pomysł, w jaki sposób można wykorzystać anonimowość kryptowaluty do śmieszkowych (nielegalnych?) rzeczy, którą niektórzy ludzie na pewno będą chcieli kupować :)

A gdyby tak można było kupować plusiki na mikroblogu? :)


Teoretycznie niektórzy czują podświadomie wartość takich plusów (atencja zawsze jest w cenie ;) ), dość łatwo można też nowe plusy generować.
źródło: comment_xeT2JiKurRNSVxGtaHN66gPgGDWsarBt.gif
noisy
  • 0
@PanKara: niektórym czasem brakuje pomysłów na projekcik. Stworzenie własnej giełdy to jest generalnie bardzo fajny pomysł, problem jest jednak taki, że od początku ona powinna być bardzo bezpieczna.. bo w przypadku wpadki... wiadomo. Natomiast to byłoby fajne poletko do zabawy... które teoretycznie mogłoby dać bardzo duże możliwości :D
PanKara
  • 0
@noisy: W zasadzie wystarczyłoby w odpowiednich miejsach powstawiac inty, reszte stringów wyescapować i sql injection praktycznie jest z glowy, zastanawia mnie tylko, co w razie wpadki tak na prawde mogłoby wycieknąć co może narobić problemów... wykopowe API, klucze portfeli (nie wiem czy są jakoś super ważne bo nie interesuje sie tematem) hmm ale generalnie zrobić taką mała giełdę dla wykopu do takich jakiś zabaw, konkursów czy czegoś i można by było
ronkad
  • 1
Piszę większe lub mniejsze aplikacje/strony w #php i jestem ciekaw, czy ktoś z was przeprowadza/może polecić kogoś kto zrobi audyt bezpieczeństwa. Ile coś takiego może kosztować dla średniego portalu (ok 30 podstron)? Czy bezpiecznie jest wysyłać komuś cały kod czy postawić wersję demo strony i powiedzieć "włam się"?

#webdev #bezpieczenstwo #hacking #security
A.....t
  • 1
@ronkad:

Czy bezpiecznie jest wysyłać komuś cały kod czy postawić wersję demo strony i powiedzieć "włam się"?


To pierwsze (wysyłać cały kod) to tzw. testy whitebox, z kolei druga opcja to testy blackboxowe. W zależności od tego jak duże pokrycie chcesz mieć (i ile jesteś gotów zapłacić) możesz zdecydować się na tę pierwszą lub drugą opcję. Blackbox jest jednak zdecydowanie częstszy.

Dwie najbardziej znane marki w Polsce przeprowadzające testy to Niebezpiecznik
rss
  • 2
Mam pytanie dotyczące zabezpieczeń GMaila (i ogólnie konta Google). Znajoma zauważyła ostatnio, że jej konto posłużyło do wysyłania spamu (pełno spamu w skrzynce nadawczej). Przeglądając logi GMaila natrafiła na kilka połączeń SMTP z Ukrainy. Okej - ktoś mógł przejąć jej login i hasło, ale jakim cudem udało się ominąć uwierzytelnianie dwuskładnikowe?

#bezpieczenstwo #komputery #security
eXtreme
  • 1
@rss: oprócz "Połączone witryny, aplikacje i usługi" (czyli komunikacji przez API) masz niżej jeszcze takie coś jak "Hasła aplikacji" czyli takie dodatkowe hasła do użycia w aplikacjach (np klientach pocztowych) w których normalnie nie ma 2FA - zobacz czy jest tam cokolwiek zarejestrowane (jest przy tym data stworzenia i ostatniego użycia), dla pewności - odwołaj wszystkie
Marmite
  • 11
NO NIE WIERZĘ, już pomyślałem że no trudno, zaloguję się do tego nowego serwisu transakcyjnego mBanku, aczkolwiek strona napakowana śmieciowymi rzeczami nie jest mi w żaden sposób potrzebna do wykonywania prostych operacji takich jak przelewy, to tam mają możliwość porozmawiania online z konsultantem, więc niech stracę. I co się okazało? ŻE ICH #!$%@?ŁO, nie mogę się zalogować, bo uwaga, moje hasło zawiera znaki specjalne (!!! przy czym warto dodać, że nie są
A.....t
  • 1
@Marmite: Pamiętam jak czytałem kiedyś artykuł, w którym przedstawiciel jakiejś firmy wypowiadał się, że nie pozwalają ustawiać w haśle znaków specjalnych, bo "ludzie nie lubią mieć takich haseł na urządzeniach mobilnych".

Nie wziął pod uwagę, że ci, którzy nie lubią, sobie takich nie ustawią. :]

Powiązane tagi

Popularne tagi