Post na forum opartym o MyBB usera “shoes258″ z typowym zagranicznym spamem handlowym (jakieś pierdu-pierdu o ubraniach… i link do strony ). IP chińskie - 34.157.58.59.broad.pt.fj.dynamic.163data.com.cn. E-mail użyty w rejestracji zresztą też. Standard ktoś mógłby rzec… ale ciekawie wyglądają logi webserwera:
Przeczytaj resztę wpisu »

Powoli kolejne usługi w laboratorium integruję z katalogiem pracującym na OpenLDAP. Początkowo z katalogu korzystała tylko Samba udostępniająca dyski sieciowe i zarządzająca domeną Windows. Teraz lista poszerzyła się o… Przeczytaj resztę wpisu »

Polecam do przejrzenia ostatnią lukę w MyBB, a właściwie łatę, czyli wersję 1.2.13. Klasyczna nieefektywna czarna lista.

Przeczytaj resztę wpisu »

IDS na poziomie aplikacji webowej dla serwisu PC Format i NEXT działa już pełną parą… i teraz problem rozbija się o wyłowienie ze stosu zgłoszeń wartościowych informacji.

Przeczytaj resztę wpisu »

Zainteresował mnie ostatnio projekt PHPIDS, czyli IDS dla aplikacji webowej pisanej w PHP. I to nie tylko z uwagi na ostatnie poważne luki w MyBB, ale i w kontekście mojego serwisu, czyli www.pcformat.pl i www.nextmag.pl.

Przeczytaj resztę wpisu »

CERT Polska pisze, że ich ARAKIS wykrył 18 stycznia 2008 r. wykorzystywanie exploita na lukę w MyBB 1.2.10… to są niesłychanie szybcy lub niesłychanie skuteczni, bo exploit ten chodzi w sieci od mniej więcej czerwca-lipca 2007 roku! Nie był wtedy jeszcze opublikowany na np. Milw0rmie - po prostu “korporacje” z Rosji używały go raczej po cichu do budowania mniejszych czy większych botnetów z serwerów WWW. Dodam również, że luka załatana została 8 stycznia. NASK chyba nad tym ARAKIS-em powinien jeszcze popracować… ale doceniamy, doceniamy .

BTW. Proszę się nie sugerować treścią newsa na CERT Polska, że “Zaledwie dwa dni wcześniej upubliczniono informację o luce” - to jest bzdura, chyba, że przez “informację o luce” mają na myśli wrzucenie exploita na Milw0rm itp.

I have just found really beautiful security bug in MyBB - full PHP code injection… exploitable and (shit!) exploited already on some sites (love russian hackers )… With access to “system()” you have access to shell on webserver rights. Great…

Przeczytaj resztę wpisu »

Syslog-ng to rozbudowany i potężny syslog, ale jego otwarta wersja nie wspiera komunikacji po TLS/SSL. Rozwiązaniem jest tunel SSH - postawienie centralnego serwera logowania z pełnym szyfrowaniem transmisji to kilka chwil.

Przeczytaj resztę wpisu »

Wiele osób czasem chciałoby jakiś sprytny, dziurawy kod napisać, a tu nici! Mimo wysiłków aplikacja broni się przed skutecznym exploitem… Warto wtedy zastosować się do rad udzielonych w artykule “How to write insecure code“. Szczególnie nad “Always use default deny” .

P.S. Zalinkowany tam starszy tekst “How to write unmaintainable code” (w celu bycia niezastąpionym) również jest godzien polecenia - więcej w nim humoru i kilka rad… wart zastosowania .

Po niedawnym krótkim wstępie chciałbym przejść do meritum sprawy, czyli konkretnych rozwiązań RBAC na Gentoo.

Przeczytaj resztę wpisu »