Spala Ferencblog.hu user profil

Adatok

Spala Ferenc

6 bejegyzést írt és 6 hozzászólása volt az általa látogatott blogokban.

2011.03.02. óta tag.

Admin Szerkesztő Tag Vendég

BuheraBlog BuheraBlog 0wned 2012.02.27 15:52:04

Nagyjából a blog indulása óta vártam erre: 0xFF admin jogosultságot szerzett a BuheraBlogon: Ehhez nem kellett más, mint egy jól elhelyezett CSRF támadás (óvatosan kattintsatok!). Szerencsére a kollegialitás győzedelmeskedett, azonnal jelzést kaptam a helyzetről, és még a…..

Spala Ferenc 2012.02.27 21:03:13

csatlakozom, hatalmas respect a blog.hu csapatnak a hozzáállásért :)

Alice és Bob Hacker etimológia 2011.08.15 11:09:00

Én eddig elsősorban technikai dolgokról írtam, de álljon itt most valami más. A Hacktivity szervezése kapcsán sokszor belefutunk különböző sztereotípiákba a hackerekkel (és így a Hacktivityvel) kapcsolatban is. (Arra most nem térnék ki, hogy ezeket az előítéleteket, fals…..

Alice és Bob Ethical Hacking vs. Penetration Testing 2011.08.09 09:23:00

Érdekes ez a két fogalom, mindennap használjuk őket, de vajon helyesen-e. Egyáltalán mi az hogy „helyes”? Ki mondja meg, hogy melyiket mikor lehet/kell/tilos használni? Hát nem tökmindegy? Őőő.. de, mindegy, vagy mégsem. Egy ideje már itthon is elkezdődött egyfajta…..

Alice és Bob Oracle adatbázis érdekességek, avagy mitől őszül a kezdő DBA – part 5 2011.06.28 16:39:00

[A sorozat korábbi részei itt, itt és itt meg itt]Az előző részhez hasonlóan, most is egy kis érdekességgel készültem. Viszonylag sok 1 napos villám Oracle auditot csinálunk mostanság itthon is és külföldön is. Az a mondás, hogy ilyenkor csak a legfontosabb dolgokat nézzük meg…..

BuheraBlog Mitévő legyek? 2011.06.23 18:06:00

A blog lassan négy éves történetében eddig nagyjából száz "gray-hat" hibajelentést juttatam el kisebb-nagyobb cégeknek. Meggyőződésem, hogy ezzel minden esetben sikerült hozzájárulnunk - többes szám, hiszen a hibajelzések általában tőletek érkeznek, kedves olvasóim!…..

Spala Ferenc 2011.06.24 10:20:26

Srácok, nem azzal van a baj, hogy Buhera vagy bárki nem tud anonim módon levelet küldeni, azért ezt technikai miatt módosult aggyal is meg tudjuk ugrani :)
A probléma az, hogy név nélkül is mindeki tudni fogja / megtudhatja ki áll mögötte, ahogy Buhera is írta. Nem sokan mozgolódnak itthon ilyen világos szürke kalapban :)
Inkább abba az irányba kellene menni, hogy Hungarisztán apró lakóival megértetni, hogy az aki talál egy hibát, majd ahelyett hogy rommá törné a cuccot és felrakná torrentre az adatbázist, ír egy levelet, amiben ne adj' isten még azt is leírja, hogy mit kellene máshogy csinálni, na ő is "jófiú", nem csak azok, akik ITSec cégnél dolgoznak és szerződéssel, megrendelelésre csinálják a dolgot.

Én magamból indulok ki, van egy autóm, ha egyik reggel egy levél fogadna a szélvédőn, hogy "hello, így és így ellophattam volna az autódat, mert ezek a cuccok, amiket beleraktál, semmit nem érnek, csináld helyette ezt meg azt". Tuti nem az lenne az első gondolatom, hogy feljelentem, hanem elgondolkodnék rajta, hogy mi lenne ha megcsinálnám amit javasol.
Nyílván ha csak a levél lenne ott reggel, mert az autót viszont ellopta, akkor teljesen más lenne az első gondolatom :)

BuheraBlog Defcon XIX CTF - Beszámoló és B100 2011.06.17 19:11:00

Néhány hete zajlott a 19. Defcon Capture the Flag játékának selejtezője, melyen a hazai IT-biztonsági színtér minden szegletéből toborzott csapattal indultunk el, Senkihaziak néven. Remélem a poszt végére mindenki kellően át fogja érezni a minket ért megrázkódtatásokat :)…..

Spala Ferenc 2011.06.19 08:16:16

Ezt olvasva megerősödött bennem az az érzés, amit a feladatokat látva is gondoltam. Elmennék ám a ....ba :)))
Ez a "ki tud szivatósabb feladatot kitalálni, hátha rájön valaki a megoldásra" dolog nekem nagyon nem tetszik.
Mennyivel jobbak már a Hacktivity wargame-ek, nem? ;)

Alice és Bob Offsec vizsga apropóján 2011.06.07 08:41:04

Sokat gondolkodtam rajta hogy milyen bejegyzést írjak az offensive security tanfolyamáról, illetve vizsgájáról. Spoilerezni nem akarok, így aki arra számít hogy leírom a megoldásokat, az csalódni fog :-) Inkább arról írnék mi ez az egész. Az Offensive-security közösség/szervezet…..

Alice és Bob Tűzriadó van babám, tűzriadó! 2011.05.26 15:54:00

Épp kint ülök az irodaház előtt az árnyékban és csodálkozom... Először is, hogy milyen egy hüje (sic!) voltam, mert nem írtam fel, ma tűzriadót tartanak és nem maradtam otthon (home office). Másodszor meg azon, hogy milyen értelmetlen egy dolog ez a szimulált tűzriadó. Micsoda…..

Spala Ferenc 2011.05.26 16:17:11

Csak hogy belekössek Józsikába: ilyen tűzriadós izé évente van, míg elsősegélyt 1x tanultunk. Ha az is évente lenne, többre emlékeznénk belőle :P :))

Alice és Bob Oracle adatbázis érdekességek, avagy mitől őszül a kezdő DBA – part 4 2011.04.08 08:06:00

[A sorozat korábbi részei itt és itt meg itt]Kivételesen most nem olyasmivel készültem, amivel megszívattam magam :-). A minap auditáltunk Oracle 11gR2-t - ez volt az első, úgyhogy gondoltam leírom a tapasztalatokat - persze az érdekesebbeket :-). Először is a jelszókezelésről…..

Spala Ferenc 2011.04.08 21:44:23

Jaja, lehetőség volt, de egyik dolog sem volt beállítva alapból, nem?

A sózást írni is akartam, de elfelejtettem a mire megírtam a bejegyzést :))

Spala Ferenc 2011.04.19 11:28:42

@|Z|: Beszélgettünk erről a témáról Tóth Lacival, azt mondja, hogy a 11g-ben nem a usernév a hash, hanem egy 10 byteos random érték.
+ meggúgliztam és úgy tűnik tényleg: wayne-lang.blogspot.com/2010/07/oracle-password-strength.html (utolsó bekezdés közepe)

Alice és Bob Hacker Utilitius Practicus avagy a tudatos eszközhasználó hacker 2011.03.02 12:40:00

Pár hete egyik kolléga fejtette ki, hogy ő bizony betiltaná az IT biztonsági termékek gyártását mondjuk 2 évre. Ezt az időszakot pedig arra kellene fordítani, hogy megismerjük a jelenlegi eszközöket, azok képességeit, korlátait, de mindenekelőtt a használatukat. Ettől teljesen…..

Belépve többet láthatsz. Itt beléphetsz

Adatlap

Aktivitás

Üzenetküldés

Kedvencek