Wpis z mikrobloga

Skopiuj link

23.02.2021, 08:10:12

Interesujesz się bezpieczeństwem? A słyszałeś o tych pojęciach? #od0dopentestera
• Public Suffix – strony na tej liście nie mogą ustawiać ciasteczek w przeglądarce
• Tabnabbing – podmiana zawartości zakładki, z której nastąpiło kliknięcie na inną stronę
• CSS Keylogger – przy pomocy stylów można odczytać treść danych z formularza
• Gotcha – jak wykorzystać mechanizmy Captchy w atakach phishingowych
• X-HTTP-Method-Override – przy pomocy nagłówka można zmienić metodę GET na POST
• Subdomain Takeover – dlaczego warto usuwać stare rekordy CNAME

Jeżeli chcesz być wołany do podobnych wpisów - zaplusuj pierwszy komentarz.

#gruparatowaniapoziomu #ciekawostki #informatyka #nauka #swiat #technologia #zainteresowania #bezpieczenstwo #komputery #programowanie #programista15k

KacperSzurek - Interesujesz się bezpieczeństwem? A słyszałeś o tych pojęciach? #od0do...

olkoo

23.02.2021, 14:52:38

z tym keyloggerem przez CSS to nie do konca - owszem można potwierdzić że jakaś zgadywana wartość jest w polu lub jej nie ma, ale żeby przeprowadzić skuteczne odczytanie całej wartości musielibysmy dynamicznie reagować nowowstrzykniętymi stylami na już do tej pory odgadnięte znaki... albo zbrutoforce'owac wszystkie możliwe wartości do jakiegoś limitu znaków, co skończyłoby się szybko wyczerpaniem pamięci, potężną zamułą strony i jej crashem.

pilkarskiefakty_com

23.02.2021, 15:06:13

@KacperSzurek: Dzięki za fajny poradnik. Mam małą sugestie co do ataków w oparciu o cookie. Brakowało mi użycia flag HttpOnly, Secure, oraz SameSite policy. Gdybyś pokazał jak używać tych flag, zwłaszcza w kontekście "legitnych" ciastek, na które nie chcemy żeby ktoś z zewnątrz miał wpływ, myślę że przyniosłoby to dodatkową wartość na kanale.

f1aSh

23.02.2021, 16:25:12

@KacperSzurek: nie wiem jakiej przeglądarki dokładnie używasz ale u mnie setowanie cookie nie działa z subdomeny na domenie TLD. Treść nie jest akceptowana jeżeli ustawię github.io Muszę dać określoną subdomenę. Może być też tak, że mam podkręcone opcje w Chrome, które to blokują.

f1aSh

23.02.2021, 16:26:35

@f1aSh: No tak, teraz dooglądałem o public suffix :)

marcel1337

23.02.2021, 16:34:11

@KacperSzurek: wow, chcialem sobie poczytac, wchodze, a tam filmik z Twoja glowa gdzie mi czytasz xD podziekuje, nie jestem uposledzony
Kasa z youtuba oglupia spoleczenstwo

Berbelucha

23.02.2021, 18:35:41

@KacperSzurek: ten keylogger CSS jest mocno naciągany :) żeby to w ogóle mogło działać to musiałbyś mieć możliwość wstrzyknięcia CSS na stronę odwiedzaną przez ofiarę a do tego potrzebujesz albo programu (czyli zwyczajny keylogger by wystarczył) albo wtyczki przeglądarkowej z odpowiednimi pozwoleniami ("sklep" nie wpuści takiej). Do tego dochodzi kwestia inputa z tokenem który się powinien zmieniać przy każdym przeładowaniu strony więc i potencjalny brute-force średnio zadziała.

Vittel

23.02.2021, 19:01:30

@KacperSzurek: Kacper sledze cie od twoich pierwszych wrzut na wykopie, wielkie dzieki za tyle materialow :) naprawda dobra robota. Myslalam, ze przestaniesz wrzucac bo serio pierwsze miesiace miales malo widzow, ale teraz sie naprawde dobrze rozkreca. Rob tak dalej cumplu

dunari

23.02.2021, 19:39:54

@KacperSzurek: Posłuchałem tylko CSS Keyloger i chyba nic głupszego o CSSach nie słyszałem. By odczytać dane z formularza jak w filmie to trzeba wstrzyknąć kod, który będzie się odpalał za każdym razem jak ktoś uruchomi stronę. Więc równie dobrze można wstrzyknąć JSa, który zrobi znacznie więcej złego. A token, o ile ktoś jest taki głupi, by dawać go w inpucie, to można sobie odczytać przez devtoolsy, tylko po co, jeśli

pesel67

23.02.2021, 19:57:33

Ankieta w 15:01 bez sensu. Wszystkie odpowiedzi nie mogą być poprawne, bo pierwsza i drugą zaczynają sie od TYLKO. To wbrew logice.

Jacek12

24.02.2021, 07:14:40

Komentarz usunięty przez autora

Berbelucha

24.02.2021, 09:05:41 via Wykop Mobilny (Android)

@Jacek12: jakby się człowiek miał przejmować takimi atakami to by musiał komputer w sejfie zamykać bo przecież ktoś ci może do domu wejść. Przykłady powinny mieć sens a nie po prostu być.

Jajamajora69

24.02.2021, 12:35:04

Komentarz usunięty przez moderatora

Aktywne Wpisy

Lolenson1888

Lolenson1888 +132

4 godz. i 16 min temu

Nic dodać nic ująć. Nadeszły tak dziwaczne czasy, że pójście ze 2 razy w miesiącu do divy: z solidnym serwisem, dobrymi opiniami na Garsonierze i opcją GFE za około 400-500 złotych - nawet w takiej Warszawie, wychodzi dla facetów taniej i bardziej satysfakcjonująco niż zabawa w randkowanie i związki xD
Mało tego, wbrew krążącym stereotypom ryzyko przeniesienia choroby wenerycznej, jakichś bakterii, wirusów, pasożytów czy grzybów jest paradoksalnie niższe niż w przypadku tinderówek