V minulém díle jsem na cílovém serveru objevil bezpečnostní trhlinu (SQL injection) a připravil jsme si další postup. Nyní si z databáze konečně něco vypíšu – rozhodně seznam uživatelů (a hesla, pravděpodobně zahashovaná), s trochou štěstí systémové soubory. Prozatím ale skromně začnu zjištěním metadat: verze a typ databáze a názvy důležitých tabulek a sloupců.
Archiv pro štítek: bezpečnost
Jsem hacker a chci váš server. Přečtěte si, jak postupuji, čeho se snažím vyvarovat a jak mě naopak můžete odhalit. Možná jsem se přes bezpečnostní díru ve formuláři dostal na vaše SSH. Jako root. Nebo jenom k celé databázi, to přes sql injekce. Dnes začnu přípravou průniku. Pojďte mi nakouknout přes rameno.
V článku na Reddit upozorňuje autor na to, že se nevyplácí věřit PHP funkci strip_tags(). Někdy odstraní i užitečný text, někdy naopak neodstraní to, co by odstranit měl, a navíc je poměrně snadné tu funkci…
S rozšířením VPS a podobných služeb se stále častěji stává, že se o webový server stará ten, kdo k tomu má ve firmě nejblíž, tedy nějaký správce sítě (to bývá ten lepší případ) nebo vývojář. V článku si ukážeme základní metody zabezpečení LAMP serverů, takový základní bezpečnostní check list…
Přihlášení uživatele k webové aplikaci je přece tak snadné: zadá jméno a heslo, odešle a – voila! – je přihlášen. Ale co je za tím? A co by za tím mělo být? Přinesou nové technologie nějaké změny v téhle oblasti? Oprášíme staré známé technologie, nebo vzniknou nové?
Bezpečnost webů je velmi široké téma, mnohokrát probírané a diskutované. Pojďme se dnes zaměřit především na rizika a hrozby, které přináší nové technologie z rodiny HTML5. S nimi totiž přichází i celá řada nových zranitelných míst, která jsou o to nebezpečnější, že o nich tvůrci webů zatím ještě nevědí.
Nově objevená kritická chyba v některých apliakcích od Adobe může útočníkům otevřít zadní vrátka do počítače oběti. Zranitelnost byla zjištěna ve verzích Flash Player 10.0.45.2 a starší pro Windows, MacOS X i Linux. Verze 10.1 RC, která…
Služba URLVoid nabízí rychlé otestování webu na přítomnost bezpečnostních rizik (virů či trojanů). K testování používá nejrůznější nástroje, od Google Diagnostic přes nástroje McAfee, Norton SafeWeb či We Security Guard až po Spamcop a SURBL.
Spory o tom, jestli jsou děravější skripty v PHP nebo v ASP.NET a jestli jsou JSP odolnější proti „programátorským chybám“ než jiné jazyky jsou mezi webovými vývojáři velmi oblíbené (většinou vedou i k debatám o tom, který jazyk je…
Zajímavou techniku pro phishing (vylákání přihlašovacích dat z uživatelů) představuje TabNabbing. Jak tato technika funguje? Ukažme si příklad s krádeží přihlašovacích údajů u GMailu. V prohlížeči, který umožňuje otevřít více záložek (tabů), přijde uživatel na útočníkovu stránku,…





