Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Jarlsberg - Webes állatorvosi ló a Google-től

2010.05.06. 13:36 | buherator | 3 komment

A Jarlsberg egy Pythonban írt mikroblog alkalmazás a Google-től, amelynek ezúttal nem a mikroblog-társadalom újjáépítése a célja, hanem az, hogy az arra nyitott fejlesztőket bevezesse a biztonságos webalkalmazás-programozás alapjaiba. 

Az alkalmazás futtatható a Google AppEngine-jében, vagy helyi gépen is, a különböző hibákat pedig egy sor feladat végrehajtása közben lehet felkutatni. A feladatok először csak egy teljesítendő célt definiálnak, ha reménytelennek érezzük a dolgot, egy-két segtséget is igénybe vehetünk, végül megnézhetjük a teljes exploit-ot, és ami a legfontosabb, a javítás módját is. 

A program összeállításánál első sorban a tisztán webes sérülékenységekre fókuszálnak, és olyan kevésbé ismert problémákat is kiveséznek, mint a CSSI (Cross-Site Script Injection) vagy a CSRF (Cross-Site Request Forgery). Az SQL injection ugyanakkor kimaradt (a feladatok közül, szó azért esik róla), mivel az alkalmazás nem használ SQL-t - ezt sajnálom, bár tény, hogy az SQL injection nem egy kizárólag webet érintő probléma.

Szerintem jó alap lehet ez bármelyik webfejlesztőnek, a Python szintaxisa pedig kellően jól olvasható és általános ahhoz, hogy bármelyik, más nyelvben jártas kóder kiigazodjon rajta.

Címkék: programozás jarlsberg

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2010.05.06. 14:51:25

if ('CSSI' === 'XSS' ) {
print 'Pls edit the post'
}
else {
print 'WTF is CSSI?'
}

buherator · http://buhera.blog.hu 2010.05.06. 15:12:15

@|Z|: Nézd meg a challenge-eket (én is azt tettem), a lényeg akövetkező:

A oldal dinamikusan generál erőforrásokat (pl. JavaScripteket), amikbe (ha be van jelentkezve a felhasználó) belepakol mindenféle érzékeny cuccot is. Erre a generált szkriptre hivakozhatunk egy külső oldalon (script src), majd tetszés szerint felülírhatjuk a kliens oldali változókat függvényeket, etc. ilyen módon pedig hozzáférhetünk az érzékeny adatokhoz. A dolog leginkább a CSRF-re hasonlít.

_2501 2010.05.07. 10:58:35

Én úgy gondolom hogy az NVC-k nagy számú megjelenésért és az XSBS jelenségért elsősorban az NVP-k egy szélsőséges rétegében (SIRW) divatos IVDS szindróma tehető felelőssé. :)

glossary:
NVC - New Vulnerability Class
XSBS - Cross Site Buzzword Spreading
NVP - Narcissistic Vulnerability Pimp
SIRW - Security Industry Reputation Warrior
IVDS - Insane Vulnerablity Denomination Syndrome