Články


Nejnovější články

Jak ukrýt libovolné soubory do obrázku

16.3.2017 | .cCuMiNn.

Je až s podivem, jak jednoduše lze ukrýt libovolná data do grafického souboru. A to nemluvím o nějaké krutopřísné steganografii, ale o obyčejném spojení dvou souborů běžným kopírováním.

Rubrika: Ostatní | Comments: 14 | Viewed: 2896x | Rate: 1.62/42

Apache, MultiViews a jeden bezpečnostní problém

7.3.2017 | .cCuMiNn.

Znáte to… Přijde požadavek na rychlou změnu informací na homepage Vašeho webu, a vás nenapadne nic lepšího, než provést tuto změnu přímo v produkčním prostředí. Co když se ale něco zvrtne a web pak nebude fungovat tak, jak má?

Rubrika: Hacking | Comments: 0 | Viewed: 2028x | Rate: 1.13/8

PTWA: Hledání subdomén

19.1.2017 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 1 | Viewed: 2305x | Rate: 1.56/9

PTWA: Mapování aplikace

29.11.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 0 | Viewed: 3380x | Rate: 1.11/9

Kniha: Efektivní testování softwaru

11.11.2016 | .cCuMiNn.

Knih o testování softwaru se v posledních několika letech objevilo na našem trhu hned několik. Nejnovější z nich nesoucí název Efektivní testování softwaru od autorů Miroslava Bureše, Miroslava Rendy, Michala Doležela a dalších přináší detailní náhled na jednotlivé fáze testovacího procesu z pohledu manažera testování.

Rubrika: Knihy | Comments: 0 | Viewed: 3204x | Rate: 1/1

Local Session Poisoning - Shared sessions

25.10.2016 | .cCuMiNn.

Na Internetu jsou miliony webových stránek hostovány na sdílených serverech (webhostingu). Čím dál častěji se ale objevují také nejrůznější cloudové služby, které nabízejí standardizované webové aplikace běžící na serverech poskytovatelů. Na každém z těchto sdílených serverů se pak nachází klidně i tisíce webových aplikací, přičemž existuje množství různých typů útoků, které umožňují získat neoprávněný přístup z jedné hostované aplikace do jiné. Tento text si klade za cíl popsat jeden takový typ útoku pojmenovaný Local Session Poisoning, jenž útočníkům na těchto serverech umožňuje provádět authorization bypass.

Rubrika: Hacking | Comments: 7 | Viewed: 4582x | Rate: 1.52/25

X86-64 podle manuálů Intel

26.9.2016 | mazegen

Překvapuje mě, jak málo programátorů v assembleru při práci používá asi nejkvalitnější zdroj infomací - oficiální procesorové manuály, ať už od Intelu nebo AMD.

Rubrika: Assembler | Comments: 2 | Viewed: 4156x | Rate: 3.75/36

Enumerace souborů s krátkým názvem na IIS

21.9.2016 | .cCuMiNn.

Webový server IIS od Microsoftu trpí již od své páté verze zranitelností Microsoft IIS tilde vulnerability, která útočníkům umožňuje enumerovat názvy složek a souborů uložených na zranitelném serveru. Umožňuje ale i jiné věci.

Rubrika: Hacking | Comments: 2 | Viewed: 3097x | Rate: 3/2

MS Office DoS a možná i něco víc

1.9.2016 | .cCuMiNn.

Pojďme si dát pouze takovou malou zajímavost, která může být k smíchu, nebo možná spíše k pláči. Záleží na úhlu pohledu…

Rubrika: Hacking | Comments: 1 | Viewed: 5375x | Rate: 1/5

PTWA: Povolené HTTP metody

15.8.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 2 | Viewed: 3863x | Rate: 1.2/10

PTWA: Identifikace dalších technologií

2.8.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 0 | Viewed: 3040x | Rate: 1.14/7

PTWA: Identifikace webové aplikace

22.7.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 0 | Viewed: 2866x | Rate: 1.17/6

PTWA: Identifikace jazyka a frameworku

20.7.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 0 | Viewed: 2498x | Rate: 1.33/3

PTWA: Identifikace webového serveru

13.7.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 0 | Viewed: 2934x | Rate: 1.08/12

Programování mikrokontrolérů architektury AVR (8)

1.7.2016 | Prog0el

Tento díl nás seznámí s metodou, kterou lze měřit napětí v o mnoho více úrovních, než dvou (logických 0 a 1). Součástí článku bude také stavba jednoduchého voltmetru, který je i sám o sobě užitečnou pomůckou.

Rubrika: Elektronika | Comments: 0 | Viewed: 2655x | Rate: 1.33/3

PTWA: Průzkum prostředí

26.5.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 1 | Viewed: 4095x | Rate: 1.07/14

PTWA: Software a bezpečnost

24.5.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 1 | Viewed: 4117x | Rate: 1.1/10

Programování mikrokontrolérů architektury AVR (7)

20.5.2016 | Prog0el

Ve čtvrtém díle našeho seriálu jsme si popsali řízení sedmisegmentového displaye. Tento display je ovšem nevhodný k zobrazování textu. Řízení zobrazovače, který si popíšeme, již bude probíhat na vyšší úrovni a nebudeme muset řešit multiplexování, čímž dojde k výrazné úspoře času procesoru.

Rubrika: Elektronika | Comments: 0 | Viewed: 3486x | Rate: 1.57/7

Too big cookie value

23.4.2016 | .cCuMiNn.

Velká hodnota uložená do cookie může způsobit mnoho komplikací počínaje únikem informací o běžícím webovém serveru, přes krádež obsahu session cookies chráněných příznakem HttpOnly, až po odepření služeb (DoS) uživatelům.

Rubrika: Hacking | Comments: 3 | Viewed: 3717x | Rate: 1.06/16

Programování mikrokontrolérů architektury AVR (6)

11.4.2016 | Prog0el

Pokud jste již někdy přemýšleli nad jednoduchým způsobem, jak zprovoznit komunikaci mezi mikrokontrolérem a osobním počítačem, pak je tento článek o rozhraní USART přesně pro vás.

Rubrika: Aktuality | Comments: 11 | Viewed: 3878x | Rate: 1.57/7

Jak zničit konkurenci pomocí „hezkých“ URL

11.4.2016 | .cCuMiNn.

„Hezká“ URL jsou součástí většiny moderních webových aplikací. I v jejich implementaci se lze ale dopustit mnoha chyb. Jednou z nich je například reflektování URL, které protivníkovi umožní zaindexovat na Google neexistující URL adresy a tím znepřístupnit cílový web části uživatelů.

Rubrika: Hacking | Comments: 0 | Viewed: 5775x | Rate: 1.37/41

Programování mikrokontrolérů architektury AVR (5)

15.3.2016 | Prog0el

Pátý díl našeho seriálu o mikrokontrolérech bude zaměřen na všestranně využitelnou periferii nazvanou čítač/časovač a budeme jej, mimo jiné, používat ke generování pulzně-šířkově modulovaného signálu, který umožňuje realizovat regulátor o vysoké účinnosti. Část dílu bude věnována také elektronice, jelikož mikrokontroléry nejsou pouze o programování.

Rubrika: Elektronika | Comments: 1 | Viewed: 3854x | Rate: 1/2

Zranitelnosti a útoky spojené se session managementem

13.3.2016 | .cCuMiNn.

Tento text si klade za cíl seznámit čtenáře s nejčastějšími hrozbami, které se ve webových aplikacích týkají session managementu.

Rubrika: Hacking | Comments: 5 | Viewed: 4407x | Rate: 1.1/20

HTTP Response Splitting

23.2.2016 | .cCuMiNn.

Zranitelnost HTTP Response Splitting je často označována také za CRLF injection, protože je při jejím zneužití využíváno bílých znaků CR a LF pro přechod na nový řádek. Ve skutečnosti je zranitelnost HTTP Response Splitting pouze podmnožinou zranitelností známých jako CRLF injection.

Rubrika: Hacking | Comments: 0 | Viewed: 4987x | Rate: 2.6/5

Open Redirect

20.2.2016 | .cCuMiNn.

Zranitelnost Open Redirect umožňuje útočníkovi podvrhnout oběti takový odkaz, který se tváří, že směřuje na důvěryhodnou doménu, přestože se po kliknutí na něj uživatel ocitne zcela jinde. Zneužití Open Redirectu umožňuje útočníkovi ale daleko více než jen to.

Rubrika: Hacking | Comments: 2 | Viewed: 5307x | Rate: 1/7

PHP Code Execution

18.2.2016 | RubberDuck

Tento článek si klade za cíl popsat obecnou skupinu chyb umožňující v konečném důsledku vykonat PHP kód na náchylném serveru. Důležité je uvědomit si, že tato chyba se nevztahuje pouze na programovací jazyk PHP, ale postihuje prakticky každý jazyk použitý pro vytvoření webových stránek. Článek popisuje chyby typu Local File Inclusion (LFI), Remote File Inclusion (RFI), Local File Disclosure (LFD), Log Poisoning, Command Execution, Denial of Service (DoS), Session Poisoning, wrappery a další.

Rubrika: Hacking | Comments: 5 | Viewed: 3876x | Rate: 2.25/8

SQL Injection (Full Paper)

17.2.2016 | RubberDuck

Pokus o co možná nejkomplexnější popis bezpečnostní chyby známé jako SQL Injection. Článek se zabývá jak běžnými typy SQL injection, tak některými speciálnějšími a méně známými technikami.

Rubrika: Hacking | Comments: 2 | Viewed: 5541x | Rate: 1/11

PTWA: Testování softwaru

16.2.2016 | .cCuMiNn.

Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Rubrika: Penetrační testování | Comments: 2 | Viewed: 2737x | Rate: 1.67/3

Full Path Disclosure (FPD)

13.2.2016 | .cCuMiNn.

Zranitelnost webových aplikací známá jako Full Path Disclosure, nebo pod zkratkou FPD se řadí mezi hrozby s informační severitou. Pouhým zneužitím této jediné slabiny Vám totiž útočník není schopen nijak uškodit. FPD ale může poskytnout dobrý odrazový můstek při zneužívání dalších mnohem závažnějších zranitelností.

Rubrika: Hacking | Comments: 1 | Viewed: 2861x | Rate: 1.71/7

Programování mikrokontrolérů architektury AVR (4)

10.2.2016 | Prog0el

V tomto díle bude vysvětlena další stěžejní část programovacího jazyka C, kterou jsou funkce. Naučíme se obsluhovat asynchronní události pomocí přerušení a popíšeme si také přerušovací systém mikrokontrolérů AVR. Datový výstup již nebudou pouze jednotlivé LED diody, ale sedmisegmentová zobrazovací jednotka, kterou se naučíme řídit.

Rubrika: Elektronika | Comments: 2 | Viewed: 2899x | Rate: 1/2