Pár vecí čo vás možno zaujmú ohľadne bezpečnosti na nete
Tak zas nám tento rok prebehol CryptoFest (česky) tento krát nečakane pod názvom CryptoFest 2015.
Taký základ čo by už dnes nemal nijakého Webára prekvapiť, ale predsa kopec starých webov s takýmito bezpečnostnými chybami existuje a ešte dlho bude.
(Pozor, Youtube vás sleduje tak to pozerajte len na vlastné nebezpečie!)
Úvod do bezpečnosti webových aplikací (Vojtěch Jirkovský) – Začátečníci
Prednáška o tom že MD5 je dávno prelomený, dúfam že ho už nikto nepoužívate.
Kolize hašovací funkce MD5 (Duc Anh Nguyen) – Mírně pokročilí
Robíte s webom a nepoznáte OWASP? To je ako by ste robili inštruktora v autoškole a nepoznali značky, hurá na to.
OWASP a kryptografie (Petr Závodský) – Mírně pokročilí
Trochu zmätená prednáška a nie úplne so správnym názvom, ale je dobrá vďaka tomu že človek sa v danej problematike vyzná. Kto nechápe DNSSEC, tak ho určite pochopí.
Bezpečnost počítačových sítí (Ondřej Caletka) - Workshop
Zas prednáška s názvom ktorý úplne nevystihuje podstatu. Pokiaľ chcete získať všeobecné informácie ako sa chovať v sieti a hlavne pripojenej k internetu, treba si pozrieť, hádam zaujme.
Bezpečnost, rizika a soukromí v informačních technologiích (Karel Nykles) – Začátečníci
Top úplná špička pre hračičkárov, nerdov, hackrov, alebo len tak si pozrieť so zaujímavosti ako vám hocikto okolo môže odpočúvať mobil. Nieje to tam povedané na plno, ale treba pozorne počúvať a domyslíte si prečo to tak asi je. Názov tento krát sedí na 100%.
Nebezpečné GSM (@securehack) – Mírně pokročilí
Môj vlastný postreh ohľadne uploadu súborov
Kto sa dočítal až sem je s veľkou pravdepodobnosťou webár a určite už niekedy riešil upload súborov na server. Pridám jeden postreh z bezpečnosti, čomu je dobré sa vyhnúť. Spravidla chceme aby sme určili čo nám na server môžu užívatelia uploadovať a čo nie. Veľa skriptov je spravená takto:
if (substr ($_FILES["file"]["type"][$i], 0, 5) == 'image' ||
substr ($_FILES["file"]["type"][$i], 0, 5) == 'audio' ||
substr ($_FILES["file"]["type"][$i], 0, 5) == 'video')
{
...
Na prvý pohľad je všetko správne, len to má jednu chybu, mime type posiela prehliadač a pretože nieje žiadny veľký problém sfalšovať tieto dáta, tak mime type video môže byť v skutočnosti kľudne škodlivý kód v php, shelly atď. Overiť si to môžete jednoducho premenovaním, hack.php na hack.jpg , ktorý už na server jednoducho dostanete.
Takže musíme overovať mime type na strane serveru. Na to stačí jednoduchá funkcia/metóda, ktorá môže vyzerať takto:
function get_mime ($file_name) {
$handle = finfo_open (FILEINFO_MIME_TYPE);
if ($mime_type = @finfo_file ($handle, $file_name)) {
finfo_close ($handle);
return $mime_type;
}
else {
return FALSE;
}
}
No a kód sa nepatrne zmení, tak že budeme overovať mime type až po uploadovaní do tmp:
$mime = get_mime ($_FILES["file"]["tmp_name"][$i]);
if (substr ($mime, 0, 5) == 'image'||
substr ($mime, 0, 5) == 'audio' ||
substr ($mime, 0, 5) == 'video')
{
...
Kto chce ale naozaj strong techniku, bude si na detekciu mine type musieť napísať vlastný skript.
Spam bots
Sledovaním požiadaviek na server sa mi podarilo zablokovať jeden malý, ale otravný spamovací botnet. Sledoval som ich podľa rovnakých požiadaviek. Tak až nájdete u seba jednu z týchto IP s veľkou pravdepodobnosťou vás navštívia aj ostatní.
IPečky som dal na http://pastebin.com/
Pre pridávanie komentárov sa musíte prihlásiť.
Fajná domáca úloha, vďaka za tip ;)
Nie je zač, určite sa oplatí tie videá vidieť.