Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Cryptonite - RSA algoritmus: a jó paraméterek jellemzői

2014.02.14. 13:37 | buherator | 13 komment

A kriptográfiát fejlesztői, tesztelői, kódelemzői szemmel nézve fontos ismerni azokat az ökölszabályokat, amelyek alapján a függvényeket biztonságosan meg lehet hívni, a jó prímeket ki lehet választani. Pontosan ezen ökölszabályok kerülnek bemutatásra az RSA algoritmus esetén…

Címkék: esemény programozás kriptográfia rsa cryptonite

Nem véletlen!

2013.11.04. 23:37 | buherator | Szólj hozzá!

Első sorban kódelemzések alkalmával előforduló tipikus probléma, hogy különböző kriptográfiai funkciók - legyen szó akár egyszer használatos jelszavakról, munkamenet-azonosítókról vagy ne adj' isten kulcsgenerálásról - ellátására a programozók nem kriptográfiailag…

Címkék: programozás adobe kriptográfia breach prng csprng

Az SSL nehéz

2012.10.28. 10:08 | buherator | 4 komment

A Stanfordi és Texasi egyetemek kutatói közzétettek egy érdekes tanulmányt a különböző SSL/TLS-t alkalmazó könyvtárak, middleware-ek és SDK-k minőségéről. Ezeket a komponenseket számos érzékeny adatot kezelő alkalmazásban megtaláljuk, találkozhatunk velük például banki…

Címkék: ssl java php programozás amazon apache aim tls oscommerce ubercart curl andorid zencart prestashop jsse

Új jelszó hash-elő API a PHP-ban

2012.09.18. 11:45 | buherator | Szólj hozzá!

A jelszó hash-elés a kriptográfiának az a területe, amivel az átleg programozó a legtöbbször találkozik munkája során. Sajnos azonban a kriptográfia nem egyszerű tudomány, elég csak végignéznünk az elmúlt évek adatszivárgási botrányait, hogy lássuk: még mindig a sótlan MD5…

Címkék: php programozás kriptográfia

Privilegizált kontextusban ne deszerializálj!

2011.03.11. 16:57 | buherator | 7 komment

szerializáció (programozás): egy objektum soros formában (tipikusan karakterláncként) történő megjelenítése Sami Koivu megint publikált egy sor kellemetlen módszert a Java  applet sandboxból történő kitörésre. Ezek közül kettő a vágólapon található adatokhoz enged…

Címkék: java programozás

IT Security Coding Contest 2010

2010.11.10. 10:06 | buherator | 4 komment

Ez majdnem kimaradt, de még nem késő jelentkezni: Az ELTE Informatikai Kar Hallgatói Önkormányzata és a kancellar.hu az informatikai biztonság szakértője negyedik alkalommal rendezi meg az IT Security Coding Contest programozói versenyt, más néven a Hackerversenyt, az ELTE…

Címkék: esemény verseny programozás

Jarlsberg - Webes állatorvosi ló a Google-től

2010.05.06. 13:36 | buherator | 3 komment

A Jarlsberg egy Pythonban írt mikroblog alkalmazás a Google-től, amelynek ezúttal nem a mikroblog-társadalom újjáépítése a célja, hanem az, hogy az arra nyitott fejlesztőket bevezesse a biztonságos webalkalmazás-programozás alapjaiba. Az alkalmazás futtatható a Google…

Címkék: programozás jarlsberg

IT-biztonsági programozói verseny

2009.11.17. 09:33 | buherator | 3 komment

Továbbított levél alant:Idén decemberben immár 3. alkalommal kerül megrendezésre az ELTE és akancellar.hu közös 24 órás IT biztonsági programozó versenye = ITSecurity Coding Contest :)A versenyen különböző IT biztonsággal kapcsolatos PROGRAMOZÓIfeladatokat kell megoldani. Nem…

Címkék: verseny programozás kancellár hackerverseny

Mutasd a jelszavad[!/?]

2009.06.28. 19:10 | buherator | 6 komment

Jakob Nielsen "használhatósági szakértő" radikális ötlettel állt elő nem rég: javaslata szerint a felhasználói felületeken fel kellene hagyni a begépelt jelszavak maszkolásával, azaz a kiscsillagok/bonyók megjelenítésével a jelszavak valódi karaktereinek…

Címkék: privacy jelszó programozás

A Microsoft letiltja a memcpy()-t

2009.05.16. 09:20 | buherator | 1 komment

Hányszor láttunk példát arra az esetre, mikor a kezdő kocsmatöltelék, miután cimborája már szupermen pózba szenderedett, kettőjük félsöréből egy hirtelen mozdulattal igyekszik egy egyészet gyártani, nem számolva a hirtelen habzás kockázatával... És hányszor láttunk már…

Címkék: microsoft programozás memcpy

PHP biztonsági javítások

2009.02.27. 21:17 | buherator | Szólj hozzá!

Tegnap megjelent a népszerű PHP szkriptmotor 5.2.9-es verziója, amely néhány biztonsági problémát is orvosol. Ezek közül a legfontosabb egy, az imagerotate() függvényt érintő sebezhetőség, amely a háttérszín nem megfelelő validálásának következtében alkalmat ad arra, hogy a…

Címkék: php patch programozás

Zune - MitÍrKi?

2009.01.03. 13:05 | buherator | 32 komment

A programozás ZH-k szerelmeseinek íme a kódrészlet, ami (állítólag) a Zune dátum paráját…

Címkék: zune programozás

Meglesni a rosszfiút

2008.11.13. 16:00 | buherator | Szólj hozzá!

Didier Stevens blogjában arról ír, hogy hogyan követte nyomon egy malware készítő munkálkodását a PDF fájlok inkrementális frissítési funkcióját kihasználva. Ez a lehetőség alkalmat ad arra, hogy a PDF fájlokban történt változásokat - így a készítő tevékenységét -…

Címkék: programozás malware pdf

Ruby on Rails biztonsági kalauz

2008.11.04. 20:59 | buherator | Szólj hozzá!

Útmutató jelent meg a Ruby on Rails alkalmazások biztonságáról. Az e-book illetve HTML formátumban is elérhető, ingyenes kalauz felkészít többek között a különböző beszúrásos támadások kivédésére, bemutatja a biztonságos munkamenet kezelést, eligazít az adminisztrációs…

Címkék: programozás ruby on rails

Biztonságtechnikai Programozó Verseny

2008.05.05. 14:10 | buherator | 8 komment

Május 10-én 18:00 órától, az ELTE IK hallgatói önkormányzatának szervezésében kerül megrendezésre egy biztonságtechnikai programozó verseny az ELTE legnagyobb géptermében, a Lovardában. A megmérettetésre bármelyik egyetem nappali tagozatos hallgatója jelentkezhet, leginkább…

Címkék: programozás elte biztonságtechnikai programozó verseny

Google XSS - avagy az elhanyagolt Content-type esete

2008.04.16. 09:10 | buherator | Szólj hozzá!

Billy Rios újabb trükköt fedezett fel a Google egyik webes alkalmazásában, ezúttal a Spreadsheets volt az "áldozat". Mivel a Google által beállított munkamenet azonosítók az egész google.com domainre érvényesek, a hiba kihasználsával az összes G-betűs szolgáltatás -…

Címkék: google programozás xss

A GCC optimalizáció biztonsági ellenőrzéseket távolíthat el

2008.04.12. 10:36 | buherator | Szólj hozzá!

Az US-CERT jelentése szerint a GNU Compiler Collection 4.2-es és annál újabb verziói optimalizációs szempontok alapján eltávolíthatnak bizonyos fontos biztonsági ellenőrzéseket a fordított kódból. A problémára már 2006 áprilisában felhívta a figyelmet Felix von Leitner, aki…

Címkék: programozás gcc buffer overflow

Az inicializálatlan verem változó esete

2008.03.12. 10:57 | buherator | 4 komment

Az alábbi cikk a Microsoft SVRD blogon jelent meg: A MS08-014 és CVE 2008-0081 jelű sebezhetőségek egy incializálatlan stack változóból adódó Excel sebezhetőségről szólnak. Már valószínűleg láttál ehhez hasonló figyelmeztetéseket a fordítótól: C:\temp>cl stack.cpp…

Címkék: programozás excel cplusplus

Féregszaporító verseny - eredmények

2008.01.11. 11:04 | buherator | Szólj hozzá!

Véget ért a sla.ckers.org féregszaporító versenye, a dobogó első fokára pedig Giorgio Maone és Sirdarckcat közösen állhatnak, a maguk 161 byte hosszú kódjával: <form><input name="content"><img src="" _fcksavedurl=""…

Címkék: programozás worm xss

Féregszaporító verseny

2008.01.05. 15:45 | buherator | 3 komment

RSnake kiírt egy kis versenyt a sla.ckers fórumon, melynek célja egy minél rövidebb önreprodukáló XSS féreg létrehozása. A hangsúly az önreprodukción van, tehát a "hasznos rakomány" (payload) nem érdekes, a cél az, hogy az injektált kód reprodukálja magát. A versen…

Címkék: programozás worm xss

A biztonságos programozás folyamatábrája

2007.08.29. 19:02 | buherator | Szólj hozzá!

A The Hackers Webzine blogon jelent meg a következő, a biztonságos bemeneti validálást bemutató folyamatábra, ami hasznos lehet bármelyik programfejlesztőnek:

Címkék: programozás

Rosszul implementált Ruby on Rails függvények

2007.08.17. 14:17 | buherator | Szólj hozzá!

Az egyre népszerűbb Ruby on Rails több szövegmanipuláló függvénye alkalmatlannak bizonyult a bemenetek megfelelő szűrésére. Ezek közül a legfontosabbak a strip_tags, strip_links és sanitize függvények, melyek gyakran szolgálják a felhasználói bemenetek szűrését. A…

Címkék: programozás ruby

süti beállítások módosítása