CSRF útok s využitím CSS history hacku na získanie CSRF tokenov
Úvod do CSRF Unikátny (náhodný) číselný alebo alfanumerický token predstavuje bežnú ochranu súčasných aplikácií voči CSRF útokom. Citlivé POST formuláre zvyknú byť chránené unikátnym tokenom, ktorý je obvykle posielaný aplikáciou v „hidden field“, teda skrytom poli formulára. Citlivé GET žiadosti zase používajú v URL ďalší parameter – napríklad „csrftoken“. V oboch prípadoch sa aplikácia chráni […]
Nové trendy v GSM odpočúvaní
Ešte minulý rok svetová GSM asociácia verejne prehlásila, že GSM odpočúvanie je stalé príliš drahé a komplexné, nakoľko útočník musí disponovať špeciálnym odpočúvacím zariadením (typu USRP2) a použivať komplexný „signal processing“ softvér na identifikáciu a zaznamenávanie odchytávaných hovorov. Na tohtoročnom 27c3 (Chaos Communication Congress) v Berlíne sme mali možnosť vidieť šokujúcu prezentáciu (výskumníkov Karstena Nohla […]
Miroslav Pikus v Nethembe
Od 1.1.2011 máme vo firme novú významnú posilu – Miroslava Pikusa (aka Pajkus) – dlhoročného špecialistu, ktorý sa v oblasti IT bezpečnosti pohybuje už viac ako 10 rokov. Miroslav bude mať na starosti obchod, marketing a project management. Miro Pikus študoval financie na Univerzite Texasu v Austine a manažment na City Univerzite v Bratislave. Pracoval […]
OWASP Summit 2011 – OWASP Testing Guide v4.0
Dnes ma milo prekvapila pozvánka OWASP organizácie na OWASP Summit 2011, ktorý sa bude konať 8-11.februára v Lisabone. OWASP summit je interná konferencia členov OWASP z celého sveta dotovaná OWASP sponzormi. Aj napriek uzavretosti tejto konferencie (pozvánky, letenky a hotel schvaľuje špeciálna komisia) samotné workshopy, prezentácie, či len čisto brainstormingové stretnutia sú veľmi produktívne a […]
Ako dopadol prvý Confidence v Prahe
Pred dvomi týždňami skončil ôsmy ročník medzinárodnej IT bezpečnostnej technologickej konferencie Confidence 2.0, ktorá sa ale v Prahe konala úplne prvýkrát. Konferencie sa zúčastnilo množstvo nadšencov z celého sveta, veľká účasť bola z Poľska (viac ako 70 ľudí), ako aj zo Slovenska, či Maďarska. Pozvaní prednášajúci pricestovali z 25 rôznych krajín z celého sveta. Aj […]
Novembrové novinky v Nethembe
Po úspešne realizovaných referenčných projektoch sme spustili novú službu Digitálnej forenznej analýzy, pre všetkých klientov, ktorí sa stali obeťou hackerských prienikov (ako anonymne Internetové útoky, tak intranetové útoky zo strany zamestnancov), vírov a červov, finančného podvodu alebo krádežou intelektuálneho majetku. Pripravili sme nové unikátne školenie Kurz penetračného testovania pomocou Metasploit frameworku vo forme jednodňového praktického […]
Advanced Exploitation with Metasploit
Minulý týždeň (12-14.11.2010) sme sa zúčastnili bezpečnostného semináru Bez(a)Dis v Košiciach. Osobne si myslim, že náš penetračný tester Norbert Szetei mal jednu z najzaujímavejších prezentácií v ktorej prakticky demonštroval novú funkcionalitu Metasploitu – použitie db_autopwn, vncinject, použitie meterpretera, passiveX ako aj generovanie vlastného trojana. Videozáznam tejto prednášky, ktorý odporúčam pozrieť je k dispozícií tu. Samotná […]
5 dôvodov prečo navštíviť Confidence 2.0 v Prahe
29-30.11.2010 sa uskutoční v Prahe veľka IT bezpečnostná konferencia Confidence 2.0. Nebudem to tajiť – naša firma pomáha pri organizácii tejto konferencie. Dôvod, prečo sme sa rozhodli Confidence ako IT bezpečnostnú konferenciu podporiť bol, že som skutočne presvedčený, že ide o správnu a dobrú vec, ktorá v Českej republike a na Slovensku zatiaľ nemala obdobu. […]
XSS monitoring
Dnes ráno zverejnil Krzysztof Kotowicz zaujímavý spôsob možnosti monitorovania používateľov pomocou zraniteľnosti typu XSS. Väčšina ľudí zaoberajúcich sa webovou bezpečnosťou tento druh zraniteľnosti dôverne pozná a odporúčame im najbližšie dva odstavce s vysvetlením preskočiť, pre ostatných nasleduje krátke upresnenie. XSS cross site scripting je zraniteľnosť na strane servera, ktorá umožňuje zneužitie koncových prehliadačov. Jej základné […]
Bez(a)Dis Security Weekend
Rád by som spropagoval zaujímavú medzinárodnú bezpečnostnú udalosť Bez(a)Dis Security Weekend, ktorá sa uskutoční cez víkend 12-14.11 na fakulte informatiky UPJŠ v Košiciach. Na bezpečnostný víkend zavítajú medzinárodní hostia z Budapešti – Stefan Marsiske a András Veres-Szentkirályi z Budapeštianskeho hackerspaceu H.A.C.K., Juraj Bednár a Tomáš Zaťko zo spoločnosti Digmia a Lukáš Hlavička zo slovenského CSIRT […]