Lokakuu 04
No, uusi lelu elämässäni
Agestar NCB3AHT
Continue Reading »
Elokuu 18
Stefan Esser on todella hyvä artikkeli siitä, kuinka MySQL: n ja SQL katkaista sarakkeita, jotka voivat johtaa listaa. Hän käyttää hyvä esimerkki sarake, jonka leveys on 16 merkkiä, mutta hän väittää jotain 17 merkkiä. Ilmeisesti panna täytäntöön pituus on yksi tapa valvoa, että vaikka se tuskin koskaan tapahtuu. Mutta yksi muu asia tuli mieleen. Harkening takaisin minun päivän lukemasta Rain Forrest Puppy: n paperit, olen ymmärtänyt, että usein kertaa koodi ei suoraan regex tai string matching. Esimerkiksi: if ($ username eq "admin") (ei ();), mutta jos $ käyttäjätunnus on "admin", se selvästi epäonnistuu merkkijono täsmää, koska se ei ole tarkka ottelu, mutta se on sama nettovaikutus vuonna tietokannan kulkevan tarkistaa ja jonka avulla voit käyttää admin tietoja. Samoin padding edessä käyttäjätunnus on sama vaikutus joissakin tapauksissa - riippuen siitä, miten SQL-kysely on rakennettu (jos se on kapseloitu). Joka tapauksessa, hyvä artikkeli, mene lukea sitä! Tags: Turvallisuus, turvallisuus-uutiset
Liittyvien virkojen
Elokuu 16
Hyvää viranomaisen Minulle kerrottiin ottaa hyvän vaikea tarkastella äskettäin ehdotti HTML 5.0 spec, joka on kelluva ympäri WHATWG. Ensinnäkin mielestäni meni uusien video-ja audio-tunnisteet, jotka on tarkoitus auttaa käyttäjiä koskevat ilmeisesti sekava luonne sitä, että olemme img tags sijasta vain käyttämällä embed kaikesta. Henkilökohtaisesti olen sitä mieltä, että on vain kauhea ajatus, että tulemme rikkomaan paljon mustia listoja siellä ja mahdollisesti avata lisää turvallisuutta reikää riippuen, jos skriptattavia video-esineet ovat sallittuja, mutta sinulla on sitä. Joka tapauksessa, niin sitten silmäni glanced koko uuden iframe-spec ja lo ja katso, olen nähnyt ihme. Joku yli on WHATWG oli aidosti huomiota. Ensinnäkin, löytyy uusi parametri nimeltä hiekkalaatikko, joka on samanlainen monessa suhteessa IE: n omistusoikeutta turvallisuus = "rajoitettu"-parametri, mutta enemmän rakeinen valvontaa. Se ei ole välttämättä hyvä asia, jos et halua joutua kehystetty, mutta se antaa verkkosivustoja enemmän, mitä tapahtuu heidän sivuston, kun ne puitteet sivuston, joka osoittautuu huonosti. Mutta vielä tärkeämpää on uusi parametri kutsutaan saumaton, jonka avulla sivun samaa alkuperää toimialue iframe-sivulle ilman, kaikki käytettävyyteen liittyvät kysymykset (kaksinkertainen vierityspalkit, _self tavoitteita ja niin edelleen) on alkuperäisen iframe-malli. Se on suuri uutinen www-sivustot, jotka haluavat kehystää ja valvonta sivun omalla toimialueella (a la sisällön rajoitukset) ilman kaikkea hullua käytettävyyden kysymyksistä iframes. On joitakin muita turvallisuuteen liittyvät huolet ja mahdollistaa sisältöjen on oltava saatavilla sivustoasi - siellä on joitakin tag estää mallinnus jollei se on upotettu IFRAME-kehykseen, jotta joku soittamalla haittaohjelmia lapsi kehys suoraan. Tämä on kuitenkin suuri askel oikeaan suuntaan. Tags: Turvallisuus, turvallisuus-uutiset
Liittyvien virkojen
Elokuu 03
Olen ollut merkitystä kirjoittaa jotain tämän jonkin aikaa nyt, ja monet ihmiset ovat tiedossa ja niitä käytetään tämän hetken, mutta yksi hyödyllisiä työkaluja siellä tunnistamiseksi aliverkkotunnuksia kaikkien tavoite on MSN IP-haku . Mielestäni Fierce on paljon parempi löytää aliverkkotunnuksia, jos ne eivät ole samasta IP, mutta MSN IP-haku on paljon parempi on löytää aliverkkotunnuksia on sama IP.
Miksi tämä on tärkeää? No, käy ilmi, että monet yritykset käyttävät jaettua hosting, ja kuten me kaikki tiedämme, elleivät ne ole ottanut äärimmäisen toimiin suojatakseen asiakkaiden, hosting-ympäristöissä ovat periaatteessa sanoa, että kompromissi kaikista asiakkaan tarkoittaa täydellisiä kompromissi jonkin muiden asiakkaiden kanssa samassa koneessa. Upea. Siksi olen luonut pieniä bookmarket rajapinnat MSN IP-haun. Jos käytät Firefoxia, vedä se kirjanmerkkeihisi ja juuri mennä siitä verkkosivun valinnan (muut kuin ha.ckers.org 
) Ja klikkaa bookmarklet. Se lähettää toimialue ha.ckers.org joka huolehtii IP-haun ja toimittaa selaimen takaisin MSN kanssa IP-että verkkotunnuksen. Se on niin yksinkertaista. Sinun on hämmästynyt siitä, kuinka monet yritykset käyttävät jaettua hosting.
Liittyvien virkojen
Heinäkuu 30
Okei, voin lyödä vetoa aion saada paljon Flack tähän virkaan, niin ennen kuin aloitan, tämä on vain minun mielipiteeni, ja ei ole lainkaan perustuu todellisiin numerot. Ainoa syy, miksi olen laskemisesta kaavion tässä on, koska mielestäni se on helpompaa visuaalisesti selittää. Ei numeroita. Got it? Vain lausunnon. Älä saada kaikki innoissamme tästä. Okei. Rauhallinen vielä? Okei, nyt ei käynnisty käsittelyssä tätä viestiä, ellet aio lukea koko jutun. Valmiina? Nyt voit jatkaa lukemista on postitse.
Viimeinen post Tein oli kuvataan vain pieni osata muutama sana myös minun henkilökohtainen Firefox vitsausten noin add-ons, että käytän henkilökohtaisesti varma itsestäni hyökkäyksiltä, että joko olen auttanut luomaan tai nähneet luonnossa. Nyt totuus on kerrottu, voin käyttää Firefoxia joka päivä, koska lisäosia, että se tukee ja helpottaa testausta WebApps. Ja sen kanssa, että olen lannistua minun tunnetta avuttomuus noin päivitykset.
Joten tässä minä tunnen tapahtuu ajan myötä turvallisuuden ihmiset (ei säännöllisesti joka päivä arkisessa Webin, mutta todellakin, Hardcore turvallisuus ihmisiä, kuten useimmat ihmiset, jotka lukevat tämän sivuston). Ajan mittaan on päivityksen yhteydessä. Nämä päivitykset korjaa useita reikiä, ja ottaa käyttöön muutamia muita. He myös rikkoa add-ons. Nämä lisäosien avulla korjata rikkinäisen selaimen turvallisuus mallia. Siksi, että tykkää minusta ja vulns Olen itse olen vaikuttaa, minun turvallisuus on pelkistetty jokaisen merkittävän uuden tarkistaminen selain, joten se näyttää suunnilleen tältä:
Varma, yleinen turvallisuus on trendit kanssa aikaa, mutta siinä on suuria puutteita minun koettu turvallisuus, kun taas kehittäjät kiinni myös uusiin codebase. Vaikka numerot ja aikatauluja voi olla kaukana, käsite (minulle ainakin) on oikeassa. En henkilökohtaisesti näe mitään välitöntä suurta hyötyä selaimen muutokset - vain negatiivinen. Ajan myötä varmasti asiat paremmin, mutta minä satun olemaan erityisen huono turvallisuus-lama tällä hetkellä tuolla oikealla puolella kaavion. Tämä hyödyntää koodi, että minulla on saattanut olla vaarassa, sillä suurin osa on neutered on apuohjelmia, kunnes ne lakata toimimasta. Mikä se on? Olen luottavainen selaimen kehittyvät nopeammin kuin lisäosien tai päinvastoin?
Firefox-malli on aina ollut, "Voit vapaasti osallistua, se on avoimen lähdekoodin!" Vaikka tämä on hyvin teoriassa, a) Omat ohjelmoinnin taitoja saada minulle eikä paljon enemmän - et halua, että koodin selaimen pitämällä Internet yhdessä, luota minuun b) Minulla ei ole pääsyä kaikkiin turvallisuutta vikoja - useimmat pahin, jotka ovat piilossa ja bugzilla vain hyvin pieni valitse harvat tarkastella ja c) on hyvin vähän ihmisiä, joilla on kyky sitoutua koodi puhumattakaan vahvistaa muiden ihmisten add-ons.
On houkuttelevaa saada hukkua, että avuttomuus tämän kaiken, mutta sitten minä vain muistettava, että yksikään näistä plugins korjata asioita, kuten CSRF joka auttaa minua sivuuttaa sitä, että erityisesti kysymys. Joten sitten vain mennä kotiin ja itkeä itseni uneen. Okei, nyt paasaamaan pois, mutta jos väärin lainata minulle tai ei ole lukenut kaiken ennen kuin kommentoin, niin auta minua, I'll tehdä hauskaa teistä senselessly.
Tags: Turvallisuus, turvallisuus-uutisetLiittyvien virkojen
Heinäkuu 24
Mitä minulla on yhteistä Magnum PI? Mitä id on yhteistä Koira on Bounty Hunter? No siinä tilassa Texas me kaikki tarvitsemme PI-lisenssejä. Se on oikeus, jos haluamme auttaa kukaan toipua onnettomuuden tutkia tietokone varastetaan, tai harjoittaa minkäänlaista tutkintaa, jotka liittyvät tietokoneisiin mitään, sinun on tullut yksityisen tutkijan Texasissa. Voimme liitu tämän asianajajiin lainsäätäjänä jotain ne täysin ymmärrä.
Ensinnäkin olen hyvin epävarma mitään minun asiakkaat saa enemmän lisäarvoa vuokraus Koira on Bounty Hunter metsästää kautta lokit tai palauttamaan poistettuja tietoja. Toiseksi, lainsäätäjät tekevät laajoja kuten "tietokone teollisuus tarvitsee puhdistamisesta". Haluaisin tehdä oma laaja ylimalkainen ilmoitus ", lainsäätäjille, jotka kirjoittavat huonosti concieved lainsäädännön tarvetta puhdistamisesta." Ymmärrän perustelut, niin köyhä kuin se voisi olla. Asianmukaista käsittelyä todisteita, on aina tärkeä asia tuomioita, mutta tämä on paljon laaja kuin että - jopa sukeltaa sisäkorvan toiminnasta yksityiset yritykset pyrkivät auttamaan muut yksityiset yritykset harjoittavat liiketoimintaa.
Oletan, olen parempi aloittaa vaha sydämelläni ja päällään koira koodit, joten voin alkaa ymmärtää, kuinka nämä darned tietokone thingies työtä.
Tags: Turvallisuus, turvallisuus-uutisetLiittyvien virkojen
Heinäkuu 21
Joo, se on siitä, että kellonajan uudelleen. Jeremia on tehnyt vielä toisen webappsec ammatti-tutkimuksessa. Jos et ole tutustunut hänen aikaisempien tutkimusten sinun pitäisi - jotkut heistä ovat itse asiassa melko mielenkiintoinen. Joka tapauksessa, se on syytä tarkastella tuloksia, vaikka et osallistu kyselyyn itse. Lisäksi haluan todeta, että aika on nopeasti lähestymässä, jossa me kaikki alenevassa kun Blackhat ja DEFCON. I'll be puhuu Blackhat on Xploiting Google-gadgetit ja abrieviated versio, puhe DEFCON samoin. Olen myös tekee toisen puheen DEFCON kanssa Rich moguli David Mortman, Chris Hoff, Robert Graham ja David Maynor kutsutaan kaikki Sploits (ja palvelimet) Onko meille kuulu. Joten jos aiot siitä, että siellä, tippa on ja esitellä itsesi! Toivon näkeväni teidät kaikki siellä. [Mainos # mainos-1] Tagit: Turvallisuus, turvallisuus-uutiset
Liittyvien virkojen
Heinäkuu 17
Brian Krebs oli mielenkiintoinen kertomus yli at Washington Post mainitussa raportissa Indiana.edu siitä, miten uudelleenohjaukset ovat melko runsaasti. No, kuka tahansa, joka on työskennellyt tällä alalla jonkin aikaa pitäisi tietää, että täysin hyvin, mutta on silti mielenkiintoista saada vahvistus, että tutkijoiden Indiana.edu jotka ovat erikoistuneet anti-phishing-tutkimukseen. Tässä on hieroa peräisin Brian: n artikkelissa:
Itse asiassa jotkut Internetin suurin Web-sivustot - erityisesti Google - käytetään vastaanottaa suuria määriä avoimia uudelleenohjauksia.
"Käytetään"? Tiedän, olen mukaisesti se paksu viime vuosina, mutta olen hämmästynyt ihmiset edelleen sitä mieltä, että Google on jotenkin maagisesti kiinteä ongelmia, se ei koskaan saanut noin vahvistamista. Uudelleenohjaukset eivät ole kiinteitä, XSS ei ole määrätty. Nämä kysymykset ovat edelleen olemassa koko Googlessa ja Googlen Web-ominaisuudet. Mutta jos joku ei usko minua, tässä on esimerkki I lyöty jopa noin 10 sekuntia, joka ohjaa sattumanvaraisesti eBay-huutokaupassa Googlen kuva-palvelin on esimerkiksi.
On hyvä nähdä ihmiset ovat vihdoinkin ymmärtää, tässä tärkeimmät mediavirran, mutta älkäämme antaa tunnustusta yrityksille, jotka ovat selvästi saada se (sekä historiallisesti ja tällä hetkellä). I'll be ensimmäinen nousemaan ja suosionosoituksia, kun näemme näitä kysymyksiä suljettu lopullisesti Google vaikka se todella on vain yksi yritys pois suuri suunnaton rikkaus sivustoja siellä, jotka ovat haavoittuvia. Mutta jos se todella auttaa Tietojen kalastelijat - ja se on - ainoa tapa, jolla aiomme päästä eteenpäin ja se on ottaa vastuu omasta sivustoja. Tämä on erityisen totta, jos aiomme olla kaikki lopulta kaikki luotettava mainonnan jättiläisiä, että Google on tarkoitus olla.
Tags: Turvallisuus, turvallisuus-uutisetLiittyvien virkojen
Heinäkuu 03
Olet ehkä jo nähneet uutisen uuden XSSFilter vuonna IE8.0 mutta halusin yhtyä myös täällä, koska kyseessä melko merkittävä uuden julkaisun. Se tekee hienoa työtä estää suurin osa heijastuu XSS-iskujen ulos siellä oletuksena käyttäjän selaimeen, kun se osumat tuotantoa. Very cool stuff. Se tapa, toinen linkki yllä on myös vilkaista kuin toiseen turvallisuus ominaisuus IE8.0 jos katsotte tarkasti.
Ajattele XSSFilter kuten noscript Firefox, mutta ilman sammuttamalla JS osa toiminnallisuutta, ja toisin kuin noscript, se on oletusarvoisesti selaimen, niin se vaikuttaa paljon enemmän ihmisiä. David Ross (kaveri joka tuli kanssa aikavälin Cross Site Scripting on ensimmäinen paikka, BTW) kirjoitti tämän työkalun aloittaa tarttunut ongelmaan hän on ajatellut 8 tai enemmän vuotta sitten, että paperi oli ensimmäinen kirjoittanut. Se ei ole täydellinen, eivät saa minua väärin, mutta se onkin valtava harppaus eteenpäin oikeaan suuntaan, ja olin erittäin kunnia olla osa sitä, koska mielestäni se on suuri myönteinen vaikutus kuluttajien turvallisuus kun taas meille turvallisuus rysty draggers keksiä keino saada verkkosivuille alkaa turvata itselleen.
Seuraava minun toivomuslista? Sisältö rajoituksia!
Tags: Turvallisuus, turvallisuus-uutisetLiittyvien virkojen
Heinäkuu 01
Minulla on toimitettu tämän linkin tänään businesswire siitä, miten Google ja Yahoo ovat nyt olla aseistettuja edellyttämät tiedot tarkastella ja purkaa tietoja ulos swf-tiedostoja. Ho-poika, tässä sitä mennään. Tämä linkki on lähetetty minulle, että "huono JuJu" varaus, ja olen melko varma, että olen samaa mieltä.
Ongelmana on, kuten mitään, jos hakukoneet aloittaa vetämällä alas rikkaiden sovelluksia, jotka todella vuorovaikutuksessa Web-sovellus on mittaamaton kysymyksiä, joita saattaa ilmetä. Esimerkiksi Flash-sovellukset ovat melko vähän rikas ominaisuuksia niitä, ja jotkut, jotka voivat olla vaarallisia, jos ne ovat vuorovaikutuksessa back end-sovelluksia. Myös, jos sana "test" näkyy Flash-elokuva, eli tarkoittaako se pitäisi saada indeksoitu? Vai onko se kehys, jota ei ole näkyvissä, tai poistaa sivun tai jotain? Entä jos se kestää kymmenen minuuttia, että erityisesti rivi tekstiä tai kymmeniä osa-valikot? Ovatko ihmiset todella aikoo istua tähän?
Onko ihmiset todella haluavat ladata Flash-elokuva, kun he kysely asioita? Tiedän, olen varma, että ei! Olen jo ärsyttää, kun saan liittyy PDF-tiedostojen tai. Docx-tiedostoja. Mielestäni tämä juuri tekee haun aivan uudelle tasolle, jossa ihmiset eivät itse halua mennä. Sen sijaan, että indeksoinnin syvemmälle ja jalostuksessa niiden haku, hakukoneet ovat menossa uusiin välineisiin torjumiseksi ihmiset (kuten minä), jotka ovat väittäneet, että Flash-isn'ta hyvä väline saatavuus, käytettävyys ja SEO. SEO tulee pois pöydän pian tarpeeksi, joten saatavuutta ja käytettävyyttä.
Mutta vakavasti, mitä seuraavaksi? Ovatko hakukoneet aikoo analysoida Java-sovelmien etsii tekstiä? Epäsuorasti huomata, tämä olisi ainakin lyhyellä aikavälillä johtaa uutta Flash-hakkerointi, kun se elää. I'll antaa T-paita on ensimmäinen henkilö, joka kirjoittaa Google dorka sisäisen Flash-teksti, joka johtaa hyväksikäyttöön.
Tags: Turvallisuus, turvallisuus-uutiset
