- Átjutottak a Ciscón, betörtek a kormányok hálózataiba
- Ubiquiti hálózati eszközök
- Windows 11
- Linux kezdőknek
- Hálózati / IP kamera
- A Coca-Cola következő nagy újítása az AI
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Windows 10
- Adobe Lightroom topic
- Kínában túl sok az EV, fokozódik az árháború
-
IT café
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
-
-
inf3rno
Topikgazda
Már melyik, a több napos? Szerintem jó. Nem tudom pénzben mennyit ér, de amerikai viszonyok között simán ki lehet csengetni érte a $450-es árat, ha ad egy kezdő szakmát IT biztonságban. Állítólag keresett. Gyakorolni kell azokat, amiket mutatott, meg gondolom önálló munkát is igényel. Én egyelőre nem akarok elmenni ilyen etikus hacker vonalon, de ettől függetlenül nagyon jó bevezető volt ebbe a világba. Majd talán később próbálkozom én is ilyesmivel, egyelőre viszont a védelmi eszközökre koncentrálok, nem a támadókra. Most minta felismeréssel próbálok elcsípni vírusokat, támadókat a szakdolgozatomban, de valószínűleg nem lesz annyira komoly, mint szeretném, mert kevés az idő és az oldalszám, amit elvárnak.
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Ez nem feltétlen van így. Le lehet tiltani bárkit, akinek gyanús a tevékenysége anélkül, hogy tudnánk pontosan mit csinál. Pl ha egy webszerver sorozatban szórja a hibaüzeneteket egy IP címről érkező kérések miatt, akkor én simán tennék be egy automatát, ami letiltja az IP címet. Én ennek a módszernek egy fejlettebb változatát próbálom majd betenni a szakdolgozatomba, de így is még elég nyers lesz szerintem sok fals pozitívval, mert csak pár hónapom van legyártani és megírni hozzá a szöveget.
Buliban hasznos! =]
-
-
Szóval: nem tudhatod, hogy a másik végen mi az, ami a Te web szervereden hibákat dobál. Látsz egy csomó 404-et a logban, de nem biztos, hogy az támadás, lehet, hogy valaki rátámaszkodott a billentyűzwtre, vagy rárakott valamit, esetleg gyerek, kutya, macska szörfözik rajta.
Ha például ilyenért kirakod az ügyfeleidet az oldalról, hamar elveszíted őket.
A false riasztások és nem riasztások redukálása elemi fontosságú.
https://www.coreinfinity.tech
-
-
inf3rno
Topikgazda
Persze azt elismerem, hogy nem ez a silver bullet, csak azt próbáltam cáfolni, hogy elvileg ne lenne lehetséges egy ilyen ellen védekezni. Egyébként úgy tűnt, hogy nagyobb cégek csinálnak valami ilyesmit, és ők nem IP tiltást szoktak, hanem kiteszik a captachat, ha túlfeszítem a húrt valamivel, már nem kell itt semmi törvénytelenre gondolni, csak túl gyorsan nyitok meg túl sok oldalt.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
-
Megírtam a SolarWinds sorozat első két részét, továbbiakat lásd az aláírásomban.
https://www.coreinfinity.tech
-
inf3rno
Topikgazda
"tételezzük fel, hogy nem asdfgtziuklhg a cégünk, rendszereink neve" - pedig milyen szépen cseng, erre akár brandet is lehetne építeni. Elolvastam, ami a blogban van, csak így tovább! :-)
A DNS-el kapcsolatban, az nem úgy megy, hogy a subdomain változik folyamatosan, hogy ne cache-ből szolgálja ki a DNS szerver? És a subdomain-ben küldik ki az információt pl base64 kódolva? Nekem legalábbis ilyesmi rémlik, de annyira nem mélyedtem el benne.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Ez nem a solarwinds-es bejegyzésre vonatkozott, hanem van egy bejegyzése a DNS tunneling-ről. De közben utána jártam, és az is jó, amit ő írt. Pl volt olyan malware, ami a domain meglétét nézte, és ha beregisztrálták, akkor leállította magát. Az állandóan változó subdomaint (cache miatt muszáj változtatni) nem csak azonosításra lehet használni, hanem C&C-re is, pl ha a visszaadott IP címben adod meg, hogy mit hajtson végre a malware. Illetve a válaszban akár lehet további alkalmazásokat is küldeni, bár nem túl gyors és megbízható a folyamat, illetve komoly a lebukás esélye. [link] Ami nekem nem világos, hogy ennél az utóbbinál hogyan irányítják a forgalmat a saját DNS szerverükre, de ahogy nézem ez is megoldható. [link]
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Mi a véleményetek erről a kódról? [link]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Aki használni akarja ezt a texme könyvtárat, amit fentebb linkeltem, annak a dokumentáció ezt írja:
<!DOCTYPE html>
<script src="https://cdn.jsdelivr.net/npm/texme@0.9.0"></script>
<textarea>
# Euler's Identity
In mathematics, **Euler's identity** is the equality
$$ e^{i \pi} + 1 = 0. $$Nekem az első ami szemet szúrt, hogy nincs html, head, title, body element, amit a régi típusú HTML-nél kötelező elem, illetve a textarea nincs lezárva. Mondom ez így szintaktikailag totál rossz, de kiderült, hogy a W3C megint nagyot alkotott, és most már az ilyesmi is szintaktikailag helyes lehet, kivéve a lezáratlan textarea. Mondom belenézek a kódba mélyebben.
Itt adják meg a kódban az URL-eket a függőségekhez: [link]
options.commonmarkURL =
'https://cdn.jsdelivr.net/npm/commonmark@0.29.2/dist/commonmark.min.js'
options.MathJaxURL =
'https://cdn.jsdelivr.net/npm/mathjax@3/es5/tex-mml-chtml.js'A loadjs amivel by default berántják meg így néz kil: [link]
var loadjs = function (url, callback) {
var script = window.document.createElement('script')
script.src = url
script.onload = callback
window.document.head.appendChild(script)
}Ha visszamegyünk olyan 10-15 évet az NPM előtti időkbe, akkor valahogy így kéne kinézni a példa kódnak:
<!DOCTYPE html>
<script src="https://cdn.jsdelivr.net/npm/commonmark@0.29.2/dist/commonmark.min.js"></script>
<script src="https://cdn.jsdelivr.net/npm/mathjax@3/es5/tex-mml-chtml.js"></script>
<script src="https://cdn.jsdelivr.net/npm/texme@0.9.0"></script>
<textarea>...</textarea>Van benne egyébként más hiba is, de azt most hagyjuk. Amint látható, ebből teljesen világos, hogy berántottuk a fenti függőségeket. Illetve ha letöltjük azokat a fájlokat, akkor ki tudjuk szolgálni az egészet saját szerverről is:
<!DOCTYPE html>
<script src="/script/commonmark.js"></script>
<script src="/script/mathjax.js"></script>
<script src="/script/texme.js"></script>
<textarea>...</textarea>Hogyha valaki megtöri a fenti CDN-t, vagy esetleg a commonmark vagy a mathjax repojába sikerül becsempésznie kártékony kódot, akkor az összes oldal, ami a fenti kódot használja simán be fogja rántani, és a fejlesztők többsége azt sem fogja tudni, hogy ez a commonmark vagy a mathjax függőségek. A package.json-ban a commonmark benne van, de azt csak nodejs-nél rántja be úgy, egyébként a fenti CDN-es címet használja. Mindez alapbeállítás.
A gyakorlatban mióta van NPM (10+ éve) és module bundlerek, azóta úgy szokták csinálni, hogy minden függőséget require()-el rántanak be, és az egészet egy module bundlerrel fűzik össze.
<!DOCTYPE html>
<script src="/script/bundle.js"></script>
<textarea>...</textarea>A bundle.js-nél meg mondjuk be van csomagolva egy main.js, ami így néz ki:
var textme = require("textme");
és a textme.js-en belül is így megy a fenti két függőség betöltése, hogy
var commonmark= require("commonmark");
var mathjax= require("mathjax");És mindegyikből a package.json-ban leírt verziót fogja belecsomagolni és betölteni a bundler. Illetve az NPM-el meg lehet nézni, hogy van e ismert sebezhetőség valamelyik függőségre, van e frissítés hozzá, vagy csak egyszerűen listázni lehet, hogy az oldal milyen könyvtáraktól függ.
Na most írtam a fejlesztőnek, hogy nagyon nem oké így kezelni a függőségeket, meg hogy nem kéne feltalálni a spanyol viaszt ilyen custom JS fájl betöltőkkel, amikor már jó ideje vannak module bundlerek, meg hogy egyébként is sok helyen el fog hasalni, mert a CSP tiltani fogja és nem valami jó gyakorlat, hogy a default beállításban ő egy személyben eldönti, hogy már pedig mindenki CDN-ről rántja be ezeket az egyébként rejtett függőségeket, aki nem olvassa el a dokumentációban az erre vonatkozó apró betűs fél mondatot a huszadik oldal lap alján. Erre persze azt írja, hogy ez így teljesen rendben van, és mondjak valami tényleges sebezhetőséget, amit javíthat. Mondom, hogy ezek alapvető biztonsági elvek, és ha nem érti, akkor én feladom, és inkább használok valami mást. Erre törli a hozzászólásomat, és letiltja a további kommenteket, mondván, hogy milyen sértő és agresszív, amiket írok. Itt tartunk 2021-ben, mindez egy 1.7k csillagot kapott repo a githubon, szóval valószínűleg több ezren használják...
Csak hogy valami proof of concept is legyen, belenéztem a függőségekbe. Tipikusan ezek a markdown-os feldolgozók többféle regexel szoktak működni. A JS regex engine meg sebezhető ReDoS-ra. Annak az a lényege, hogyha nem figyelsz rá a fejlesztésnél, akkor olyan a regex minta, hogy tudsz hozzá olyan stringet csinálni, amivel ítéletnapig molyol rajta a regex engine, esetleg befagyasztja az egész böngészőt. Bár nem lehet minden sebezhető mintát megtalálni, azért vannak rá próbálkozások, pl itt ez a ReDoS checker: [link] A commonmark-nál nézegettem, erre a regex mintára azt írja, hogy sebezhető: [link] Most nincs időm jobban belemászni, hogy milyen string-el lehetne befagyasztani az egészet, de ha igazat adunk neki, akkor van egy ilyen rejtett függőség, amit a tudtunkon kívül ránt be a kódjuk, és amivel ki lehet fagyasztani a weboldalt, ha valaki szivatni akar minket és elküldi kommentben a megfelelő stringet és ráeresztjük a kommentekre is a markdown feldolgozót.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Persze, elterjedt manapság a CDN-ről berántani, de hadd döntsem már el én, hogy akarom e egy külsős CDN-ről, vagy inkább valami olyan helyről csinálom, amire legalább minimális ráhatásom van. Meg azért jó lenne látni, hogy mitől függ a weboldal, nem csak úgy innen-onnan berántani dolgokat on the fly kérdés nélkül.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Indiában sincsenek a helyzet magaslatán a kritikus infrastruktúrák védelme terén. [link]
Buliban hasznos! =]
-
-
sztanozs
veterán
Jó volt ez az online oktatás első nap - estére már biztos jönnek a hírek, hogy elosztott szolgáltatásmegtagadási támadás ért kormányzati oldalakat, azért nem működött az e-kréta (és DKT) egész nap
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Remélem azért a gáz nem fog elmenni, bár most már viszonylag tűrhető az idő, hogy fával kihúzzuk a maradék telet. [link]
[ Szerkesztve ]
Buliban hasznos! =]
-
Wow, a keylogger, amit korábban írtam tesztelési célzattal, 5 helyett már 31 engine detektálja
https://www.coreinfinity.tech
-
-
inf3rno
Topikgazda
Krasznay eleresztett a múltkor egy olyat, hogy a kiberbűnözők nagyon nekilendültek, és már állami szintű eszközöket is használ némelyik, pl célzottan támadnak bizonyos szervezeteket. Ti ezekből érzékeltek valamit?
Buliban hasznos! =]
-
Egon
nagyúr
-
-
inf3rno
Topikgazda
Jó kérdés. Elvileg itt kéne, hogy elérhető legyen, hogy mikor lesz a következő: [link] Viszont most úgy tűnik, mintha elcseszték volna a htaccess beállítást és emiatt végtelen ciklusba került az átirányítás. Szerintem próbáld újra pár nap múlva, addigra csak megtákolják. Addig lehet nézegetni ezt pl: [link] ez is ugyanattól a csapattól van, csak nem annyira pörgős.
Buliban hasznos! =]
-
-
Egon
nagyúr
Jelenleg auditálunk egy állami hivatalt, ahol a minőségbiztosítási portál ki van lógatva a netre, a belépés pedig egy három karakteres (!!!) felhasználónév-jelszó párossal (a kettő ugyanaz) történik.... Vélemény?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Új hozzászólás Aktív témák
- Gitáros topic
- Kerékpárosok, bringások ide!
- OLED TV topic
- A fociról könnyedén, egy baráti társaságban
- Vác és környéke adok-veszek beszélgetek
- Übergyors Samsungnak próbál látszani egy hamisított NVMe SSD
- BestBuy topik
- Lelövi a Roccat márkanevet a Turtle Beach
- Politika
- Projektor topic
- További aktív témák...