Pár vecí čo vás možno zaujmú ohľadne bezpečnosti na nete

14.09.2015 | 21:03 | Žumpa | bedňa

Tak zas nám tento rok prebehol CryptoFest (česky) tento krát nečakane pod názvom CryptoFest 2015.

Taký základ čo by už dnes nemal nijakého Webára prekvapiť, ale predsa kopec starých webov s takýmito bezpečnostnými chybami existuje a ešte dlho bude.

(Pozor, Youtube vás sleduje tak to pozerajte len na vlastné nebezpečie!)

Úvod do bezpečnosti webových aplikací (Vojtěch Jirkovský) – Začátečníci

Prednáška o tom že MD5 je dávno prelomený, dúfam že ho už nikto nepoužívate.

Kolize hašovací funkce MD5 (Duc Anh Nguyen) – Mírně pokročilí

Robíte s webom a nepoznáte OWASP? To je ako by ste robili inštruktora v autoškole a nepoznali značky, hurá na to.

OWASP a kryptografie (Petr Závodský) – Mírně pokročilí

Trochu zmätená prednáška a nie úplne so správnym názvom, ale je dobrá vďaka tomu že človek sa v danej problematike vyzná. Kto nechápe DNSSEC, tak ho určite pochopí.

Bezpečnost počítačových sítí (Ondřej Caletka) - Workshop

Zas prednáška s názvom ktorý úplne nevystihuje podstatu. Pokiaľ chcete získať všeobecné informácie ako sa chovať v sieti a hlavne pripojenej k internetu, treba si pozrieť, hádam zaujme.

Bezpečnost, rizika a soukromí v informačních technologiích (Karel Nykles) – Začátečníci

Top úplná špička pre hračičkárov, nerdov, hackrov, alebo len tak si pozrieť so zaujímavosti ako vám hocikto okolo môže odpočúvať mobil. Nieje to tam povedané na plno, ale treba pozorne počúvať a domyslíte si prečo to tak asi je. Názov tento krát sedí na 100%.

Nebezpečné GSM (@securehack) – Mírně pokročilí

Môj vlastný postreh ohľadne uploadu súborov

Kto sa dočítal až sem je s veľkou pravdepodobnosťou webár a určite už niekedy riešil upload súborov na server. Pridám jeden postreh z bezpečnosti, čomu je dobré sa vyhnúť. Spravidla chceme aby sme určili čo nám na server môžu užívatelia uploadovať a čo nie. Veľa skriptov je spravená takto:

if (substr ($_FILES["file"]["type"][$i], 0, 5) == 'image' ||
    substr ($_FILES["file"]["type"][$i], 0, 5) == 'audio' ||
    substr ($_FILES["file"]["type"][$i], 0, 5) == 'video')
{
   ...

Na prvý pohľad je všetko správne, len to má jednu chybu, mime type posiela prehliadač a pretože nieje žiadny veľký problém sfalšovať tieto dáta, tak mime type video môže byť v skutočnosti kľudne škodlivý kód v php, shelly atď. Overiť si to môžete jednoducho premenovaním, hack.php na hack.jpg , ktorý už na server jednoducho dostanete.

Takže musíme overovať mime type na strane serveru. Na to stačí jednoduchá funkcia/metóda, ktorá môže vyzerať takto:

function get_mime ($file_name) {
	$handle = finfo_open (FILEINFO_MIME_TYPE);
	if ($mime_type = @finfo_file ($handle, $file_name)) {
		finfo_close ($handle);
		return $mime_type;
	}
	else {
		return FALSE;
	}
}

No a kód sa nepatrne zmení, tak že budeme overovať mime type až po uploadovaní do tmp:

$mime = get_mime ($_FILES["file"]["tmp_name"][$i]);
if (substr ($mime, 0, 5) == 'image'||
   substr ($mime, 0, 5) == 'audio' ||
   substr ($mime, 0, 5) == 'video')
{
   ...

Kto chce ale naozaj strong techniku, bude si na detekciu mine type musieť napísať vlastný skript.

Spam bots

Sledovaním požiadaviek na server sa mi podarilo zablokovať jeden malý, ale otravný spamovací botnet. Sledoval som ich podľa rovnakých požiadaviek. Tak až nájdete u seba jednu z týchto IP s veľkou pravdepodobnosťou vás navštívia aj ostatní.

IPečky som dal na http://pastebin.com/

    • RE: Pár vecí čo vás možno zaujmú ohľadne bezpečnosti na nete 16.09.2015 | 09:39
      Avatar vxmery Mint 17.3  Používateľ

      Fajná domáca úloha, vďaka za tip ;)

      • RE: Pár vecí čo vás možno zaujmú ohľadne bezpečnosti na nete 16.09.2015 | 10:59
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        Nie je zač, určite sa oplatí tie videá vidieť.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org