Sajnos most egy szkriptsuttyó volt a gyorsabb :( Zoli levele: A www.otdt.hu kezdőlapján már szembetűnik egy deface, viszont kb fél 2 mp próbálkozással sikerült megtalálni a www.otdt.hu/admin felületet, ahol egy hihetetlen egyszerű sql injection hibával be lehet lépni. Gondoltam…

Német kutatók súlyos hibákat fedeztek fel az Amazon Web Services-ben és az Ubuntu cloudjában is használt Eucalyptus platformban. A legkritikusabb - azóta már javított - sebezhetőségek ún. XML Signature Wrapping támadásokra adtak lehetőséget. Ezek a szolgáltatások SOAP…

Már az Index is megírta: Két amerikai műhold vezérléséhez férhettek hozzá rövid időre számítógépes kalózok, feltehetően a kínai hadsereg megbízásából - áll a washingtoni kongresszus elé terjesztendő jelentéstervezetben, amelyet csütörtökön szivárogtatott ki az…

Az Electronic Frontier Foundation jelentése szerint június óta legalább négy CA-nál észleltek jogosulatlan tanúsítvány-kibocsátást - ehhez képest a nagyérdemű egy ilyen esetről, a DigiNotar-éról hallhatott (volt még egy Comodo is, de az június előtti eset). Az eredmények az SSL…

Az utóbbi napokban beesett több, a Facebook biztonságával kapcsolatos hír, melyek egyrészt remek poszttémaként szolgálnak, másrészt viszont előhozzák belőlem a Vágó Istvánt :) Elsőnek ott van Nathan Power által felfedezett hiba, melynek segítségével nem megengedett…

Megjelent a Tor legújabb változata, amely több anonimitást érintő biztonsági problémát orvosol, ezért mindenkinek javasolt a frissítés. A most javított problémáknak nincs köze a francia ESIEA kutatói által bejelentett, felhype-olt támadáshoz, a veszély ebben az esetben viszont…

Aki ismer, az tudja, hogy egy jó ír sörrel mindig mosolyt lehet csalni az arcomra, így a szokásosnál is fájóbb szívvel kell tudomásul vennem, hogy az Irish Cat Pub már egy hete nem válaszol a megkeresésemre. Attilla hívta fel a figyelmemet erre a nem kifejezetten szívderítő…

A The Hackers Choice nyilvánosságra hozta SSL DoS eszközét (TLS-el is működik), amely a titkosított kapcsolatok létrehozásakor a csatlakozó kliens és a szerver között fellépő számításigénybeli aránytalanságokra épül. A THC szerint egy átlagos kiszolgáló nagyjából 300…

Kaptam a témában pár keresési találatot, szóval adjunk a SEO-nak :)  Feross Aboukhadijeh egy trükkös clickjacking támadást eszelt ki az Adobe Settings Managere ellen, melnyek segítségével a felhasználó rávehető, hogy bekapcsolja a webkameráját, anélkül, hogy tudna erről. A…

 Reméltem, hogy nem jut el a magyar médiába a hír, mielőtt megjelennek a részletek... A ESIEA francia kutatói felfedeztek és sikeresen kihasználtak néhány súlyos sérülékenységet a TOR hálózatban. A sérülékenységeket kihasználva készítettek egy listát a hálózatról…

Tibor Jager és Somorovsky Juraj olyan problémát demontráltak a World Wide Web Consortium által szabványosított XML titkosítási eljárásával kapcsolatban, amely lehetővé teszi a titkosított üzenetek kulcs nélkül történő megfejtését. Ugyan a kutatási anyag egyelőre nem érhető…

Az utóbbi napok elég izgalmasan teltek: mint kiderült, a világon elsőként a BME-n működő CrySys labor munkatársai észlelték és elemezték ki a Stuxnet utódjának tekintett DuQu trójait - nem kell kontógyárosnak lenni ahhoz, hogy feltételezzük, a kötvetkező virtuális…

Íme a második Hacktivity Wargame megoldás videó:  Pár megjegyzés:Nyilvánvaló megoldás lehetne a HTTP proxy felfedezésére a webszerver OPTIONS metódusa, azonban sok esetben - és ebben a példában is - a kiszolgáló bizony hazudik saját képességeit illetően.A localhoston…

 Sup3rn4tural küldte a következőt:Hali! Minap nézelődtem a CBA weboldalán és elég egyszerűen sikerült bejutnom, a webáruházuk admin felületére. (Egyszerű sql injection, amit bárki meg tud csinálni..) A jelszavak md5 ben vannak tárolva, körülbelül 30 "admin"…

Itt a Stuxnet utóda, woop-woop-woop-woop-woop! Szóval a Symantec-nél kielemeztek egy trójait, melynek komponensei nagyfokú hasonlóságot, néhány esetben pedig teljes bináris egyezést mutatnak a Stuxnettel. A kártevőt DuQu-nak nevezték el, az általa létrehozott, ~DQ kezdetű fájlok…

A szép emlékű (bár én nem sokra emlékszem...) Zöld Pardon egykori weboldalával kapcsolatban nem is egy hibajelentést kaptam, és küldtem, és bár az üzemeltetők válaszra se méltattak, valahogy soha nem jutottam el a posztolásig - a pofátlan csúszásért ezúton kérnék elnézést!…

Ígéretemhez híven íme az első megoldás videó:  Néhány extra tipp/trükk/kulisszatitok:Ez a műfaj alapvetően a kreativitásról szól, de azért néha nem árt, ha észben tartod, mi mindenről olvastál az elmúlt években ;)Az SSH szerver azért olyan dög lassú, mert több száz…

Az Apple tegnap és ma számos frissítést tett közzé különböző termékeihez, köztük az OS X-hez, a Safarihoz és az iOS-hez. A több száz hibajavítás között találunk foltott két éves BIND hibára, de olyan újdonságnak számító változtatások is bekerültek a csomagba, mint a…

ITCafé: Az bizonyos, hogy 2011. október 12. nem fog bekerülni a Sony aranykönyvébe, ugyanis a cég két súlyos incidenst volt kénytelen elismerni: egyrészt bejelentették, hogy 1,6 millió, 2007 óta Európában eladott Bravia LCD-televíziót kénytelenek visszahívni, ugyanis a…

Beköszöntött a hideg, de a Microsoft egy nagy adag frissítéssel gondoskodik róla, hogy égjen a kezünk alatt a munka. A szokásos javítócsomagok mellett megjelent a Microsoft Security Intelligence Report legfrissebb kiadása is, melynek tanúsága szerint a támadások 99%-a még mindig…

Ismeretlen támadók hozzáfértek a WineHQ, a népszerű nyílt-forrású Windows emulátor adatbázisaihoz. Jeremy White levele szerint a támadás a phpMyAdmin alkalmazáson keresztül érkezett, egy kompromittált felhasználói hozzáférésen, vagy egy eddig ismeretlen phpMyAdmin hibán…

A Chaos Computer Club megszerezte és kielemezte a német kormány által fejlesztett, Quellen-TKÜ névre keresztelt "lehallgató eszközt". A CCC már 2008 óta figyelemmel kíséri a szoftver fejlesztését. A német alkotmánybíróság három éve kimondta, hogy az állampolgárok…

A Context csapata olyan hibát fedezett fel az Apache webszerver mod_rewrite moduljában, amely bizonyos konfigurációk esetén hozzáférést enged Internet felől egyébként elérhetetlen belső hálózati hosztokhoz. A probléma tipikusan akkor jelentkezik, amikor egy Apache reverse proxy…

SGHCToma jóvoltából elolvashatjátok az idei Hacktivity CTF pályáinak részletes megoldásait: A selejtezőn (itt került kiválasztásra a legjobb 10 csapat) egyetlen gépet kellett root-ra törni. Ehhez  először is túl kellett lendülni azon, hogy a gépen kilátszó webszerver…

Ez annyira fájdalmas, hogy muszáj kiraknom: A fiatal tehetségek támogatása mindig szép gesztus egy-egy vállalat részéről, ezeket a kezdeményezéseket én is mindig szívesen propagálom. Nem rég megosztottam Twitteren az idei Ericsson programozóbajnokság kiírását, amire nem sokkal…