Adatok
indavatar
0 bejegyzést írt és 11 hozzászólása volt az általa látogatott blogokban.
Nagyjából a blog indulása óta vártam erre: 0xFF admin jogosultságot szerzett a BuheraBlogon: Ehhez nem kellett más, mint egy jól elhelyezett CSRF támadás (óvatosan kattintsatok!). Szerencsére a kollegialitás győzedelmeskedett, azonnal jelzést kaptam a helyzetről, és még a…..
Mint azt korábban már említettem, kicsit rendbeszedtem a kedves olvasóktól érkező hibajeletéseket, így most, az év vége közeledtével tudok pár (remélhetőleg) érdekes számmal szolgálni: Augusztus vége óta 17 sebezhetőség jelentésében segédkeztem, ezek közül 9-re érkezett…..
Régen hallatott magáról a német THC csapat, eddig úgy tűnik az Egyesült-Királyságban forgalmazott Vodafone femtocellák reverse engineeringjével voltak elfoglalva. A most publikált wikiben részletesen elemzik az eszköz felépítését és interakcióit a hálózat többi…..
indavatar
2011.07.17 21:04:00
@ezmegmi??: Minek fenyegetőzik a *feltörhetetlen (LOL++) szoftverek gyártója?. Kellene egy törvény és pontos eljárásrend a legális töréstesztekre, különben a nagypofájú marketingesek miatt teljesen sérülékenyek maradnak a kritikus rendszereink. Ha már annyira kritikus az a rendszer, akkor a kritikus szoftverhiba megtalálását jutalompénznek és nem szánalmas magyarázkodásnak kellene követnie.
Egy kódfrissítés következtében tegnap 4 órán keresztül hozzá lehetett férni tetszőleges felhasználó Dropbox fiókjához, tetszőleges jelszóval. A problémát az egyik kísérletező kedvű felhasznáó jelezte. A cég szerint a kérdéses időszakban a felhasználók 1%-a…..
Kicsit meg vagyok lepődve néhány kolléga* kiakadásán. Ugye az van, hogy a LulzSec a csúnya-gonosz multik rugdosása után most belengette azt a lehetőséget, hogy kiderülhet, ki néz pornót az Interneten**. Abba most nem mennék bele, hogy mondjuk az X-Factor játékosok, meg a Sony…..
Május 26-án az első BalaBit Open Academy keretein belül tartok előadást a PHP webalkalmazásokkal kapcsolatos biztonsági tapasztalatokról. Az ingyenes rendezvényen emellett csupa előremutató technológiáról, módszertanról tekinthettek meg prezentációkat, így jó alkalom lesz ez,…..
indavatar
2011.05.09 22:31:16
Az alábbi eset valószínűleg be fog vonulni a tankönyvekbe, mint remek példa a hagyományos PKI gyengeségeire.Az történt, hogy illetéktelenek valamilyen módon hozzájutottak kilenc, a Comodo CA által kibocsátott tanúsítvány kulcshoz, melyek segítségével megszemélyesíthető…..
indavatar
2011.03.24 18:54:35
@buherator: A yahoo POP kiszolgálójára (pop.mail.yahoo.co.uk:995), de ezt már írtam, nem erre gondoltál?
kepfeltoltes.hu/view/110324/yahoo-ssl-pop-lopas_www.kepfeltoltes.hu_.jpg
kepfeltoltes.hu/view/110324/ssl-yahoo_www.kepfeltoltes.hu_.jpg
kepfeltoltes.hu/view/110324/yahoo-ssl-pop-lopas_www.kepfeltoltes.hu_.jpg
kepfeltoltes.hu/view/110324/ssl-yahoo_www.kepfeltoltes.hu_.jpg
indavatar
2011.03.23 23:30:29
@buherator: Hát ha a Yahoo-sok cserélték le, akkor nem értem a hibaüzenetet...
"Arra készül, hogy felülbírálja a TB biztonsági beállításait.
pop.mail.yahoo.co.uk:995
Rossz webhely
A tanúsítvány egy másik webhelyhez tartozik, ami identitáslopásra utal."
sorozatszám: 08:A2:DA
Tanúsítvány alany ID
bd 46 bc 86 af d9 a2 c1 9e 41 1e ff f0 11 3b 71
7a c9 9e 6f
CA ID
48 e6 68 f9 2b d2 b2 95 d7 47 d8 23 20 10 4f 33
98 90 9f d4
"Arra készül, hogy felülbírálja a TB biztonsági beállításait.
pop.mail.yahoo.co.uk:995
Rossz webhely
A tanúsítvány egy másik webhelyhez tartozik, ami identitáslopásra utal."
sorozatszám: 08:A2:DA
Tanúsítvány alany ID
bd 46 bc 86 af d9 a2 c1 9e 41 1e ff f0 11 3b 71
7a c9 9e 6f
CA ID
48 e6 68 f9 2b d2 b2 95 d7 47 d8 23 20 10 4f 33
98 90 9f d4
indavatar
2011.03.24 09:46:11
@buherator: ezek a támadások akkor csak néhány - valakinek fontos - embert érintenek? Ez remek, de a yahoo töketlenségét, házi SSL barkácsolását nem magyarázza meg. Most sikerült egy szintre kerülni a Neptunnal és az egyetemi wifivel...
Belépve többet láthatsz. Itt beléphetsz
A NoScript vajon megfogta volna?
Ha a javítást közzé tudjátok tenni azért meg külön köszönet (bad practice vs good practice)