Blind Injection

The b. Operator From Hell

levaja — Mon, 28 Dec 2009 10:31:00 GMT

Verovatno poznajete bar jednog kolegu administratora koji ima kratak fitilj kada su u pitanju korisnici i koji se možda, pa..hmm, recimo ponaša neetički prema klijentima. Možda mislite da je taj admin nesnosan? Još niste videli dokle sve to može da ide. Prekratite sebi dosadu novogodišnjih praznika legendarnom serijom izmišljenih (pitam se?) priča o zlom adminu i sistematičnom maltretiranju svih koji su u bilo kakvom dodiru sa njegovom računarskom mrežom:

http://bofh.ch/

Preporučujem bensedin pre čitanja :)

Kurs: Linux za Windows administratore :: UPDATE

levaja — Mon, 23 Nov 2009 15:48:35 GMT

Dvodnevni kurs "Linux za Windows administratore" u decembru!

15. i 16.12.2009. u prostorijama firme Network Security Solutions, Decanska 17.
Cena kursa je 120 EUR u dinarskoj protivvrednosti.

Prvi dan:

Linux i njegova primena
Osnove Linuxa
- osnovne komande
- networking
- fajl sistem
- servisi
- dozvole
- X
IP adresiranje i rutiranje
- DHCP
- Routing
DNS
Linux kao File server – SAMBA
Printing
Backup
Shell scripting

Drugi dan:

Linux u Windows mreži
- Autentifikacija Linuxa na Windows domenima
- LDAP
- Kerberos
- Windows aplikacije na Linuxu
Remote tools
- SSH
- Remote X
- RDP
Mail
Python programming

Ceo kurs ce biti na Ubuntu\Kubuntu Linux distribuciji, a namenjen je Windows administratorima koji nemaju iskustva u radu sa Linux operativnim sistemom.

Vise informacija na adresi http://www.netsec.rs ili na mail office[@]netsec.rs.
Telefon +381 11 286 19 60.

Pozdrav!

Stare verzije aplikacija

levaja — Sun, 22 Nov 2009 11:25:59 GMT

Po nekad za potrebe demonstriranja ranjivosti neke aplikacije moram da nađem staru verziju koja je bila ranjiva (pretpostavka je da je nova verzija zakrpljena :) ) i to može da se pokaže kao problem. Naravno postoje i drugi razlozi zbog kojih bih možda preferirao stariju verziju, a da nema veze sa bezbednošću.

U takvim slučajevima uglavnom na sajtu vendora potražim arhivu ili ukoliko ista ne postoji skoknem do sledećih sajtova koji će vam možda dobro doći:

http://www.oldapps.com/
http://www.oldversion.com/

Ukoliko imate neki sličan sajt na spisku, budite ljubazni i podelite link ;)

OWASP TOP 10 - 2010 Release Candidate

levaja — Fri, 20 Nov 2009 07:27:22 GMT

Najnoviju OWASP TOP 10 listu možete preuzeti odavde.

Exploit Database

levaja — Tue, 17 Nov 2009 20:25:33 GMT

Kao što napisah pre par dana, momci iz OffSeca su preuzeli bazu milw0rma i evo nove adrese:

http://exploits.offensive-security.com/

Forefront TMG RTM je stigao!!!

levaja — Tue, 17 Nov 2009 14:15:54 GMT

Najzad!

http://blogs.technet.com/isablog/archive/2009/11/17/forefront-threat-management-gateway-2010-release.aspx

H1N1 Influenza cure (python + rakija)

levaja — Thu, 12 Nov 2009 13:11:08 GMT

U mojoj porodici se s kolena na koleno prenosi lek protiv gripa: Popiješ rakiju (celu flašu, naravno), a onda se flašom istrljaš spolja. Leči provereno.

Zarad automatizacije procesa, možete koristiti sledeći Python kod:

#!/usr/bin/env python
from rakija import * #rakija{tm} is Serbian alcohol-will-kill-me beverage.
import bottle

your_name=your name here

while H2N1_Influenza:

drink.all()
bottle.massage(your_name)

Web Stress Tool

levaja — Mon, 09 Nov 2009 14:38:27 GMT

Evo jednog jednostavnog alata za testiranje izdržljivosti web servera/aplikacija. Trebaće vam Python da ga pokrenete.

Funkcionalnosti:

HTTP/HTTPS
metod je GET
Threading je neograničen, možete simulirati proizvoljan broj klijenata (default: 10)
Proxy podrška, lokalni ili remote svejedno
Console output je ON po defaultu, ali možete ga isključiti (“silent”)
Statistika

prosečno vreme po threadu
ukupno vreme

Logovanje

jedan fajl za uspešne konekcije (broj threada i njegovo vreme izvršenja)
jedan fajl za greške (broj threada, HTTP error code, opis URL greške)

Todo:

proxy auth (basic,ntlm)
post metod
dodajte želju

>> Download here <<

Informaciona Bezbednost u sluzbi Nacionalne Bezbednosti

levaja — Sat, 07 Nov 2009 18:34:21 GMT

Dao sam intervju Čedi Rajačiću sa www.armyinfoforum.org na gore navedenu temu. Koga interesuje ova problematika može da pogleda online ili da preuzme snimak sa:

http://www.armyinfoforum.org/Armyblog/index.php/2009/11/07/informaciona-bezbednost-u-sluzbi-nacionalne-bezbednosti/

Traje poduže (raspričao sam se kao i obično ;) ), tako da ko odgleda do kraja ima pivo od mene ;).

Pozzz!

OffSec preuzima Milw0rm

levaja — Sat, 07 Nov 2009 17:30:38 GMT

Kao što naslov posta kaže, Offensive Security preuzima Milw0rm. Arhiva exploita će biti u dobrim rukama ;)

http://www.offensive-security.com/blog/offsec/offensive-security-exploit-archive/

R.I.P. str0ke (1974-04-29 - 2009-11-03)

levaja — Wed, 04 Nov 2009 15:46:17 GMT

Danas smo saznali pravi razlog povremenog ne funkcionisanja www.milw0rm.com.

str0ke, idejni tvorac milw0rm-a je preminuo. Nedostajaće security zajednici.

R.I.P.

Statistika bezbednosti sajtova banaka u Srbiji

levaja — Mon, 02 Nov 2009 21:23:17 GMT

Poštovane kolege/koleginice i svi ostali zainteresovani (svaki građanin koji koristi ebanking), sa ove lokacije možete preuzeti statistiku bezbednosti web sajtova banaka u Srbiji.
Rezultati su vrlo loši i po banke i po nas njihove korisnike. Za svaku od banaka je odvojeno po 10 minuta, a testirane su isključivo neinvazivnim metodama.

Ukoliko se unapred možda pitate da li smo u izveštaju pominjali imena banaka i konkretne propuste na svakoj od njih ponaosob, odgovor je NE.
Ako se pitate da li smo obavestili odgovorne u datim bankama, odgovor je ponovo NE.
Evo i razloga za 2xNE:

Imena i konkretni propusti nisu pominjani da lošim momcima ne bi smo pomagali da ugroze banke i nas klijente, mada je veoma teško poverovati da Black Hats nisu sa ovim problemom mnogo bolje upoznati nego mi.
Banke nisu upozorene pošto imamo loša iskustva sa ukazivanjem na probleme tog tipa. Naime, već su nam ranije pretili armijama advokata i slično (čast izuzecima), valjda zato što smo hteli da im besplatno ukažemo na problem.
Iako poštujemo Responsible Disclosure Policy, ista nije primenjiva u Srbiji. Full Disclosure ne dolazi u obzir iz razloga navedenih u tački jedan.

Voleo bih da čujem vaše mišljenje o tome zašto naše banke imaju toliko bezbednosnih propusta.

Testiranje Web aplikacija neinvazivnim tehnikama

levaja — Mon, 02 Nov 2009 17:28:33 GMT

Novi whitepaper "Testiranje Web aplikacija neinvazivnim tehnikama" možete preuzeti ovde.
Ukoliko ste zainteresovani za praktične primene, pogledajte ovaj post.

Pivo i (cyber)Sex

levaja — Thu, 29 Oct 2009 14:57:57 GMT

Ko je ovih dana bacio pogled na sajt MB Pivare (http://www.pivaramb.com) mogao je prilično da se začudi. Znamo mi da pivo i sex idu zajedno, ali što je mnogo mnogo je. Prepodne je sajt bio “temporarily unavailable” ali je sada updateovan :(

Napomena: nije za mlađe od 18 !

P.S. ovo me podsetilo na incident od pre par godina kada je čini mi se PLO na sličan način preuredio neki Izraelski vladin sajt. S obzirom na bezbednost sajtova naše vlade, ne bi me čudilo da…….

Rapid7 kupio Metasploit

levaja — Fri, 23 Oct 2009 12:20:59 GMT

Firma Rapid7 je kupila Metasploit frejmvork. HD Moore će od sada biti CSO Rapida7.

Izvor: http://www.securityfocus.com/brief/1026