Web story
Sedím na svém obvyklém místě v příjemně zakouřené kavárně a mám výhled na město, které před pohlcením do temnoty chrání celá armáda pouličních lamp. Před chvílí jsem z kapsy své kárované košile vytáhnul doutník dražšího kalibru a nyní už jen nasávám nikotin do plic. Dnes jsem totiž dokončil důležitý projekt, tak si na chvíli dopřávám ono sladké nicnedělání.
Asi bych vám to nevyprávěl, kdyby se do mého zorného úhlu nedostali dva mladí muži. Ne, že bych na chlapech shledával cokoliv vzhledově zajímavého, ale tito přitáhli mou pozornost díky náplně své konverzace, která se nesla vzduchem až k mým sluchovým orgánům.
| Vloženo: 1. 4. 2008 21.03 | Komentářů: 3 | Číst a psát komentáře |
Ivo Lukačovič v Ostravě
Psal se mezigalaktický čas 4.12.2007 14.00 GMT +1.00, kdy k nám na severní Moravu zavítala jedna z velkých osobností českého internetu – Ivo Lukačovič. Nikdo menší než majitel Seznamu.
Přednáška se konala
v nové aule Vysoké školy báňské,
přičemž den předem obléhaly školní chodby šikovné hostesky a rozdávaly
letáčky na tuto akci. Taktéž každému návštěvníkovi přednášky
dávaly seznamáckou tašku s pár dárky uvnitř (nechápu, proč ty trička
mají velikost S, když programátory sport nezajímá 
).
| Vloženo: 6. 12. 2007 00.08 | Komentářů: 3 | Číst a psát komentáře |
Hackerem sám sobě (3) - CSRF
Cross-Site Request Forgery navazuje na XSS. Zatímco u techniky XSS se snaží uživatel obelstít stránky, tak u CSRF je to naopak – stránky se snaží nachytat uživatele. Využívá se toho, že návštěvník stránek je přihlášen na jiném serveru – třeba někde do administrace – tudíž má v prohlížeči uložené cookies a může směle bez dalšího vyplňování hesla pracovat s celou administrací. Útočníkovy stránky pak usnadňují tomuto uživateli práci a například za něho mažou položky v administraci na serveru, kde je přihlášen.
Když jsem zkoušel pomocí této techniky napadnout stránky restaurace, které jsem celé napsal já, tak jsem za pár vteřin smazal hrachovou kaši z denního menu. Inu člověk se pořád učí…
| Vloženo: 21. 10. 2007 16.44 | Komentářů: 7 | Číst a psát komentáře |
Hackerem sám sobě (2) - XSS
XSS je zkratka pro Cross-site Scripting (aby nedošlo k záměně s kaskádovými styly, používá se místo CSS zkratka XSS). U této techniky je snahou podstrčit stránkám svůj kód pomocí jakéhokoliv vstupu. Většinou se jedná o JavaScript, který například dokáže manipulovat s vašimi cookies a posílat citlivé údaje útočníkovi. Napadlo vás třeba, že se za neškodným avatarem může skrývat skript, který dokáže získat heslo z vaší nezabezpečené administrace ?
| Vloženo: 29. 7. 2007 13.21 | Komentářů: 6 | Číst a psát komentáře |
Hackerem sám sobě (1) - PHP Injection
Tento článek startuje menší seriál o bezpečnosti webových aplikací. Řeknu vám, jak hackovat své vlastní stránky za účelem důkladného otestování bezpečnosti vašeho webu. Tím vás ale nenabádám, abyste tyto techniky zkoušeli na stránkách, které nepatří vám – žádné skrývání pomocí sítě TOR a nabourávání webu FBI prosím nedělejte.
Všechny techniky se pokusím prakticky ukázat – to znamená, že uvidíte ukázky kódu a odkazy přímo na PHP skripty, kde lze tuto chybu pozorovat. V žádném případě nebudu zacházet až příliš do hloubky – další rozšiřování kódu je na vaší fantazii.
PHP Injection
Začnu tím nejjednodušším, kde dělají chyby většinou jen
začátečníci. Spočívá v injection = injekci, tedy vložení cizího
skriptu do stránky. Bezpečnostní riziko mohou způsobit funkce, které
provádějí kód z externích souborů – nejčastěji include
nebo require.
| Vloženo: 26. 7. 2007 15.24 | Komentářů: 9 | Číst a psát komentáře |
