Továbbított levél alant: Idén decemberben immár 3. alkalommal kerül megrendezésre az ELTE és a kancellar.hu közös 24 órás IT biztonsági programozó versenye = IT Security Coding Contest :) A versenyen különböző IT biztonsággal kapcsolatos PROGRAMOZÓI feladatokat kell megoldani....

Jakob Nielsen "használhatósági szakértő" radikális ötlettel állt elő nem rég: javaslata szerint a felhasználói felületeken fel kellene hagyni a begépelt jelszavak maszkolásával, azaz a kiscsillagok/bonyók megjelenítésével a jelszavak valódi karaktereinek megjelenítése...

Hányszor láttunk példát arra az esetre, mikor a kezdő kocsmatöltelék, miután cimborája már szupermen pózba szenderedett, kettőjük félsöréből egy hirtelen mozdulattal igyekszik egy egyészet gyártani, nem számolva a hirtelen habzás kockázatával... És hányszor láttunk már...

Tegnap megjelent a népszerű PHP szkriptmotor 5.2.9-es verziója, amely néhány biztonsági problémát is orvosol. Ezek közül a legfontosabb egy, az imagerotate() függvényt érintő sebezhetőség , amely a háttérszín nem megfelelő validálásának következtében alkalmat ad arra, hogy...

A programozás ZH-k szerelmeseinek íme a kódrészlet, ami ( állítólag ) a Zune dátum paráját okozta: BOOL ConvertDays(UINT32 days, SYSTEMTIME* lpTime) {     int dayofweek, month, year;     UINT8 *month_tab;     //Calculate current day of the week

Didier Stevens blogjában arról ír , hogy hogyan követte nyomon egy malware készítő munkálkodását a PDF fájlok inkrementális frissítési funkcióját kihasználva. Ez a lehetőség alkalmat ad arra, hogy a PDF fájlokban történt változásokat - így a készítő tevékenységét -...

Útmutató jelent meg a Ruby on Rails alkalmazások biztonságáról. Az e-book illetve HTML formátumban is elérhető, ingyenes kalauz felkészít többek között a különböző beszúrásos támadások kivédésére, bemutatja a biztonságos munkamenet kezelést, eligazít az...

Május 10-én 18:00 órától, az ELTE IK hallgatói önkormányzatának szervezésében kerül megrendezésre egy biztonságtechnikai programozó verseny az ELTE legnagyobb géptermében, a Lovardában. A megmérettetésre bármelyik egyetem nappali tagozatos hallgatója jelentkezhet, leginkább...

Billy Rios újabb trükköt fedezett fel a Google egyik webes alkalmazásában, ezúttal a Spreadsheets volt az "áldozat". Mivel a Google által beállított munkamenet azonosítók az egész google.com domainre érvényesek, a hiba kihasználsával az összes G-betűs szolgáltatás - pl. a...

Az US-CERT jelentése szerint a GNU Compiler Collection 4.2-es és annál újabb verziói optimalizációs szempontok alapján eltávolíthatnak bizonyos fontos biztonsági ellenőrzéseket a fordított kódból. A problémára már 2006 áprilisában felhívta a figyelmet Felix von Leitner, aki...

Az alábbi cikk a Microsoft SVRD blogon jelent meg: A MS08-014 és CVE 2008-0081 jelű sebezhetőségek egy incializálatlan stack változóból adódó Excel sebezhetőségről szólnak. Már valószínűleg láttál ehhez hasonló figyelmeztetéseket a fordítótól:...

Véget ért a sla.ckers.org féregszaporító versenye , a dobogó első fokára pedig Giorgio Maone és Sirdarckcat közösen állhatnak, a maguk 161 byte hosszú kódjával: <form><input name="content"><img src="" _fcksavedurl=""...

RSnake kiírt egy kis versenyt a sla.ckers fórumon, melynek célja egy minél rövidebb önreprodukáló XSS féreg létrehozása. A hangsúly az önreprodukción van, tehát a "hasznos rakomány" (payload) nem érdekes, a cél az, hogy az injektált kód reprodukálja magát. A versen január...

A The Hackers Webzine blogon jelent meg a következő, a biztonságos bemeneti validálást bemutató folyamatábra, ami hasznos lehet bármelyik programfejlesztőnek:...

Az egyre népszerűbb Ruby on Rails több szövegmanipuláló függvénye alkalmatlannak bizonyult a bemenetek megfelelő szűrésére. Ezek közül a legfontosabbak a strip_tags, strip_links és sanitize függvények, melyek gyakran szolgálják a felhasználói bemenetek szűrését. A...