04 oktober
Tja, det nye legetøj i mit liv
Agestar NCB3AHT
Fortsæt læsning "
18 august
Stefan Esser har en virkelig god artikel om, hvordan MySQL og SQL forkortes kolonner, der kan føre til sikkerhed huller. Han bruger et godt eksempel på en kolonne, der har en bredde på 16 tegn, men han har gjort noget med 17 tegn. Naturligvis håndhæve længde er en måde at håndhæve, at selv om det næsten aldrig sker. Men en anden ting kom til mig. Harkening tilbage til mine dage efter behandling Regn Forrest hvalp's papirer, jeg indså, at de fleste gange koden gør en lige regex eller string matching. F.eks: if ($ brugernavn eq "admin") (mislykkes ();), men hvis $ brugernavn var "admin" det klart vil mislykkes strengen passer da det ikke er en eksakt match, men det vil have samme nettovirkning i databasen for at overføre kontrollen og giver dig mulighed for at få adgang til admin data. Ligeledes polstring foran brugernavnet vil have samme virkning i nogle tilfælde - afhængigt af hvordan den SQL forespørgsel er bygget (hvis det er indkapslet). Anyway, god artikel, skal du gå læse den! Tags: Sikkerhed, Sikkerheds nyheder
Relaterede stillinger
16 august
Om god myndighed, fik jeg at vide at tage en god hårde se på de nyligt foreslåede HTML 5.0 spec, der flyder rundt i WHATWG. Først mine øjne gik til den nye video-og audio-tags, som har til formål at hjælpe brugere beskæftiger sig med tilsyneladende forvirrende karakter af det faktum, at vi har img-tags i stedet for bare at bruge indlejre for alt. Personligt tror jeg, at blot en frygtelig tanke, at der sker for at bryde en masse sortlister derude og potentielt åbne mere sikkerhed huller afhængigt af, om de instrukser video objekter er tilladt, men du har det. Hvorom alting er, så da mine øjne kiggede på tværs af de nye iframe spec og lo og beskue Jeg så et mirakel. Nogen over på WHATWG var virkelig opmærksomhed. Først og fremmest er der en ny parameter kaldes sandkasse, der er i mange henseender ligner IE's proprietære sikkerhed = "begrænset" parameter, men med mere kornede kontrol. Det er ikke nødvendigvis en god ting, hvis du ikke kan lide at blive udformet, men det giver websteder mere kontrol over, hvad der sker med deres websted, når de rammer et websted, der viser sig at være dårlig. Men endnu vigtigere er der en anden ny parameter kaldet sømløse som vil muliggøre en side af samme oprindelse domæne til iframe en side uden at have alle de usability spørgsmål (dobbelt rullepaneler, _self mål og så videre) af den oprindelige iframe model. Det er store nyheder for websteder, der ønsker at ramme og styre en side på deres eget domæne (a la indhold restriktioner) uden alle de skøre usability problemer med iframes. Der er nogle andre sikringsmæssige problemer med at give indhold til at være tilgængelige på dit websted - der er behov for nogle tag, så præstationen medmindre det er indlejret i en iframe til at afholde nogle fra at kalde ondsindet underordnet ramme direkte. Men dette er et stort skridt fremad i den rigtige retning. Tags: Sikkerhed, Sikkerheds nyheder
Relaterede stillinger
03 august
Jeg har været defineret til at skrive noget om dette i et stykke tid nu, og en række personer har kendt og anvendt denne i et stykke tid, men en af de mest nyttige værktøjer derude for at identificere underdomæner af et givet mål er MSN IP-søgning . Jeg tror meget hårde er langt bedre til at finde underdomæner, hvis de ikke på det samme IP, men MSN IP-søgning er langt bedre til at finde underdomæner på det samme IP.
Hvorfor er det vigtigt? Tja, det viser sig, at mange virksomheder bruger delt hosting, og som vi alle ved, medmindre de har taget ekstreme skridt til at beskytte deres kunder, hosting miljøer er dybest set siger, at ethvert kompromis for enhver kunde betyder fuldstændig kompromis med nogen af de andre klienter på samme maskine. Stor. Så jeg oprettet en lille bookmarket at grænseflader med MSN IP-søgning. Hvis du bruger Firefox, bare trække den til dine bogmærker og bare gå til en webside valg (andre end ha.ckers.org 
) Og klik på bookmarklet. Det sender det domæne til ha.ckers.org, der udfører en IP-opslag og sender browseren tilbage til MSN med IP for dette domæne. Så simpelt. Du vil forbavses over, hvor mange virksomheder bruger delt hosting.
Relaterede stillinger
30 juli
Okay, jeg kan satse jeg skal få en masse FLACK for dette indlæg, så før jeg begynder, det er kun min mening og er slet ikke baseret på faktiske tal. Den eneste grund jeg sætte en graf her er fordi jeg mener, at det er lettere at visuelt forklare. Nr. numre. Har du det? Bare udtalelse. Ikke får alle glade her. Okay. Roen endnu? Okay, nu ikke begynde at læse dette indlæg, medmindre du ønsker at læse det hele. Klar? Nu kan du fortsætte med at læse post.
Det sidste indlæg jeg lavede var at beskrive blot en lille lille smule af nogle af mine personlige Firefox problemer omkring add-ons, at jeg bruger til personligt sikker afstand fra angreb, at jeg enten har bidraget til at skabe, eller har set i naturen. Nu er sandheden skal frem, jeg bruger Firefox hver dag, på grund af add-ons, at det støtter og den lethed, hvormed testning webapps. Og det er med den, at jeg modet fra min følelse af hjælpeløshed omkring opdateringer.
Så her er hvad jeg føler, der sker over tid for sikkerhed mennesker (ikke for regelmæssig hver dag afslappet web-surfer, men ja, hardcore sikkerhed folk, som de fleste af de mennesker, der læser denne side). Over tid er der opgraderinger. Disse opgraderinger fastsætte en række huller, og indføre et par andre. De skal også bryde add-ons. Disse tilføjelsesprogrammer vil ordne de knuste browser sikkerhed model. Derfor, for folk som mig og vulns jeg faktisk am påvirket af, min sikkerhed er reduceret med hver ny større revision af den browser, hvilket gør det se sådan ud:
Sikker på, at den samlede sikkerhed er Tendensvisning op med tiden, men der er store huller i min opfattelse af sikkerhed, mens udviklere fange op til de nye codebase. Mens antallet og tidslinjer kan være væk, begrebet (for mig i det mindste) er rigtigt. Jeg er ikke personligt ser nogen umiddelbar stor gavn af browseren ændringer - kun negative. Med tiden er sikker på, at tingene bliver bedre, men jeg tilfældigvis er i en særdeles dårlig sikkerhed nedturen på det tidspunkt lige på højre side af grafen. De udnytter kode, at jeg kan have været i fare for, for størstedelens vedkommende er kastrerede af add-ons, indtil de ophører med at arbejde. Så hvor er det? Er jeg tillidsfuld browseren til at udvikle sig hurtigere end de add-ons eller omvendt?
Firefox's model har altid været, "Du er velkommen til at bidrage, er det open source!" Mens dette er stort i teorien, a) Min programmerings-færdigheder, få mig med og ikke meget mere - du ikke vil have min kode på din browser bedrift internettet sammen, har tillid til mig b) Jeg har ikke adgang til alle de sikkerhedsmæssige fejl - de fleste af de værste, der er skjult syn på bugzilla for kun en meget lille vælge få folk til at se og c), der er meget Enkelte personer, som har evnen til at begå kode for slet ikke at fastsætte andre folks add-ons.
Det er fristende at blive overvældet af den hjælpeløshed af det hele, men så skal jeg lige huske, at ingen af disse plugins fastsætte ting som CSRF som hjælper mig ignorere dette spørgsmål. Så så jeg bare gå hjem og græde mig til at sove. Okay, nu tirade væk, men hvis du mis-citere mig, eller har undladt at læse alt før kommentere, så hjælpe mig, jeg vil gøre nar ad dig senselessly.
Tags: Sikkerhed, Sikkerheds nyhederRelaterede stillinger
24 juli
Hvad skal jeg have til fælles med Magnum PI? Hvad betyder ID har til fælles med Hund den Bounty Hunter? Godt i staten Texas vi alle har brug for PI licenser. Det er rigtigt, hvis du ønsker at hjælpe nogen erstatning fra en hændelse, efterforske it-tyveri, eller deltage i nogen form for undersøgelse i forbindelse med computere som helst, du har brug for at blive private investigator i Texas. Vi kan kridt dette op til advokater lovgive noget, de helt undlader at forstå.
Først vil jeg stærkt i tvivl om nogen af mine kunder ville få mere værdi ud af leje Hund den Bounty Hunter til at jage gennem logs, eller gendanne slettede data. Dernæst er lovgiverne at gøre med generelle udtalelser som "den computer industrien har behov for at rydde op". Jeg vil gerne gøre min egen bred fejer erklæring, "lovgivere, der skriver dårligt concieved love behovet for at rydde op." Jeg forstår ræsonnementet, som fattige, som den kunne være. Korrekt håndtering af bevismateriale, er altid en vigtig ting for domme, men dette er langt mere bredt end det - selv at dykke ned i de indre funktioner af private virksomheder, der arbejder for at hjælpe andre private virksomheder driver forretning.
Jeg tror, jeg bedre start voksbehandling mit bryst og bære hunden tags, så jeg kan begynde at forstå, hvordan disse darned computer thingies arbejde.
Tags: Sikkerhed, Sikkerheds nyhederRelaterede stillinger
21 juli
Yup, det handler om, at tid igen. Jeremiah har lagt op endnu en webappsec professionel undersøgelse. Hvis du ikke har taget et kig på hans tidligere undersøgelser bør du - nogle af dem er faktisk ret interessant. Uanset hvad, er det værd at se på resultaterne, selvom du ikke deltager i undersøgelsen sig selv. Ligeledes vil jeg bemærke, at tiden er hurtigt nærmer sig, hvor vi alle være faldende på Blackhat og DefCon. Jeg vil blive set på Blackhat om Xploiting Google Gadgets og en abrieviated version af talen på DefCon så godt. Jeg er også laver et andet indlæg på DefCon med Rich Mogul, David Mortman, Chris Hoff, Robert Graham, og David Maynor kaldet Alle Dit Sploits (og servere) Er tilhører os. Så hvis du har planer om at blive der, drop af og introducere dig selv! Jeg håber at se jer alle der. [Ad # annonce-1] Tags: Sikkerhed, Sikkerheds nyheder
Relaterede stillinger
17 juli
Brian Krebs havde en interessant rapport over ved Washington Post, at citeret en rapport fra Indiana.edu om, hvordan redirects er i helt en overflod. Nå, men enhver, der har arbejdet på dette område til enhver tid skal vide, at udmærket, men det er stadig interessant at få nogle validering fra forskere på Indiana.edu der specialiserer sig i anti-phishing-forskning. Her er den rub fra Brian's artikel:
Faktisk er nogle af internettets største websteder - især Google - bruges til at være vært for et stort antal åbne omdirigeringer.
"Brugt til"? Jeg ved, at jeg har lagt den på tyk i løbet af de sidste par år, men jeg er forbløffet over mennesker stadig tror Google har noget magisk fast problemer, at det aldrig kom rundt for at fastsætte. Redirects er ikke faste, XSS er ikke fastsat. Disse spørgsmål, som stadig eksisterer i hele Google og Googles web ejendomme. Men i tilfælde af nogen ikke tror mig, her er et eksempel jeg piskede op i omkring 10 sekunder, der omdirigerer til et tilfældigt eBay auktionen fra Google's image server som f.eks.
Det er godt at se folk er endeligt forståelse dette i hovedsagen stream medier, men lad os ikke give kredit til firmaer, som er klart værdige til det (både historisk og aktuelt). Jeg vil være den første til at stå op og bifald, når vi ser disse spørgsmål lukket én gang for alle på Google, selvom det virkelig er blot en virksomhed ud af det enorme ufortalt væld af sites derude, der er sårbare. Men hvis det virkelig er at hjælpe phishers - og det er - den eneste måde, hvorpå vi kan komme foran det er ved at tage ansvar for vores egne websteder. Det er især tilfældet, hvis vi agter at blive den blive alle omega for troværdig reklame giganter, at Google har til formål at være.
Tags: Sikkerhed, Sikkerheds nyhederRelaterede stillinger
03 juli
Du har måske allerede set nyheden om den nye XSSFilter i IE8.0 men jeg vil gerne gentage det her så godt, fordi det er en temmelig stor ny udgivelse. Det gør et stort stykke arbejde for at forhindre de fleste af de afspejles XSS angreb derude for standard brugere af browseren, når det rammer produktionen. Meget cool stuff. Af den måde, det andet link ovenfor har også en smagsprøve som til en anden sikkerhedsfunktion i IE8.0 hvis man ser nøje.
Tænk på XSSFilter gerne noscript i Firefox, men uden at slukke JS del af funktionaliteten, og i modsætning noscript, det er standard i browseren, så det vil påvirke mange flere mennesker. David Ross (den fyr, der kom op med begrebet Cross Site Scripting i første omgang, BTW) skrev dette værktøj til at begynde at tackle et problem, han har været tanker om for 8 eller flere år siden, at papiret først blev forfattet. Det er ikke perfekt, Misforstå mig ikke, men det er et stort spring fremad i den rigtige retning, og jeg var enormt beæret over at være en del af det, da jeg mener, at det vil få en stor positiv indvirkning på forbrugernes sikkerhed mens os sikkerhed kno draggers regne ud en måde at få hjemmesider til at begynde at sikre sig selv.
Næste gang på min ønskeseddel? Content begrænsninger!
Tags: Sikkerhed, Sikkerheds nyhederRelaterede stillinger
01 juli
Jeg har sendt dette link i dag fra businesswire om, hvordan Google og Yahoo er nu at være bevæbnet med de nødvendige oplysninger til at se på og partiallicens oplysninger ud af SWF-filer. Ho-dreng, her vi går. Linket blev sendt til mig med de "dårlige juju" advarsel, og jeg er ret sikker på, at jeg er enig.
Problemet er, ligesom noget, hvis søgemaskinerne begynder at trække ned rige programmer, der faktisk interagerer med web ansøgning, der er uhørt spørgsmål, der måtte opstå. F.eks Flash-applikationer har ganske lidt af rige funktioner i dem, og nogle af at kunne være farlige, hvis de interagerer med back end-applikationer. Også, hvis ordet "test" vises i en Flash film, betyder det det skal, bliver indekseret? Eller er det en ramme, der ikke er synlige, eller fra den side af siden, eller hvad? Hvad nu, hvis det tager ti minutter at finde, at særlig linje med tekst eller dusinvis af sub-menuer? Er folk virkelig vil sidde for det?
Har folk virkelig ønsker at indlæse en Flash film, når de forespørgslen for ting? Jeg ved, at jeg sikker på, at ikke! Jeg er allerede irriteret, når jeg får i forbindelse med PDF-filer eller. Docx-filer. Jeg tror, at det bare tager søgning til et nyt niveau, hvor folk faktisk ikke ønsker at gå. I stedet for at gennemgå dybere og raffinering af deres søgning, søgemaskiner går til nye medier til at afværge de mennesker (som mig), der har fremført, at Flash isn'ta godt medium for tilgængelighed, anvendelighed og SEO. SEO vil være slukket tabellen hurtigt nok, forlader tilgængelighed og usability.
Men seriøst, hvad er næste? Er søgemaskinerne vil dekompilere Java applets søger tekst? Som en side note, dette bør i det mindste på kort sigt føre til en ny runde af Flash hacking, når det går live. Jeg vil give en T-shirt til den første person, som skriver en Google dork til intern Flash tekst, der fører til udnyttelse.
Tags: Sikkerhed, Sikkerheds nyheder
