La vida sin nombres.

Stefan Esser tiene un artículo muy bueno acerca de cómo MySQL y SQL truncar las columnas que puede dar lugar a agujeros de seguridad. Él usa un buen ejemplo de una columna que tiene una anchura de 16 caracteres, pero que presenta algo con 17 caracteres. Es evidente que la aplicación de longitud es una manera de hacer valer que, aunque casi nunca sucede. Pero una cosa vino a la mente. Harkening volver a mis días de la lectura Rain Forrest Puppy de documentos, me di cuenta de que muchas veces el código es una recta o cadena regex coincidentes. Por ejemplo: if ($ eq nombre de usuario "admin") (no ();) pero si el $ es el nombre de usuario "admin" es evidente que no coinciden con la cadena ya que no es una coincidencia exacta, pero tendrá el mismo efecto neto en la base de datos de pasar el control y lo que le permite acceder a la administración de datos. Asimismo relleno en el frente de el nombre de usuario tendrá el mismo efecto en algunos casos - dependiendo de la forma en que la consulta SQL es construida (si se trata de encapsulados). De todos modos, el buen artículo, vaya leerlo! Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• IP MSN Search (0)
• Investigador privado o de expertos forenses (0)
• Informe de redirección (0)

En la buena autoridad, me dijeron que tome una buena mirada dura en la nueva propuesta de HTML 5.0 de la especificación que flotan alrededor de la WHATWG. En primer lugar mis ojos se dirigió a los nuevos vídeo y audio son etiquetas que significaba para ayudar a los usuarios hacer frente a la aparentemente confusa naturaleza del hecho de que tenemos las etiquetas img en lugar de sólo utilizar para incrustar todo. Personalmente creo que es sólo una horrible idea de que va a romper un montón de listas negras por ahí y puede abrir más agujeros de seguridad dependiendo de si el video con scripts objetos se les permite, pero no lo tienes. De todos modos, por lo que entonces mis ojos mirada a través de las nuevas especificaciones y iframe y he aquí lo he visto un milagro. Alguien más en el WHATWG fue realmente prestando atención. En primer lugar, hay un nuevo parámetro llamado sandbox que es similar en muchos aspectos a IE de la propiedad de seguridad = "restringido" parámetro, pero con más controles granulares. Eso no es necesariamente una buena cosa si no te gusta que se enmarca, pero sí dar los sitios web más control sobre lo que sucede a su sitio una vez que marco un sitio que resulta ser malo. Pero lo más importante es un nuevo parámetro llama sin fisuras que permitirá que una página del mismo origen iframe dominio a una página sin tener todos los temas de usabilidad (el doble de barras de desplazamiento, _self objetivos y así sucesivamente) de la modelo original iframe. Eso es una gran noticia para los sitios web que desea marco de control y una página en su propio dominio (a la restricciones de contenido), sin todas las cuestiones de usabilidad loco con iframes. Hay algunas otras preocupaciones de seguridad con el contenido que permite que sean accesibles en su sitio - es necesario que haya algunos etiqueta a fin de inhabilitar a menos que la prestación del incrustado dentro de un iframe para evitar que alguien llamando a la maliciosos niño marco directamente. Sin embargo, este es un gran paso adelante en la dirección correcta. Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)
• Informe de redirección (0)

He sentido al escribir algo acerca de esto por un tiempo, y un número de personas que han conocido y usado este por un tiempo demasiado, pero una de las más útiles herramientas de allí para la identificación de los subdominios de un determinado objetivo es propiedad intelectual de búsqueda de MSN . Creo encarnizada es mucho mejor para encontrar subdominios si no están en la misma IP, pero la propiedad intelectual de búsqueda de MSN es mucho mejor en la búsqueda de subdominios en el mismo período.

¿Por qué es tan importante? Bueno, resulta que una gran cantidad de empresas que utilizan alojamiento compartido, y como todos sabemos, a menos que hayan tomado medidas extremas para proteger a sus clientes, los entornos de hosting son básicamente diciendo que todo compromiso de cualquier cliente de modo completo de cualquier compromiso de la otros clientes en la misma máquina. Gran. Por lo tanto, he creado una pequeña bookmarket que con interfaces de búsqueda de MSN de propiedad intelectual. Si usted usa Firefox, sólo tienes que arrastrar a sus marcadores y sólo tienes que ir a una página web de su elección (excepto ha.ckers.org ) Y haga clic en el bookmarklet. Se trata de una señal de dominio a ha.ckers.org que realiza una búsqueda de IP y redirige el navegador de nuevo a MSN con el período de investigación para ese dominio. Es así de simple. Se sorprenderá de cómo muchas empresas el uso compartido de acogida.

Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)
• Informe de redirección (0)

Bueno, puedo apostar que voy a conseguir una montón de Flack para este puesto, por lo que antes de empezar, esto es sólo mi opinión y no es en absoluto sobre la base de números reales. La única razón por la que estoy poniendo un gráfico aquí es porque creo que es más fácil de explicar visualmente. No números. ¿Entendido? Sólo opinión. No obtener todos emocionados aquí. Bien. La calma todavía? Bien, ahora no empiece a leer este post a menos que la intención de leer toda la cosa. ¿Listo? Ahora puede seguir leyendo el puesto.

El último post que hice fue describir sólo una pequeña Nociones de algunos de mis problemas personales de Firefox alrededor del add-ons que yo uso para mi personalmente seguro de los ataques, ya sea que me han ayudado a crear, o se han visto en la naturaleza. Ahora, a decir verdad, yo uso Firefox cada día, debido a los add-ons que apoya y la facilidad de las pruebas webapps. Y es que con el que estoy desalentada por mi sentido de impotencia en torno a las actualizaciones.

Así que aquí es lo que me parece que está sucediendo en el tiempo para la seguridad de personas (no para regular todos los días ocasional navegante web, pero de hecho, hardcore gente de seguridad, al igual que la mayoría de las personas que leen este sitio). Con el tiempo hay actualizaciones. Estas actualizaciones de fijar un número de agujeros, e introducir algunos otros. Asimismo, romper el add-ons. Los add-ons que te ayude a solucionar el roto modelo de seguridad del navegador. Por lo tanto, para el gusto de mí y de la vulns me siento afectada por mi seguridad se reduce con cada nueva revisión del navegador, por lo que es ver algo como esto:

Claro, la seguridad general es de tendencia con el tiempo, pero hay grandes lagunas en mi percepción de seguridad, mientras que los desarrolladores de ponerse al día con el nuevo código. Si bien los números y los plazos pueden ser lejos, el concepto (para mí al menos) es la derecha. Yo personalmente no ve ningún beneficio inmediato importantes desde el navegador cambios - sólo negativo. Con el tiempo, seguro, las cosas se ponen mejor, pero soy un ser en seguridad especialmente mala caída en el momento justo ahí en la parte derecha del gráfico. El código de explotación que puede haber sido en riesgo de, en su mayor parte, es neutered por el add-ons, hasta que deje de funcionar. Así que es eso? Estoy confiando en el navegador para evolucionar más rápido que el add-ons o viceversa?

El modelo de Firefox ha sido siempre, "Siéntase libre de contribuir, es de código abierto!" Si bien esto es en gran teoría, a) Mis conocimientos de programación me de y no mucho más - que no quiero que mi código en su la celebración del navegador de Internet juntos, confiar en mí b) no tengo acceso a todos los bugs de seguridad - la mayoría de los peores de los que están ocultos de la vista en el bugzilla de sólo una muy pequeña seleccionar pocas personas para ver y c) hay muy pocas personas que tienen la capacidad para cometer código y mucho menos para fijar otras personas del add-ons.

Es tentador para conseguir abrumado por la impotencia de todo, pero entonces yo sólo recuerdo que ninguno de estos plugins arreglar las cosas como CSRF que me ayuda a hacer caso omiso de esa cuestión en particular. Entonces acabo de ir a casa y llorar a mi sueño. Bien, ahora despotricar lejos, pero si mis-me cita o no a leer todo antes de comentar, por lo que me ayuda, voy a hacer de la diversión que absurdamente.

Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• HTML 5.0 (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)
• Informe de redirección (0)

¿Qué tienen en común con Magnum PI? ¿Qué significa ID tienen en común con el perro Bounty Hunter? Bueno, en el estado de Texas que todos necesitamos licencias de PI. Así es, si quiere ayudar a nadie recuperarse de un incidente, investigar el robo de equipo, o participar en cualquier tipo de investigación relativa a las computadoras que sea, que usted necesita para convertirse en un investigador privado en Texas. Podemos tiza esto a los abogados de legislar algo que totalmente no comprenden.

En primer lugar, muy duda cualquiera de mis clientes obtener más valor de la contratación de perro Bounty Hunter para caza a través de los registros, o recuperar los datos eliminados. En segundo lugar, los legisladores están haciendo grandes declaraciones como, "la industria necesita limpieza". Quisiera hacer mi propia declaración de amplio barrido ", los legisladores que escriben malos concieved leyes necesidad limpieza." Entiendo el razonamiento, tan pobre como podría ser. Manejo adecuado de las pruebas, siempre es una cosa importante para las condenas, pero esto es mucho más amplia que la que - incluso profundizar en el funcionamiento interno de las empresas privadas que trabajan para ayudar a otras empresas privadas de hacer negocios.

Creo que mejor empezar a encerar mi pecho y usar etiquetas de perro, así que puedes empezar a entender cómo estos darned equipo thingies trabajo.

Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Informe de redirección (0)

Sí, se trata de que el tiempo de nuevo. Jeremías ha puesto a otro profesional webappsec encuesta. Si usted no ha tomado una mirada a su anterior debe encuestas - algunos de ellos son realmente muy interesante. De cualquier manera, vale la pena mirar los resultados, incluso si no toman parte en la encuesta en sí. Además, debo señalar que el tiempo se aproxima rápidamente en el que todos vamos a ser descendente a Blackhat y DEFCON. Voy a estar hablando en Blackhat en Xploiting Google Gadgets y abrieviated una versión del discurso en DEFCON como así. También estoy haciendo otro discurso en DEFCON con un rico magnate, David Mortman, Chris Hoff, Robert Graham, y David Maynor llamado Todos Su Sploits (y servidores) ¿Se nos pertenece. Por lo tanto, si usted está planeando estar ahí, por caída y presentarte! Espero verlos a todos allí. [Ad # ad-1] Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)

Brian Krebs había un informe más interesante en el Washington Post, que citó un informe de Indiana.edu redirects acerca de cómo se encuentran en bastante abundancia. Bueno, quien ha trabajado en este campo para cualquier longitud de tiempo que debe saber perfectamente, pero es todavía interesante para obtener algunos de validación de los investigadores en Indiana.edu que se especializan en anti-phishing de investigación. Aquí está el RUB de Brian del artículo:

De hecho, algunos de los más grandes de Internet sitios web - especialmente Google - utilizado para albergar un gran número de redirecciones abierto.

"Se utiliza para"? Sé que he establecido en grueso en los últimos años, pero estoy asombrado de personas todavía piensan que Google ha fijado de algún modo por arte de magia los problemas que nunca en torno a la fijación. Redirecciones no son fijos, XSS no es fijo. Estas cuestiones siguen existiendo en todo Google y Google en la Web de propiedades. Pero en el caso de que alguien no me cree, aquí está un ejemplo azotado en unos 10 segundos que redireccione a una subasta de eBay aleatoria de la imagen de Google como un servidor, por ejemplo.

Es bueno ver que la gente está entendiendo este último en los principales medios de información corriente, pero no vamos a dar crédito a las empresas que están claramente undeserving de él (tanto histórica y actualmente). Voy a ser el primero en levantarse y aplausos cuando vemos estas cuestiones privadas de una vez por todas en Google, aunque realmente es sólo una empresa de la gran riqueza incalculable de sitios por ahí que son vulnerables. Pero si lo que realmente es ayudar phishing - y es - la única manera que vamos a salir adelante de ella es tomando la responsabilidad de nuestros propios sitios. Eso es especialmente cierto si tenemos la intención de ser el que todos los finales de todos los gigantes de confianza de publicidad que Google pretende ser.

Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)

Puede que ya han visto las noticias sobre el nuevo XSSFilter en IE8.0 pero quería hacerme eco aquí también, porque es una muy importante nueva versión. Se hace un gran trabajo de la prevención de la mayoría de los ataques XSS reflejado allí por defecto para los usuarios del navegador cuando visitas la producción. Muy bueno. Por cierto, el segundo enlace de arriba también tiene una sorpresa a la mirada como otra característica de seguridad en IE8.0 si se mira de cerca.

Piense en XSSFilter noscript como en Firefox, pero sin apagar la JS parte de la funcionalidad y, a diferencia de noscript, es por defecto en el navegador, por lo que tendrá un impacto mucho más personas. David Ross (el tipo que vino con el término Cross Site Scripting en primer lugar, btw) escribió esta herramienta para empezar a hacer frente a un problema que ha estado pensando durante 8 años o más desde que el papel fue escrito. No es perfecto, no me malinterpreten, pero es un enorme salto adelante en la dirección correcta, y yo estaba muy honrado de ser parte de ella, ya que creo que tendrá un gran impacto positivo en la seguridad de los consumidores mientras que nosotros la seguridad nudillo arrastreros buscar la manera de obtener sitios web para empezar a obtener los propios.

Siguiente en mi lista de deseos? Contenido restricciones!

Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)

Tengo transmitió este enlace a partir de hoy businesswire acerca de cómo Google y Yahoo están ahora va a ser armado con la información necesaria para analizar y extraer información de los archivos SWF. Ho-boy, aquí vamos. El enlace ha sido enviado a mí con la "mala estrella" advertencia, y estoy bastante seguro de que estoy de acuerdo.

El problema es, al igual que nada, si los motores de búsqueda empezar tirando abajo ricos aplicaciones que realmente interactúan con la aplicación web, hay innumerables cuestiones que podrían surgir. Por ejemplo, las solicitudes han Flash bastante rico en características, y algunos de los que podrían resultar peligrosas si se relacionan con aplicaciones de back end. Además, si la palabra "prueba" aparece en una película Flash, ¿significa que debe obtener indexados? ¿O es un marco que no es visible, o fuera de la parte de la página, o lo que sea? ¿Qué pasa si se tarda diez minutos en encontrar esa línea de texto o docenas de sub-menús? Está la gente realmente va a sentarse para que?

¿Las personas realmente desea cargar una película Flash cuando una consulta de las cosas? Sé que seguro que no! Ya estoy molesta cuando me vinculados a archivos PDF o. Docx archivos. Creo que esto sólo lleva a buscar a un nuevo nivel donde la gente realmente no quiere ir. En lugar de rastreo más profundo y refinado de su búsqueda, los motores de búsqueda van a los nuevos medios para evitar la gente (como yo) que han afirmado que Flash no es un buen medio para la accesibilidad, usabilidad y SEO. SEO va a ser fuera de la mesa pronto, dejando la accesibilidad y la usabilidad.

Pero en serio, ¿qué sigue? ¿Son los motores de búsqueda va a descompilar los applets de Java en busca de texto? Como nota al margen, esto debería, al menos en el corto plazo, dar lugar a una nueva ronda de Flash hacking, una vez que se va vivir. Voy a dar una camiseta a la primera persona que escribe un idiota para Google interna Flash de texto que conduce a la explotación.

Tags: Seguridad, Seguridad de noticias

Puestos relacionados con la

• Firefox Modelo de Crecimiento de Seguridad (0)
• HTML 5.0 (0)
• IP MSN Search (0)
• MySQL Truncamiento Etc ... (0)
• Investigador privado o de expertos forenses (0)