5 dôvodov prečo navštíviť Confidence 2011 v Krakove
24-25.5.2011 sa ako každý rok uskutoční v Krakove zrejme najprestížnejšia (a osobne si myslím, že aj najlepšia) IT bezpečnostná konferencia v strednej Európe Confidence. Súčasný ročník Confidence bude už deviaty, prvých sedem organizovaných Andrzejom Targoszom a jeho spolupracovníkmi sa uskutočnilo v Krakove a Varšave, ôsmy ročník bol organizovaný v spolupráci s našou spoločnosťou v Prahe. […]
Štartujú OWASP WebAppSec stretnutia – Kryptografické kľúče, ich distribúcia a dôveryhodnosť
Po včerajšom vydarenom (už druhom) OWASP WebAppSec stretnutí v Progressbare sa ozvalo pár ďalších ľudí so záujmom pripraviť si ďalšiu prezentáciu a kratšie lightning talky (ak máte záujem pripraviť si vlastnú prezentáciu alebo kratší talk, neváhajte sa ozvať). Všetkým WebAppSec nadšencom ako aj tým, ktorých zaujímajú pravidelné OWASP stretnutia odporúčam sledovať našu novú LinkedIn skupinu […]
OWASP potrebuje tvoju pomoc
Ak Vás zaujíma program zajtrajšieho OWASP stretnutia v Progressbare, tak pokračujte tu. 1 Fakty o OWASP organizácii Neziskové nekomerčné združenie OWASP (Open Web Application Security Project) asi každý kto sa venuje IT bezpečnosti pozná. Ide o nadšencov z celého sveta, ktorí sa venujú bezpečnosti webových a v súčasnej dobe už aj mobilných aplikácií. Bohužiaľ na […]
Aprílové novinky (nielen) v Nethembe
1. V novom aprílovom IT News v tlačenej aj papierovej forme vychádza článok „Keď bezpečnosť databázy visí na vlásku„, ktorý som napísal spolu s Ivetou Štavinovou zo spoločnosti Oracle. Je určený pre širšiu verejnosť a týka sa databázových zraniteľností a firewallov. 2. Samy Kamkar mi skontroloval a opravil moj „proceeding-paper“ k obchádzaniu webových aplikačných firewallov. […]
Obchádzanie Webových Aplikačných Firewallov
Zajtra (29.3) o 16:30 na MFF-UK v miestnosti F1-108 mám predposlednú prezentáciu o obchádzaní webových aplikačných firewallov (Bypassing Web Application Firewalls). Pri tej príležitosti som sa rozhodol publikovať slajdy k uvedenej prezentácií, samotnú prezentáciu je možné stiahnuť v PDF aj tu. Bypassing Web Application Firewalls Dokončil som aj sprievodný „proceeding paper“, ktorý čaká ešte na […]
Marcové novinky v Nethembe
Po úspešne realizovaných referenčných projektoch spúštame (zrejme ako prví na Slovensku a Čechách) službu penetračných testov a bezpečnostných auditov SAP systémov a aplikácií. Našim cieľom je osloviť všetky stredné a veľké spoločnosti, ktoré SAP R/3 používajú. V stredu 23.3.2011 o 19:00 budem mať v Progressbare v Bratislave prezentáciu o Moderných spôsoboch anonymizácie. Hneď po […]
Séria prezentácií – Bypassing Web Application Firewalls (WAFs)
Prečítanie kníh XSS Attacks: Cross Site Scripting Exploits and Defense, Web Application Obfuscation a osobné konzultácie s autormi týchto kníh na OWASP Summite 2011 ma viedli k vytvoreniu zaujímavej technickej prezentácie ako je možné obchádzať súčasné webové aplikačné firewally (WAFs) a tvoriť „obfuskovaný“ kód. Uvedenú prednášku bude možné vidieť naživo: 17.2.2011 o 10:45 na konferencii Oracle Security Day […]
OWASP Summit 2011 alebo keď sa stretne svetová WebAppSec špička
V piatok 11.2.2011 skončil druhý svetový OWASP Summit 2011. Podobne ako prvý OWASP Summit 2008 aj tento sa konal v Portugalsku, nie však vo Fare ale asi 50 km od Lisabonu v príjemnom letovisku CampoReal. OWASP Summitu sa zúčastnilo množstvo WebAppSec špičiek z celého sveta, kompletný zoznam účastníkov k dispozícii tu. Účastníkov Summitu bolo možné rozdeliť do nasledujúcich […]
CSRF útok s využitím CSS history hacku na získanie CSRF tokenov
Úvod do CSRF Unikátny (náhodný) číselný alebo alfanumerický token predstavuje bežnú ochranu súčasných aplikácií voči CSRF útokom. Citlivé POST formuláre zvyknú byť chránené unikátnym tokenom, ktorý je obvykle posielaný aplikáciou v „hidden field“, teda skrytom poli formulára. Citlivé GET žiadosti zase používajú v URL ďalší parameter – napríklad „csrftoken“. V oboch prípadoch sa aplikácia chráni […]
Nové trendy v GSM odpočúvaní
Ešte minulý rok svetová GSM asociácia verejne prehlásila, že GSM odpočúvanie je stalé príliš drahé a komplexné, nakoľko útočník musí disponovať špeciálnym odpočúvacím zariadením (typu USRP2) a použivať komplexný „signal processing“ softvér na identifikáciu a zaznamenávanie odchytávaných hovorov. Na tohtoročnom 27c3 (Chaos Communication Congress) v Berlíne sme mali možnosť vidieť šokujúcu prezentáciu (výskumníkov Karstena Nohla […]