- Xiaomi 14 - párátlanul jó lehetne
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Vodafone mobilszolgáltatások
- Samsung Galaxy S23 Ultra - non plus ultra
- Poco X6 Pro - ötös alá
- Milyen okostelefont vegyek?
- Realme 8 - az igazi nyolcas
- Samsung Galaxy S22 és S22+ - a kis vagány meg a bátyja
- DIGI Mobil
- Milyen GPS-t vegyek?
Hirdetés
-
Launch trailert kapott a Stellar Blade
gp A teljes kiadás hivatalosan a mai naptól elérhető lett PlayStation 5-re.
-
Átjutottak a Ciscón, betörtek a kormányok hálózataiba
it A Cisco azt mondja, hogy a hackerek átjutottak a biztonsági eszközein, és a kormányok hálózatain keresztül kémkedtek, az ügy globális kiterjedésű.
-
Lenovo Essential Wireless Combo
lo Lehet-e egy billentyűzet karcsú, elegáns és különleges? A Lenovo bebizonyította, hogy igen, de bosszantó is :)
-
Mobilarena
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
inf3rno
Topikgazda
Eddig baromi jó ez a képzés. Az NKE-s képzésem elég elméleti, ez meg jól kiegészíti a gyakorlati résszel is. Ment tegnap a malware és backdoor keresés CLI-ből Windows és Linux oprendszereken. Ajánlottak egy másik képzést is, ami csak 4 óra, de teljesen ingyenes mindenkinek: Cyber Threat Hunting Level 1 [link]
[ Szerkesztve ]
Buliban hasznos! =]
-
-
-
-
EDR: valójában nem csak az a lényege, hogy több endpointon egyszerre tudod futtatni az analizálást, hanem hogy a különböző események között korrelációkat lehet felállítani, pl.: user elindítja a wordöt, ami kapcsolódik egy külső IP-hez, majd elindul a powershell, ami elindítja a vssadmint, aztán hirtelen megugrik a disk aktivitás és a CPU load.
https://www.coreinfinity.tech
-
Igen, de az első tünetek lehetnek mások, pl. ha SMB V1-en keresztül van lateral movement.
Ezért fontos a több szintű, mélységi védelem. Egy endpoint AV önmagában nem képes átlátni a több eszközt érintő támadást, sőt, a hálozaton létező malware-eket sem.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
Amikor a támadó (ember vagy szoftver) az egyik rendszerről a másikra megy át.
Itt egy írás, amiben minden, akkori alaptechnikát bevetett az Anonymous: https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/2/
https://www.coreinfinity.tech
-
őstag
-
őstag
Eltudtok olyat képzelni, hogy egy gyártó terméke mondjuk véletlenül tévesen jelezne csatlakozási kísérletet egy eszközhöz, mondjuk azért, hogy előfizessen rá az ember vagy meghosszabbítsa a meglévő előfizetését? - Én el... Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.
[ Szerkesztve ]
“Mankind invented the atomic bomb, but no mouse would ever construct a mousetrap.” Albert Einstein
-
-
-
-
-
-
Szóval: nem tudhatod, hogy a másik végen mi az, ami a Te web szervereden hibákat dobál. Látsz egy csomó 404-et a logban, de nem biztos, hogy az támadás, lehet, hogy valaki rátámaszkodott a billentyűzwtre, vagy rárakott valamit, esetleg gyerek, kutya, macska szörfözik rajta.
Ha például ilyenért kirakod az ügyfeleidet az oldalról, hamar elveszíted őket.
A false riasztások és nem riasztások redukálása elemi fontosságú.
https://www.coreinfinity.tech
-
-
inf3rno
Topikgazda
Aki használni akarja ezt a texme könyvtárat, amit fentebb linkeltem, annak a dokumentáció ezt írja:
<!DOCTYPE html>
<script src="https://cdn.jsdelivr.net/npm/texme@0.9.0"></script>
<textarea>
# Euler's Identity
In mathematics, **Euler's identity** is the equality
$$ e^{i \pi} + 1 = 0. $$Nekem az első ami szemet szúrt, hogy nincs html, head, title, body element, amit a régi típusú HTML-nél kötelező elem, illetve a textarea nincs lezárva. Mondom ez így szintaktikailag totál rossz, de kiderült, hogy a W3C megint nagyot alkotott, és most már az ilyesmi is szintaktikailag helyes lehet, kivéve a lezáratlan textarea. Mondom belenézek a kódba mélyebben.
Itt adják meg a kódban az URL-eket a függőségekhez: [link]
options.commonmarkURL =
'https://cdn.jsdelivr.net/npm/commonmark@0.29.2/dist/commonmark.min.js'
options.MathJaxURL =
'https://cdn.jsdelivr.net/npm/mathjax@3/es5/tex-mml-chtml.js'A loadjs amivel by default berántják meg így néz kil: [link]
var loadjs = function (url, callback) {
var script = window.document.createElement('script')
script.src = url
script.onload = callback
window.document.head.appendChild(script)
}Ha visszamegyünk olyan 10-15 évet az NPM előtti időkbe, akkor valahogy így kéne kinézni a példa kódnak:
<!DOCTYPE html>
<script src="https://cdn.jsdelivr.net/npm/commonmark@0.29.2/dist/commonmark.min.js"></script>
<script src="https://cdn.jsdelivr.net/npm/mathjax@3/es5/tex-mml-chtml.js"></script>
<script src="https://cdn.jsdelivr.net/npm/texme@0.9.0"></script>
<textarea>...</textarea>Van benne egyébként más hiba is, de azt most hagyjuk. Amint látható, ebből teljesen világos, hogy berántottuk a fenti függőségeket. Illetve ha letöltjük azokat a fájlokat, akkor ki tudjuk szolgálni az egészet saját szerverről is:
<!DOCTYPE html>
<script src="/script/commonmark.js"></script>
<script src="/script/mathjax.js"></script>
<script src="/script/texme.js"></script>
<textarea>...</textarea>Hogyha valaki megtöri a fenti CDN-t, vagy esetleg a commonmark vagy a mathjax repojába sikerül becsempésznie kártékony kódot, akkor az összes oldal, ami a fenti kódot használja simán be fogja rántani, és a fejlesztők többsége azt sem fogja tudni, hogy ez a commonmark vagy a mathjax függőségek. A package.json-ban a commonmark benne van, de azt csak nodejs-nél rántja be úgy, egyébként a fenti CDN-es címet használja. Mindez alapbeállítás.
A gyakorlatban mióta van NPM (10+ éve) és module bundlerek, azóta úgy szokták csinálni, hogy minden függőséget require()-el rántanak be, és az egészet egy module bundlerrel fűzik össze.
<!DOCTYPE html>
<script src="/script/bundle.js"></script>
<textarea>...</textarea>A bundle.js-nél meg mondjuk be van csomagolva egy main.js, ami így néz ki:
var textme = require("textme");
és a textme.js-en belül is így megy a fenti két függőség betöltése, hogy
var commonmark= require("commonmark");
var mathjax= require("mathjax");És mindegyikből a package.json-ban leírt verziót fogja belecsomagolni és betölteni a bundler. Illetve az NPM-el meg lehet nézni, hogy van e ismert sebezhetőség valamelyik függőségre, van e frissítés hozzá, vagy csak egyszerűen listázni lehet, hogy az oldal milyen könyvtáraktól függ.
Na most írtam a fejlesztőnek, hogy nagyon nem oké így kezelni a függőségeket, meg hogy nem kéne feltalálni a spanyol viaszt ilyen custom JS fájl betöltőkkel, amikor már jó ideje vannak module bundlerek, meg hogy egyébként is sok helyen el fog hasalni, mert a CSP tiltani fogja és nem valami jó gyakorlat, hogy a default beállításban ő egy személyben eldönti, hogy már pedig mindenki CDN-ről rántja be ezeket az egyébként rejtett függőségeket, aki nem olvassa el a dokumentációban az erre vonatkozó apró betűs fél mondatot a huszadik oldal lap alján. Erre persze azt írja, hogy ez így teljesen rendben van, és mondjak valami tényleges sebezhetőséget, amit javíthat. Mondom, hogy ezek alapvető biztonsági elvek, és ha nem érti, akkor én feladom, és inkább használok valami mást. Erre törli a hozzászólásomat, és letiltja a további kommenteket, mondván, hogy milyen sértő és agresszív, amiket írok. Itt tartunk 2021-ben, mindez egy 1.7k csillagot kapott repo a githubon, szóval valószínűleg több ezren használják...
Csak hogy valami proof of concept is legyen, belenéztem a függőségekbe. Tipikusan ezek a markdown-os feldolgozók többféle regexel szoktak működni. A JS regex engine meg sebezhető ReDoS-ra. Annak az a lényege, hogyha nem figyelsz rá a fejlesztésnél, akkor olyan a regex minta, hogy tudsz hozzá olyan stringet csinálni, amivel ítéletnapig molyol rajta a regex engine, esetleg befagyasztja az egész böngészőt. Bár nem lehet minden sebezhető mintát megtalálni, azért vannak rá próbálkozások, pl itt ez a ReDoS checker: [link] A commonmark-nál nézegettem, erre a regex mintára azt írja, hogy sebezhető: [link] Most nincs időm jobban belemászni, hogy milyen string-el lehetne befagyasztani az egészet, de ha igazat adunk neki, akkor van egy ilyen rejtett függőség, amit a tudtunkon kívül ránt be a kódjuk, és amivel ki lehet fagyasztani a weboldalt, ha valaki szivatni akar minket és elküldi kommentben a megfelelő stringet és ráeresztjük a kommentekre is a markdown feldolgozót.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
-
-
Egon
nagyúr
-
-
-
sztanozs
veterán
Szerintem konkrétan lesz@rják a javaslatokat magasról. Megbeszéléseken meg kötekednek, hogy miért van egyáltalán erre szükség.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Egon
nagyúr
Nem vagyunk hatóság, ez nem a mi dolgunk.
Általában IT átvilágításra kérnek fel minket ilyenkor. Most pl. 2 intézménynél is az van, hogy a korábbi IT vezető elment mondjuk nyugdíjba, az új pedig kiharcolta a felsővezetésnél, hogy legyen egy ilyen átvilágítós projekt, mert sokszor nincs normális átadás-átvétel, és az se tudja szerencsétlen, hogy merre meddig.
Meg sokszor jobban elfogadják egy külső, független féltől a javaslatokat. Meg az új IT vezetők ezzel bevédhetik magukat: ha történetesen nem valósulnak meg az általunk javasoltak, akkor egy esetleges incidens esetén tudnak mivel takarózni.
Kábé ezért vannak ezek a projektek."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Nem az összes állami szervre vonatkozik az Ibtv., ergo nem feltétlenül tartoznak a hatóság hatálya alá. Nem tudok bejelentési kötelezettségről ilyen szinten. Mi egy profitorientált Kft. vagyunk, az más kérdés hogy 100%-ig állami tulajdonban. A felmérések eredményét üzleti titokként kezeljük, az átadott jelentés tartalma a megrendelőre tartozik, az ő feladata és felelőssége, hogy mihez kezd vele.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
sztanozs
veterán
-
Egon
nagyúr
Így van, egy apk-t akar telepíteni, ehhez kér hozzájárulást, szóval elég béna a cucc.
Egyébként nálunk a cégnél 2 ember is jelezte, hogy tegnap kapott ilyet (miután kiküldtem egy figyelemfelhívó körlevelet)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
TELCOMban digitális központokkal kezdtem és bizony már a 2000 évek előtt kötelező volt a szakszolgálatok felé beépített garanciákkal rendelkezni és egy-egy nagyobb adatközpontnál volt egy delegált ember is. Majd picit később minden szolgáltatónak kellett teljes felügyeleti struktúrát kulcsra készen tartani (pl a démász-dégáz kettősnél akkor már IT-sként szállítottam picivel több mint 600 munkaállomást hogy ennek eleget tudjanak tenni).
Én ezeket implementálva azt mondom hogy nem lehet jelentős kockázat benne ha nem helyi az üzemeltető - a nagyon maximum az hogy kell egy back-up-ot visszaállítani.
https://hardverapro.hu/apro/audi_q7_hibrid_2016/hsz_1-50.html
-
-
-
sztanozs
veterán
-
Egon
nagyúr
Szerintem ez félrement.
Kevés dolgot tartok nagyobb b*romságnak, mint havonta jelszót cserélni. Úgy 2015 óta elég nagy szakmai egyetértés van IT biztonsági vonalon abban, hogy hót fölösleges a felhasználókat is cseszegetni 1-3 havonta történő jelszócserével: inkább 6-12 havonta (vagy ha a kompromittálódásnak a legcsekélyebb jele is van) legyen cserélve, de cserében legyen jó (és persze elég hosszú...) az a jelszó...
Sajnos a kapcsolódó szabályozásokat a DOS-korszakban élő vén h*lyék írják, akik képtelenek fejlődni. Pl. a minősített adatkezelés vonatkozásában elő van írva a kilométer hosszú jelszó, de arról hogy milyen jelszóhasht alkalmazz, természetesen egy szó sincs. Tehát elvben szabályos mondjuk KT minősítési szint esetén egy 12 karakter hosszú, LM hash-el hashelt jelszó... Ezt egy mai gépen max. ókát alatt lehetne feltörni (de lehet hogy percek).[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
-
sztanozs
veterán
Jaja, ezzel én is játszottam. A cégnél van Immersive tréning hozzáférésem és tök jó labjaik vannak (egy csomó lab CREST certified és nyomják a brtit cuccokat, köztük ezt a GCHQ-s tool-t is).
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Pontosabban célszerű először forensic image-et készíteni olyan eszközzel, ami hardevresen biztosítja, hogy nem írható az eszköz és vizsgálatot a forensic image-en végezzük.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Óóóó, szteganográfia... Fősulin csináltunk anno ilyet (LSB encoding, egy pixelen 3 bit adat)
De a gif fájl jobb, abban egy egész zip-et is "el lehet rejteni", persze csak a vizuális szemlélő elől.
De ez a bmp cucc, amit itt írnak - konkrétan az egész kép egy binárisan kódolt text fájl (vagy zippel hta)?[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Adattovábbítás (illetve az adat elrejtése a scanning engine-ek elől) - fertőzött rendszer nem kell, mert a rendszer épp akkor fertőződik: a loader fut ilyenkor és a payload van titkosítva vagy obfuszkálva.
A loader legtöbbször valami office dokumentum vagy pdf; esetleg valami böngészős sebezhetőséget kihasználó weboldalról letöltődő kód, ahova a felhasználót elcsalták.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Új hozzászólás Aktív témák
- Napelem - 100%-os támogatású pályázat
- Futás, futópályák
- Ingyenes vagy akciós szoftverek
- Xiaomi 14 - párátlanul jó lehetne
- Xbox Series X|S
- Kerékpárosok, bringások ide!
- Mibe tegyem a megtakarításaimat?
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Vodafone mobilszolgáltatások
- Milyen videókártyát?
- További aktív témák...
- iPhone 14 Pro 128 GB Space Black, 11 hónapos, kártyafüggetlen, 2024. május végéig garis , akku 91%
- Asus VivoBook X509JA-BQ904T
- HP EliteBook 640 G9 Ezüst (14" / Intel i5-1235U / 16GB / 512GB SSD / Win 11 Pro) -10% Most 203.990 F
- Lenovo M810z AIO Core I5 6400 4x2700/8GB/120G SSD/wifi/cam 21,5 -10% 66.950 ft
- Microsoft Surface Book 2 - i7-8650u/8GB/256GB SSD/Windows 11 -. 10% Most Csak 125990 Forint