18 lutego 2008, by: 
kozik Zainteresował mnie ostatnio projekt PHPIDS, czyli IDS dla aplikacji webowej pisanej w PHP. I to nie tylko z uwagi na ostatnie poważne luki w MyBB, ale i w kontekście mojego serwisu, czyli www.pcformat.pl i www.nextmag.pl.
Przeczytaj resztę wpisu o "IDS dla aplikacji webowej w PHP" »
Wysłano w Blog - Web | Tagi: bezpieczeństwo, mybb, next, open-source, pc format, praca, programowanie, www | 
2 komentarzy »
24 stycznia 2008, by: kozik CERT Polska pisze, że ich ARAKIS wykrył 18 stycznia 2008 r. wykorzystywanie exploita na lukę w MyBB 1.2.10… to są niesłychanie szybcy lub niesłychanie skuteczni, bo exploit ten chodzi w sieci od mniej więcej czerwca-lipca 2007 roku! Nie był wtedy jeszcze opublikowany na np. Milw0rmie – po prostu „korporacje” z Rosji używały go raczej po cichu do budowania mniejszych czy większych botnetów z serwerów WWW. Dodam również, że luka załatana została 8 stycznia. NASK chyba nad tym ARAKIS-em powinien jeszcze popracować… ale doceniamy, doceniamy 
.
BTW. Proszę się nie sugerować treścią newsa na CERT Polska, że „Zaledwie dwa dni wcześniej upubliczniono informację o luce” – to jest bzdura, chyba, że przez „informację o luce” mają na myśli wrzucenie exploita na Milw0rm itp.
Wysłano w Blog - Web | Tagi: bezpieczeństwo, mybb, wtf, www | 5 komentarzy »
7 stycznia 2008, by: kozik I have just found really beautiful security bug in MyBB – full PHP code injection… exploitable and (shit!) exploited already on some sites (love russian hackers )… With access to „system()” you have access to shell on webserver rights. Great…
Przeczytaj resztę wpisu o "Another fu***g 0-day security bug in MyBB" »
Wysłano w Blog - Web | Tagi: bezpieczeństwo, mybb, programowanie, wtf, www | 2 komentarzy »
25 listopada 2007, by: kozik Syslog-ng to rozbudowany i potężny syslog, ale jego otwarta wersja nie wspiera komunikacji po TLS/SSL. Rozwiązaniem jest tunel SSH – postawienie centralnego serwera logowania z pełnym szyfrowaniem transmisji to kilka chwil.
Wysłano w Blog - Linux i Unix | Tagi: bezpieczeństwo, linux, open-source, praca | Brak komentarzy »
6 października 2007, by: kozik Wiele osób czasem chciałoby jakiś sprytny, dziurawy kod napisać, a tu nici! Mimo wysiłków aplikacja broni się przed skutecznym exploitem… Warto wtedy zastosować się do rad udzielonych w artykule „How to write insecure code„. Szczególnie nad „Always use default deny” .
P.S. Zalinkowany tam starszy tekst „How to write unmaintainable code” (w celu bycia niezastąpionym) również jest godzien polecenia – więcej w nim humoru i kilka rad… wart zastosowania .
Wysłano w Blog - Kozik | Tagi: bezpieczeństwo, programowanie, wtf | Brak komentarzy »
16 lipca 2007, by: kozik Po niedawnym krótkim wstępie chciałbym przejść do meritum sprawy, czyli konkretnych rozwiązań RBAC na Gentoo.
Wysłano w Blog - Linux i Unix | Tagi: bezpieczeństwo, linux | Brak komentarzy »
14 lipca 2007, by: kozik Może zacznę z innej beczki: na PW na zajęciach prowadzonych przez ato przygotowywało się pod koniec sprawozdanie z projektu. Było to albo sprawko opisujące wykonaną pracę albo… sprawozdanie z porażki.
Hartując moje serwery doszedłem do bardzo ważnego punktu – implementacji RBAC i/lub MAC. Pierwsze podejście skończyło się właśnie porażką i rozpocznijmy sprawozdanie z niej. Cześć pierwsza.
Wysłano w Blog - Linux i Unix | Tagi: bezpieczeństwo, linux | Brak komentarzy »
10 maja 2007, by: kozik Ziemskie systemy informatyczne wydają się już nudne… czas iść wyżej!
Wysłano w Blog - Kozik | Tagi: bezpieczeństwo, wtf | Brak komentarzy »
24 kwietnia 2007, by: kozik To kolejny w przyciągu ostatniego miesiąca exploit na lukę 0-day (bez łaty od producenta) w MyBB. Tym razem – SQL Injection… Linka do exploita nie podam, ale za to:
W pliku calendar.php ZNAJDŹ:
$eid = intval($mybb->input['eid']);
PONIŻEJ DODAJ:
if (isset($mybb->input['day']))
$mybb->input['day'] = intval($mybb->input['day']) ;
Update (25 kwietnia):
MyBB wypuściło uaktualnienie (do wersji 1.2.6).
Wysłano w Blog - Web | Tagi: bezpieczeństwo, mybb, www | 2 komentarzy »
11 kwietnia 2007, by: kozik Regularnie czytuję BugTraq poprzez SecurityFocus i nigdy nie trafiłem na tak lamerskie maile…
Przeczytaj resztę wpisu o "Najdebilniejszy mail na BugTraq?" »
Wysłano w Blog - Kozik | Tagi: bezpieczeństwo, wtf | 1 komentarz »
© 2002 - 2012 Krzysztof Kozłowski
