3 Bezpieczeństwo stron WWW 17 minut czytania

Hackin9 extra 02/2009

Reklama Na Blogach Od dłuższego czasu posiadam specjalne wydanie numeru hackin9, w którym zostały zebrane najlepsze artykuły na temat bezpieczeństwa IT (szeroko rozumianego). Myślę, że mimo wysokiej (69zł),  warto poświęć czas i poszerzyć swoją wiedzę.

Poniżej zajawki artykułów znajdujących się w czasopiśmie:

Hakowanie SIP

Sandro Gauci

Artykul ukazuje dogłębne zasady ataku na systemy telefonii IP. Voip to modny i zyskujący na coraz większej popularności typ telefonii. Z artykułu dowiesz się w jaki sposób dbać o kwestie bezpieczeństwa związane z telefonami SIP.

Podsłuch GSM bez zgody operatora

Artykuł przedstawia z czego składa się system sieciowy oraz sposób podsłuchu GSM, który wbrew powszechnemu przekonaniu jest możliwy bez udziału operatora. Artykuł ten przygotowany jest na podstawie materiałów seminaryjnych VI Seminarium Naukowego dotyczących Przestępczości Teleinformatycznej i wykazuje, że istnieją sposoby umożliwiające skuteczny podsłuch w sieciach telefonii GSM.

VoIPER

Terron Williams

Urządzenia VoIP dostają się coraz częściej do dużych przedsiębiorstw i do znacznej części instalacji w mieszkaniach. Wykorzystanie przez hakerów ich słabych punktów staje się coraz poważniejsze. Z artykułu dowiesz się jak automatycznie testować rozwiązania SIP w celu wykrycia ich słabości używając zestawu narzędzi VOIPER.

Testy zabezpieczeń VOIP

Luca Leone

Wiele firm wybiera VoIP, aby zastąpić tradycyjne rozwiązania telefoniczne, płacąc mniejsze rachunki. Artykuł ukazuje podstawy słabości VoIP. Nauczysz się jak używać narzędzi pozwalających badać SIP i IAX oraz jak analizować stopień ryzyka.

Przejmowanie nieaktywnego konta

Dzięki lekturze tego artykułu dowiesz się jak można przy użyciu najprostszych metod przejąć czyjeś konto na dużych platformach online. Hijacking, czyli przejęcie kontroli jest prawdopodobnie metodą stosowaną od dawna. Aby móc się nią posługiwać wystarczą minimalne zdolności, zwłaszcza jeśli pracuje się ręcznie i rezygnuje się z jej zautomatyzowania.

Testy penetracyjne

Michael Heinzl

Artykuł ten ma unaocznić jakie zadania spełnia test penetracyjny i w oparciu o jakie wytyczne może być przeprowadzony. Dowiesz się także jakich programów można w tym celu użyć. Test penetracyjny, który jest sprawdzianem poziomu bezpieczeństwa systemu albo jego poszczególnych komputerów, ma sens jedynie wówczas , kiedy po jego zakończeniu zostaną podjęte działania zmierzające do poprawy wskazanych luk systemowych.

Libpcap - przejmowanie pakietów

Luis Martin Garcia

Dzięki lekturze artykułu dowiesz się jakie są główne zasady chwytania pakietów . Zapoznasz się z libpcapem oraz otwartą i przenośną biblioteką chwytania pakietów, która jest jądrem takich narzędzi jak tcpdump, dsniff, kismet, snort czy ettercap. Będziesz również wiedział na jakie aspekty zwrócić uwagę przy pisaniu aplikacji przejmującej pakiety. Dziś jednym z krytycznych narzędzi w arsenale jakiegokolwiek administratora sieci jest tzw. sniffer. Jest to program, który ma możliwość przechwycenia ruchu przechodzącego przez sieć.

Clickjacking - groźny link

Marco Lisci

Artykuł ten pokaże nową technikę web ataku. Pokazany został sposób, jak prosto można ukraść kliknięcia z witryny. Opis tej techniki pomoże zrozumieć proces sam w sobie oraz zaprezentuje problemy z zabezpieczaniem się przed tego typu atakiem.

Prawdziwe zagrożenia Wi-Fi

Stephen Argent

Artykułu pokaże Ci w jak prosty sposób możesz włamać się do sieci bezprzewodowej. Odkryje przed Tobą techniki manipulacji pakietami. Dowiesz się jak używać Ettercap, Driftnet, Wireshark do sniffingu. Pokażemy Ci w jaki sposób możesz zobaczyć rozmowę MSN przez sieć. Obrona jest najtrudniejsza tak więc najlepsze co możemy zrobić to nie wpuszczać nieupoważnionych ludzi do naszej sieci, a jeśli już to robimy powinniśmy być przygotowani na ataki i powinniśmy zawsze oglądać certyfikaty do stron tak by je weryfikować.

Ku przestrodze - ataki czasowe

Stavros Lekkas

W tym artykule opisany jest sposób przeprowadzenia analizy czasu wykonania ścieżki do programu w celu zidentyfikowania poprawnych nazw użytkowników usług w systemie UNIX. Dowiesz się zatem jak budować właściwe założenia poprzez prowadzenie analizy czasowej wykonania ścieżki programu a także jak identyfikować istniejących użytkowników. Celem tego artykułu jest wyjaśnienie w jaki sposób można przeprowadzić atak czasowy aby odkryć wrażliwe punkty w konfiguracji systemu a także sprawdzenie czy dany użytkownik istnieje w systemie.

Analiza złośliwego kodu

Hardik Shah

Artykuł ten prezentuje wstęp do podstawowych ale praktycznych sposobów analizy malware w środowisku kontrolowanym. Lektura artykułu pozwoli Ci zrozumieć czym jest złośliwy kod. Poznasz narzędzia oraz techniki wykorzystywane do analizy złego kodu. Nabycie takich umiejętności oraz intuicji to kwestia czasu, cierpliwości i poświęcenia.

ICMP Blind Attack na połączenia TCP

Fernando Gont

Artykuł ten pozwoli Ci zrozumieć w jaki sposób działa ICMP Blind Attack i jak go przeprowadzić. Dowiesz się jaki wpływ dla technologii VoIP oraz BGP niesie za sobą tego typu atak. Poznasz sposoby przeciwdziałania. Ten artykuł stanowi świetny przykład tego, że nie wolno przymykać oczu na technologie stare i uważane za dobrze pojęte i zrozumiane, w szczególności kiedy bezpieczeństwo większości systemów opiera się właśnie na nich.

Łamanie haseł - Rainbow Tables

Artykuł zawiera informacje o budowie program Rainbow Tables a także o tym jak przy jego pomocy prowadzić wyszukiwanie hasła. Niemal wszystkie systemy komputerowe są chronione przez - jedno hasło, które przez końcowego użytkownika może być wybierane bardziej lub mniej dowolnie. Zbyt proste hasła z łatwością można zaatakować. Dzięki lekturze artykułu poznasz także Wdy i słabe strony Rainbow Tables.

Eksperckie SPA z fwknop

Michael Rash

Artykuł ten wprowadza w najnowsze osiągnięcia dotyczące implementacji fwknop w SPA, omawia metody zarówno wykrywania jak i ukrywania ruchu fwknop SPA i przedstawia pomysły na przyszły rozwój w zakresie autoryzacji pasywnej. Z artykułu dowiesz się jak pisać reguły SNORT oraz o najnowszych opcjach w implementacjach fwknop SPA.

Hakowanie iPhone 3G

Marcell Dietl

iPhone firmy Apple jest jednocześnie jednym z najbardziej uwielbianych i najbardziej znienawidzonych telefonów komórkowych ostatnich lat. Fanatycy wychwalają go pod niebiosa, a przeciwnicy krytykuja politykę firmy Apple przy każdej nadarzającej się okazji. Co tak naprawdę oferuje iPhone? Co jest dobre a co złe? dowiesz się w tym artykule.

Eksperckie tworzenie rootkitów

Chico del Rio

Z artykułu dowiesz się o podstawowych metodach projektowania rootkitów. Wikipedia podaje nam następującą definicję rootkita: narzędzie pomocnicze we włamaniach do systemów informatycznych. Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. Artykuł zawiera również informacje odnośnie ochrony przeciwko rootkitom.

Inkluzja plików zdalnych i lokalnych

Gordon Johnson

Po lekturze artykułu powinieneś mieć lepsze zrozumienie, jak blisko przeglądarki współpracują z systemem operacyjnym, razem z kilkoma pomysłami na to jak działają PHP i serwery web. Z artykułu dowiesz się także czym są pliki zdalne i lokalne i jak się przed nimi obronić.

Certyfikaty root w przeglądarce

Z artykułu dowiesz się jakie procesy muszą przejść urzędy certyfikacji, aby zostały uznane za godne zaufania i mogły wystawiać wiarygodne certyfikaty SSL. Bezpieczeństwo IT w dzisiejszych czasach coraz bardziej zyskuje na znaczeniu. Maile są zaszyfrowane, a transmisja danych odbywa się zwykle przez zabezpieczone kanały. Praktycznie każdy użytkownik Sieci korzystał z usług bankowości internetowej lub robił zakupy w internetowym sklepie. Aby zapewnić bezpieczeństwo takich transakcji używa się zazwyczaj połączenia HTTPS. Poważniejsze firmy dodatkowo stosują wiarygodny certyfikat SSL.

Atak na sieć ToIP

Artykuł zawiera informacje w jaki sposób sprawdzić bezpieczeństwo sieci telefonii IP. Bezpieczeństwo jest dziedziną, która wciąż się rozwija. Instalacja VoIP- owa pozostanie bezpieczna tylko w przypadku, gdy jej administratorzy będą realizowali ciągły monitoring, zaostrzoną technologiczną kontrolę oraz regularne audyty w celu wychwycenia nowych błędów w ich systemach. Poznasz także zasady konieczne do wdrożenia celem zabezpieczenia tej sieci.

Security Awareness w biznesie

Artykuł ukazuje wyzwania jakie wiążą się z wdrażaniem programu podnoszenia świadomości w zakresie bezpieczeństwa a także rodzaje metod, za pomocą których można przeprowadzić skuteczną kampanię uwrażliwienia na kwestie bezpieczeństwa.

Testy odporności na błędy

Artykuł omawia różne sposoby testowania błędów projektowych zagrażających bezpieczeństwu. Dowiesz się jak testy negatywne wpływają na zapełnienie luki, którą zostawiają testy pozytywne redukując koszt i czas. Przedstawione są także wyniki porównania pozytywnych i negatywnych testów.

Słabe strony konwersji typów integer

Ten artykuł wyjaśnia jak i kiedy zachodzi konwersja typów, a także jak rozpoznać i uniknąć spowodowanych przez nie słabych punktów. Dowiesz się również jak usterka może spowodować niebezpieczny typ konwersji i jak im zapobiegać. Co więcej artykuł podaje przykłady słabości, aby pokazać potencjalne konsekwencje nieoczekiwanych konwersji.

Łamanie LDAP Salted SHA Hashes

Z artykułu dowiesz się jak zbudowane są LDAP Solted SHA Hashes, jak zaadoptować współczesne narzędzia żeby złamać LDAP SSHA hashes. Dziś ryzyko dla bezpieczeństwa jest nieporównywalnie większe niż kiedyś, z powodu rozwoju technologii Internetu i sieci Web polegających na pojedynczych hasłach i pojedynczych losowaniach (SSO). Dowiesz się także dlaczego LDAP SSHA hashes powinny być traktowane jako dane tekstowe.

Zalety i wady protokołu SSH

Artykuł ten skierowany jest do użytkowników chcących przede wszystkim zrozumieć zasady działania protokołu SSH. Przedstawia on różne aspekty protokołu SSH, jego funkcjonalność, zalety i wady, nie zapominając przy tym o błędach do uniknięcia żeby nie zakłócić pracy serwera. Użytkowanie SSH musi stanowić spójny element globalnej polityki bezpieczeństwa i musi być uruchomiony w celu uzupełnienia polityki dostępu i przefiltrowania, ponieważ mimo jego atutów, nie jest on jednak panaceum w dziedzinie zabezpieczonych protokołów.

Deszyfracja kryptografii kwantowej

Bénoni Martin

Od 15 lat mamy pierwsze podstawy dwóch zastosowań fizyki kwantowej: komputer kwantowy i kryptografię kwantową, które to są tematem artykułu. Kryptografia jest czymś, co powoli staje się rzeczywistością. Star- up D-Wave zapowiadają wypuszczenie pierwszego komputera kwantowego w przyszłym roku. W przypadku gdy to stanie się rzeczywistością, deszyfracja klasyczna kodu takiego jak RSA czy potrójny DES stanie się dużo prostsza dzięki tej mocy obliczeniowej.

Ataki przy pomocy załączania plików

Ali Recai Yekta

Z artykułu dowiesz się czym są ataki przy pomocy załączania plików. Poznasz prawdziwe zagrożenia wynikające z tych ataków. Dowiesz się jak znajdować słabości i je wykorzystywać a także jak rozwinąć techniki defensywne przeciwko atakom przy pomocy załączania plików. W zależności od tego jak bezpieczny jest serwer, atakujący może dodać lokalne i zdalne pliki przez użycie technik typu file inclusion. Poprzez takie działanie atakujący mógłby uruchomić polecenia lub zagrozić plikom w systemie.

Analiza rejestru

Celem tego artykułu jest opisanie tego czym jest rejestr, opisanie jego struktury, jak może on i czy powinien być parsowany i jak informacja wzięta z rejestru może być przydatna w dochodzeniach z prawdziwego świata. Artykuł ten omawia Rejestr Windows dla rodziny systemów operacyjnych Windows NT, włączając Windows 2000, XP, 2003 i Vista.



Raz w miesiącu e-mail z najlepszymi artykułami

Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:.

Komentarze 3

author Irek www 11.12.2009 15:27:14

Kurczę ciekawe są materiały zamieszczone w tym piśmie...
mógłbym się dowiedzieć gdzie można je zakupić online?

author Firmy 25.06.2011 09:26:43

czytaj kolego, w necie jest wszystko po co kupować

author Liderseo www 26.06.2011 10:39:11

"Myślę, że mimo wysokiej (69zł)"

Powinieneś dodać: mimo wysokiej "ceny" (69zł)"

Dodaj komentarz