Persze, sok módon lehetne szofisztikálni, de nem ez volt a cél, legalábbis eddig Meg mivel Pythonban készült, nem is lehet kicsi sem - a kb 10 soros implementáció 7 megásra fordul le, az azért nem kicsi.

https://www.coreinfinity.tech

persze, belefordítja az exe-be python interpretert, meg az összes használt modult

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Lehet, hogy elkészítem a különböző változatait egyre több és több ártalmas dolgot belerakva és figyelve a VT eredményeket.

https://www.coreinfinity.tech

Skynet.

Buliban hasznos! =]

No milyen volt a tréning?

https://www.coreinfinity.tech

Már melyik, a több napos? Szerintem jó. Nem tudom pénzben mennyit ér, de amerikai viszonyok között simán ki lehet csengetni érte a $450-es árat, ha ad egy kezdő szakmát IT biztonságban. Állítólag keresett. Gyakorolni kell azokat, amiket mutatott, meg gondolom önálló munkát is igényel. Én egyelőre nem akarok elmenni ilyen etikus hacker vonalon, de ettől függetlenül nagyon jó bevezető volt ebbe a világba. Majd talán később próbálkozom én is ilyesmivel, egyelőre viszont a védelmi eszközökre koncentrálok, nem a támadókra. Most minta felismeréssel próbálok elcsípni vírusokat, támadókat a szakdolgozatomban, de valószínűleg nem lesz annyira komoly, mint szeretném, mert kevés az idő és az oldalszám, amit elvárnak.

Buliban hasznos! =]

Valójában a támadásokat azért kell ismerni, hogy tudj ellenük védekezni.

https://www.coreinfinity.tech

Ez nem feltétlen van így. Le lehet tiltani bárkit, akinek gyanús a tevékenysége anélkül, hogy tudnánk pontosan mit csinál. Pl ha egy webszerver sorozatban szórja a hibaüzeneteket egy IP címről érkező kérések miatt, akkor én simán tennék be egy automatát, ami letiltja az IP címet. Én ennek a módszernek egy fejlettebb változatát próbálom majd betenni a szakdolgozatomba, de így is még elég nyers lesz szerintem sok fals pozitívval, mert csak pár hónapom van legyártani és megírni hozzá a szöveget.

Buliban hasznos! =]

Blue team, Red team...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szóval: nem tudhatod, hogy a másik végen mi az, ami a Te web szervereden hibákat dobál. Látsz egy csomó 404-et a logban, de nem biztos, hogy az támadás, lehet, hogy valaki rátámaszkodott a billentyűzwtre, vagy rárakott valamit, esetleg gyerek, kutya, macska szörfözik rajta.

Ha például ilyenért kirakod az ügyfeleidet az oldalról, hamar elveszíted őket.

A false riasztások és nem riasztások redukálása elemi fontosságú.

https://www.coreinfinity.tech

Vagy Purple.

https://www.coreinfinity.tech

Persze azt elismerem, hogy nem ez a silver bullet, csak azt próbáltam cáfolni, hogy elvileg ne lenne lehetséges egy ilyen ellen védekezni. Egyébként úgy tűnt, hogy nagyobb cégek csinálnak valami ilyesmit, és ők nem IP tiltást szoktak, hanem kiteszik a captachat, ha túlfeszítem a húrt valamivel, már nem kell itt semmi törvénytelenre gondolni, csak túl gyorsan nyitok meg túl sok oldalt.

[ Szerkesztve ]

Buliban hasznos! =]

Nem vagy, hanem és: a Purple az a Red és a Blue között van: [link]
Különben is le vagy maradva: Orange is the new Purple: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A (re)captcha , throttling jó eszközök - persze előbbi felhasználóként baromi idegesítő egy idő után.

https://www.coreinfinity.tech

Köszi az Orange linkért.

https://www.coreinfinity.tech

Megírtam a SolarWinds sorozat első két részét, továbbiakat lásd az aláírásomban.

https://www.coreinfinity.tech

"tételezzük fel, hogy nem asdfgtziuklhg a cégünk, rendszereink neve" - pedig milyen szépen cseng, erre akár brandet is lehetne építeni. Elolvastam, ami a blogban van, csak így tovább! :-)

A DNS-el kapcsolatban, az nem úgy megy, hogy a subdomain változik folyamatosan, hogy ne cache-ből szolgálja ki a DNS szerver? És a subdomain-ben küldik ki az információt pl base64 kódolva? Nekem legalábbis ilyesmi rémlik, de annyira nem mélyedtem el benne.

[ Szerkesztve ]

Buliban hasznos! =]

nem, subdomain a gép azonosítására volt - nem adatátadásra használták a dns címeket.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ez nem a solarwinds-es bejegyzésre vonatkozott, hanem van egy bejegyzése a DNS tunneling-ről. De közben utána jártam, és az is jó, amit ő írt. Pl volt olyan malware, ami a domain meglétét nézte, és ha beregisztrálták, akkor leállította magát. Az állandóan változó subdomaint (cache miatt muszáj változtatni) nem csak azonosításra lehet használni, hanem C&C-re is, pl ha a visszaadott IP címben adod meg, hogy mit hajtson végre a malware. Illetve a válaszban akár lehet további alkalmazásokat is küldeni, bár nem túl gyors és megbízható a folyamat, illetve komoly a lebukás esélye. [link] Ami nekem nem világos, hogy ennél az utóbbinál hogyan irányítják a forgalmat a saját DNS szerverükre, de ahogy nézem ez is megoldható. [link]

[ Szerkesztve ]

Buliban hasznos! =]

Mi a véleményetek erről a kódról? [link]

Buliban hasznos! =]

Ah értem - azt hittem még arról van szó

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Aki használni akarja ezt a texme könyvtárat, amit fentebb linkeltem, annak a dokumentáció ezt írja:

<!DOCTYPE html>
<script src="https://cdn.jsdelivr.net/npm/texme@0.9.0"></script>
<textarea>
# Euler's Identity
In mathematics, **Euler's identity** is the equality
$$ e^{i \pi} + 1 = 0. $$

Nekem az első ami szemet szúrt, hogy nincs html, head, title, body element, amit a régi típusú HTML-nél kötelező elem, illetve a textarea nincs lezárva. Mondom ez így szintaktikailag totál rossz, de kiderült, hogy a W3C megint nagyot alkotott, és most már az ilyesmi is szintaktikailag helyes lehet, kivéve a lezáratlan textarea. Mondom belenézek a kódba mélyebben.

Itt adják meg a kódban az URL-eket a függőségekhez: [link]
options.commonmarkURL =
'https://cdn.jsdelivr.net/npm/commonmark@0.29.2/dist/commonmark.min.js'
options.MathJaxURL =
'https://cdn.jsdelivr.net/npm/mathjax@3/es5/tex-mml-chtml.js'

A loadjs amivel by default berántják meg így néz kil: [link]

var loadjs = function (url, callback) {
var script = window.document.createElement('script')
script.src = url
script.onload = callback
window.document.head.appendChild(script)
}

Ha visszamegyünk olyan 10-15 évet az NPM előtti időkbe, akkor valahogy így kéne kinézni a példa kódnak:

<!DOCTYPE html>
<script src="https://cdn.jsdelivr.net/npm/commonmark@0.29.2/dist/commonmark.min.js"></script>
<script src="https://cdn.jsdelivr.net/npm/mathjax@3/es5/tex-mml-chtml.js"></script>
<script src="https://cdn.jsdelivr.net/npm/texme@0.9.0"></script>
<textarea>...</textarea>

Van benne egyébként más hiba is, de azt most hagyjuk. Amint látható, ebből teljesen világos, hogy berántottuk a fenti függőségeket. Illetve ha letöltjük azokat a fájlokat, akkor ki tudjuk szolgálni az egészet saját szerverről is:

<!DOCTYPE html>
<script src="/script/commonmark.js"></script>
<script src="/script/mathjax.js"></script>
<script src="/script/texme.js"></script>
<textarea>...</textarea>

Hogyha valaki megtöri a fenti CDN-t, vagy esetleg a commonmark vagy a mathjax repojába sikerül becsempésznie kártékony kódot, akkor az összes oldal, ami a fenti kódot használja simán be fogja rántani, és a fejlesztők többsége azt sem fogja tudni, hogy ez a commonmark vagy a mathjax függőségek. A package.json-ban a commonmark benne van, de azt csak nodejs-nél rántja be úgy, egyébként a fenti CDN-es címet használja. Mindez alapbeállítás.

A gyakorlatban mióta van NPM (10+ éve) és module bundlerek, azóta úgy szokták csinálni, hogy minden függőséget require()-el rántanak be, és az egészet egy module bundlerrel fűzik össze.

<!DOCTYPE html>
<script src="/script/bundle.js"></script>
<textarea>...</textarea>

A bundle.js-nél meg mondjuk be van csomagolva egy main.js, ami így néz ki:

var textme = require("textme");

és a textme.js-en belül is így megy a fenti két függőség betöltése, hogy

var commonmark= require("commonmark");
var mathjax= require("mathjax");

És mindegyikből a package.json-ban leírt verziót fogja belecsomagolni és betölteni a bundler. Illetve az NPM-el meg lehet nézni, hogy van e ismert sebezhetőség valamelyik függőségre, van e frissítés hozzá, vagy csak egyszerűen listázni lehet, hogy az oldal milyen könyvtáraktól függ.

Na most írtam a fejlesztőnek, hogy nagyon nem oké így kezelni a függőségeket, meg hogy nem kéne feltalálni a spanyol viaszt ilyen custom JS fájl betöltőkkel, amikor már jó ideje vannak module bundlerek, meg hogy egyébként is sok helyen el fog hasalni, mert a CSP tiltani fogja és nem valami jó gyakorlat, hogy a default beállításban ő egy személyben eldönti, hogy már pedig mindenki CDN-ről rántja be ezeket az egyébként rejtett függőségeket, aki nem olvassa el a dokumentációban az erre vonatkozó apró betűs fél mondatot a huszadik oldal lap alján. Erre persze azt írja, hogy ez így teljesen rendben van, és mondjak valami tényleges sebezhetőséget, amit javíthat. Mondom, hogy ezek alapvető biztonsági elvek, és ha nem érti, akkor én feladom, és inkább használok valami mást. Erre törli a hozzászólásomat, és letiltja a további kommenteket, mondván, hogy milyen sértő és agresszív, amiket írok. Itt tartunk 2021-ben, mindez egy 1.7k csillagot kapott repo a githubon, szóval valószínűleg több ezren használják...

Csak hogy valami proof of concept is legyen, belenéztem a függőségekbe. Tipikusan ezek a markdown-os feldolgozók többféle regexel szoktak működni. A JS regex engine meg sebezhető ReDoS-ra. Annak az a lényege, hogyha nem figyelsz rá a fejlesztésnél, akkor olyan a regex minta, hogy tudsz hozzá olyan stringet csinálni, amivel ítéletnapig molyol rajta a regex engine, esetleg befagyasztja az egész böngészőt. Bár nem lehet minden sebezhető mintát megtalálni, azért vannak rá próbálkozások, pl itt ez a ReDoS checker: [link] A commonmark-nál nézegettem, erre a regex mintára azt írja, hogy sebezhető: [link] Most nincs időm jobban belemászni, hogy milyen string-el lehetne befagyasztani az egészet, de ha igazat adunk neki, akkor van egy ilyen rejtett függőség, amit a tudtunkon kívül ránt be a kódjuk, és amivel ki lehet fagyasztani a weboldalt, ha valaki szivatni akar minket és elküldi kommentben a megfelelő stringet és ráeresztjük a kommentekre is a markdown feldolgozót.

[ Szerkesztve ]

Buliban hasznos! =]

Ha a YouTube-on nézel kezdő web fejlesztő anyagot, ott is CDN-ről húzzák be a css-t és a js-t. Én pl. Pythonban programozgatóként nem akarnék még egy npm-et is tárolni, aztán hozzácsomagolni az alkalmazásomhoz a szükséges css-t és js-t.

https://www.coreinfinity.tech

Persze, elterjedt manapság a CDN-ről berántani, de hadd döntsem már el én, hogy akarom e egy külsős CDN-ről, vagy inkább valami olyan helyről csinálom, amire legalább minimális ráhatásom van. Meg azért jó lenne látni, hogy mitől függ a weboldal, nem csak úgy innen-onnan berántani dolgokat on the fly kérdés nélkül.

[ Szerkesztve ]

Buliban hasznos! =]

Persze, ez a szabadság mindenkinek adott.
Ismered a wappalyzer nevű böngésző kiegészítőt?

https://www.coreinfinity.tech

Közben volt egy kis időm, megnéztem a mintát, amit sebezhetőnek jelzett, és nekem úgy tűnik, hogy rendben van és tévedett a ReDoS checker, vagy valami általam ismeretlen módon támadható.

Most már igen, tetszik. :-) [link]

Buliban hasznos! =]

Indiában sincsenek a helyzet magaslatán a kritikus infrastruktúrák védelme terén. [link]

Buliban hasznos! =]

Mi talán egy picit előrébb járunk, van már egy pár hónapja kézikönyv, hogy hogyan kell villamos hálózatot védeni: [link] [link] [link]

[ Szerkesztve ]

Buliban hasznos! =]

Szerintem kevés helyen állnak a helyzet magaslatán, de ez szvsz.

https://www.coreinfinity.tech

Jó volt ez az online oktatás első nap - estére már biztos jönnek a hírek, hogy elosztott szolgáltatásmegtagadási támadás ért kormányzati oldalakat, azért nem működött az e-kréta (és DKT) egész nap

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Most elismerték, hogy szimplán túlterhelt volt az oldal, nem bírta el a látogatók számát.
Legalábbis olvastam valahol, talán a hvg.hu-n.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Remélem azért a gáz nem fog elmenni, bár most már viszonylag tűrhető az idő, hogy fával kihúzzuk a maradék telet. [link]

[ Szerkesztve ]

Buliban hasznos! =]

Wow, a keylogger, amit korábban írtam tesztelési célzattal, 5 helyett már 31 engine detektálja

https://www.coreinfinity.tech

Szerintem ezek osztják egymás között az információt így vagy úgy. Ha az egyik elkapja, akkor előbb utóbb megjelenik a másikban is.

Buliban hasznos! =]

ugyanazt vagy már az okosított változatát?

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ugyanaz, még nem volt időm az okosított változatának nekiállni.

https://www.coreinfinity.tech

Krasznay eleresztett a múltkor egy olyat, hogy a kiberbűnözők nagyon nekilendültek, és már állami szintű eszközöket is használ némelyik, pl célzottan támadnak bizonyos szervezeteket. Ti ezekből érzékeltek valamit?

Buliban hasznos! =]

Mi nem, bár nem hiszem hogy relevánsak lennénk.
A készülő, fél(?)kész SOC-unkban német IP-ről van pár kósza próbálkozás az utóbbi napokban, de látszik hogy automata.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

El tudom képzelni, hogy egyes államok támogatnak bizonyos csoportokat, hogy az ellenországokban minél nagyobb káoszt tudjanak előidézni.

https://www.coreinfinity.tech

Lehet. Főleg, hogy most mindenki jobban kitett az ilyen támadásoknak.

Buliban hasznos! =]

Szia!
Ez a kurzus, amiről írtál, ez még elérhető valahol?
Köszi!

Jó kérdés. Elvileg itt kéne, hogy elérhető legyen, hogy mikor lesz a következő: [link] Viszont most úgy tűnik, mintha elcseszték volna a htaccess beállítást és emiatt végtelen ciklusba került az átirányítás. Szerintem próbáld újra pár nap múlva, addigra csak megtákolják. Addig lehet nézegetni ezt pl: [link] ez is ugyanattól a csapattól van, csak nem annyira pörgős.

Buliban hasznos! =]

Nekem működött, éppen 15 perce neveztem be az áprilisi kurzusra.

https://www.coreinfinity.tech

Hát akkor nem tudom mi a baja nálam. Csak annyit látok, hogy folyamatosan 302-vel átirányít saját magára. Lehet, hogy kitiltottak, bár ha igen, akkor nem világos miért.

[ Szerkesztve ]

Buliban hasznos! =]

Jelenleg auditálunk egy állami hivatalt, ahol a minőségbiztosítási portál ki van lógatva a netre, a belépés pedig egy három karakteres (!!!) felhasználónév-jelszó párossal (a kettő ugyanaz) történik.... Vélemény?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)