#security - strona 395

Wszystko

Najnowsze

Archiwum

W mniej niz 4 godziny włamanie na nieskonfigurowane serwery w chmurze

Ogolnie przyjęło sie ze infrastruktura w chmurze nie wymaga bezpieczenstwa ponieważ jest udostępniana przez dostawców...

z dodany: 03.01.2014, 16:51:13

Jak znaleźć błąd w routerze nie posiadając samego urządzenia?

Urządzenia takie jak routery czy kamery IP dają ogromną satysfakcję, kiedy odkrywamy, jak działają. Jeszcze większą radość sprawia odkrywanie, jak możemy się do nich dostać w, no właśnie…, nieprzewidziany przez twórców oprogramowania sposób. :)

z dodany: 03.01.2014, 11:28:00

ZaufanaTrzeciaStrona

01.01.2014, 10:18:17

Macie na domowym ruterze otwarty port 32764? To może być tylna furtka producenta.

http://zaufanatrzeciastrona.pl/post/smieszna-tylna-furtka-w-ruterach-linksysa-i-prawdopodobnie-netgeara/

#security #hakujo

m.....q

konto usunięte 30.12.2013, 11:42:58

OWASP OWTF, the Offensive (Web) Testing Framework, is an OWASP+PTES-focused try to unite great tools and make pen testing more efficient.

https://www.owasp.org/index.php/OWASP_OWTF

#webdev #programowanie #security

m.....q - OWASP OWTF, the Offensive (Web) Testing Framework, is an OWASP+PTES-focused...

Root się rodzi, /proc truchleje – bezpiecznego Nowego Roku

Podsumowanie wydarzeń IT security z 2013 roku: ataki DDoS w Polsce, ujęcie „bombiarza”, Bitcoin, sprawa Snowdena, przygotowania do cyberwojny, zmiany w ustawie Prawo telekomunikacyjne, komercjalizacja rynku podatności, upadek Silk Road i Freedom Hosting, włamania do Adobe, Opery i innych…

z dodany: 29.12.2013, 11:49:21

Openssl zostało zhakowane

Po wejściu na stronę znajdziemy treść hakerów

z dodany: 29.12.2013, 03:16:30

qnebra

24.12.2013, 01:07:22

Jeszcze raz o takim jednym filmie z Leonidasem. #film #mikrorecenzja

Cały świat powinien prowadzić akcję o nazwie: "Raz, dwa, trzy, Biały Dom zajmiesz ty!"

#usa #amerika #rednecks #security #sucks #ball

Jak NIE przechowywać haseł [EN]

Tom z Computerphile wyjaśnia jak nie należy przechowywać swoich haseł.

z dodany: 23.12.2013, 08:09:10

goblin21

21.12.2013, 22:29:56

#pytaniedomikrobow

Co to za plaga usuwania wpisów na mikro? Chce człowiek odpowiedzieć a okazuje się że wpis usunięty, Dziś już z dziesięć razy tak trafiłem.

Ostatnio usunięto:

Security

Jak zniknąć z internetu - poradnik obrazkowy [EN]

Poradnik jak zniknąć z internetu. (A w zasadzie mocno utrudnić znalezienie informacji o sobie).

z dodany: 21.12.2013, 11:01:30

pyzdek

19.12.2013, 20:03:34

#security Złamali RSA przy pomocy mikrofonu nasłuchującego dźwięku CPU.

Nie ma już żadnych świętości!

link

A.....t

konto usunięte 19.12.2013, 20:10:05

@pyzdek: Ściślej mówiąc: wydobyli 4096-bitowy klucz RSA w aktualnej wersji GPG. "Złamali RSA" to trochę na wyrost ;)

A.....t

konto usunięte 19.12.2013, 18:16:31

#zagadkihakerskie #security #programowanie

Proponuję kolejną zagadkę hakerską, znów na tapetę bierzemy #xss. Pod adresem http://hakerium.cba.pl/zad8/ znajduje się strona z banalną podatnością typu XSS. Wystarczy wpisać dowolny tekst HTML i zostanie on wyświetlony na stronie, np. http://hakerium.cba.pl/zad8/?imie=%3Cscript%3Ealert%281%29%3C/script%3E

Na czym polega więc zagadka, skoro już podałem rozwiązanie? Ano na tym, że pole

koziolek

21.12.2013, 12:53:02

@AleFermat: @rationalistic:

A.....t

konto usunięte 21.12.2013, 21:26:37

@koziolek: @rationalistic: OK, a więc rozwiązanie, o które mi chodziło:

Skorzystamy z tagu iframe i umieścimy XSS-owaną domenę wewnątrz tego iframe'a. Ze względu na same origin policy nie ma możliwości odwoływać się do jakichkolwiek atrybutów strony wewnątrz iframe'a, jeśli ta jest z innej domeny (z kilkoma wyjątkami, m.in.

postMessage
, który tutaj akurat się nie przysłuży). Istnieje jednak pewien atrybut, na który poprzez iframe'a możemy mieć wpływ -

A.....t

konto usunięte 18.12.2013, 18:03:58

#security #bugbounty

Brian Krebs pisze o globalnym bug bounty w odniesieniu do pomysłu utworzenia IVPP (Internation Vulnerability Purchase Program).

Podzielam zdanie z końcówki posta, że wprowadzanie wymogu takiego programu przez rządy to niezbyt dobry pomysł. Niemniej, programy bug bounty okazują się sukcesem i upowszechnienie ich wdrażania wśród większej liczby producentów oprogramowania będzie miało dobre skutki dla ogólnego bezpieczeństwa systemów. Zwłaszcza, gdyby, zgodnie z myślą wyrażoną w dokumencie, oferować

scyth

18.12.2013, 08:48:57

http://www.reddit.com/r/technology/comments/1t4ubn/hoverzoom_for_chrome_is_infected_with_malware/

Ej no, HoverZoom jest zły? Przecież to jeden z najlepszych dodatów :(

#informatyka #security #bezpieczenstwo

A.....t

konto usunięte 18.12.2013, 17:45:24

@scyth: Widziałem kiedyś analizę dodatków do Chrome'a pod kątem bezpieczeństwo. Wyszło na to, że o ile Chrome sam w sobie jest bardzo bezpieczną przeglądarką, o tyle rozszerzenia często bywają źródłem plugastwa.

W zasadzie ostrożność dotycząca korzystania z rozszerzeń przeglądarki odnosi się do wszystkich przeglądarek. To bardzo łatwy do zaatakowania słaby punkt i wszystko opiera się na zaufaniu do twórcy rozszerzenia (które nie musi mieć jakichkolwiek podstaw).

Konsole nowej generacji na celowniku hackerów

Jeszcze brakowało, żeby antywirusy były na konsole :P

z dodany: 17.12.2013, 05:51:35

scyth

15.12.2013, 23:11:28

Ciekawy "błąd" w generowaniu kluczy RSA:

http://bit-player.org/2013/the-keys-to-the-keydom

#informatyka #matematyka #security

scyth

15.12.2013, 23:18:29

@Rachel_: Pół procent zebranych do testów kluczy (nieco ponad 64000) zostało złamane, całość operacji trwała 1,5h w amazonowej chmurze. Winą głównie obarczają kiepskie generatory liczb pseudolosowych.

V.....d

konto usunięte 15.12.2013, 23:38:01

taktycznie

noisy

13.12.2013, 02:24:45

Fajnie... wszyscy kopiemy sobie #dogecoin.y, tylko... na co by tutaj je wydać? :) W ramach #noisyrzucapomysl.y oto pomysł, w jaki sposób można wykorzystać anonimowość kryptowaluty do śmieszkowych (nielegalnych?) rzeczy, którą niektórzy ludzie na pewno będą chcieli kupować :)

A gdyby tak można było kupować plusiki na mikroblogu? :)

Teoretycznie niektórzy czują podświadomie wartość takich plusów (atencja zawsze jest w cenie ;) ), dość łatwo można też nowe

noisy

13.12.2013, 02:46:47

@PanKara: niektórym czasem brakuje pomysłów na projekcik. Stworzenie własnej giełdy to jest generalnie bardzo fajny pomysł, problem jest jednak taki, że od początku ona powinna być bardzo bezpieczna.. bo w przypadku wpadki... wiadomo. Natomiast to byłoby fajne poletko do zabawy... które teoretycznie mogłoby dać bardzo duże możliwości :D

PanKara

13.12.2013, 02:53:13

@noisy: W zasadzie wystarczyłoby w odpowiednich miejsach powstawiac inty, reszte stringów wyescapować i sql injection praktycznie jest z glowy, zastanawia mnie tylko, co w razie wpadki tak na prawde mogłoby wycieknąć co może narobić problemów... wykopowe API, klucze portfeli (nie wiem czy są jakoś super ważne bo nie interesuje sie tematem) hmm ale generalnie zrobić taką mała giełdę dla wykopu do takich jakiś zabaw, konkursów czy czegoś i można by

A.....t

konto usunięte 12.12.2013, 18:09:35

#security

Analiza nagłówków związanych z bezpieczeństwem w milionie najpopularniejszych stron

Dla tych, co nie wiedzą - stosowanie nagłówków, o których mowa w tekście może być skutecznym narzędziem w walce przed skutkami pewnych popularnych ataków (a w niektórych przypadkach także przed samymi atakami). Zwłaszcza

Content-Security-Policty

Czy wiesz jak bezpieczne jest Twoje hasło?

To narzędzie od Microsoft Research próbuje odgnąć kolejne litery Twojego hasła w momencie kiedy je wpisujesz - zobacz jak bezpieczne jest Twoje hasło

z dodany: 09.12.2013, 17:49:23

ronkad

09.12.2013, 13:56:25

Piszę większe lub mniejsze aplikacje/strony w #php i jestem ciekaw, czy ktoś z was przeprowadza/może polecić kogoś kto zrobi audyt bezpieczeństwa. Ile coś takiego może kosztować dla średniego portalu (ok 30 podstron)? Czy bezpiecznie jest wysyłać komuś cały kod czy postawić wersję demo strony i powiedzieć "włam się"?

#webdev #bezpieczenstwo #hacking #security

m.....q

konto usunięte 09.12.2013, 14:00:38

@ronkad: Zanim komukolwiek zaplacisz - poczytaj troche tutaj:

https://www.owasp.org/index.php/Main_Page

A.....t

konto usunięte 09.12.2013, 16:55:01

@ronkad:

Czy bezpiecznie jest wysyłać komuś cały kod czy postawić wersję demo strony i powiedzieć "włam się"?

To pierwsze (wysyłać cały kod) to tzw. testy whitebox, z kolei druga opcja to testy blackboxowe. W zależności od tego jak duże pokrycie chcesz mieć (i ile jesteś gotów zapłacić) możesz zdecydować się na tę pierwszą lub drugą opcję. Blackbox jest jednak zdecydowanie częstszy.

Dwie najbardziej znane marki w Polsce przeprowadzające testy to