Naše postřehy
Jak hacknout jakýkoliv Facebook účet jen pomocí SMS? Anglický security researcher (fin1te) našel slabinu v notifikačním systému Facebooku. Pomocí změny parametru na stránce autorizace mobilního čísla uživatele byl schopen číslo změnit za svoje. Pak už jen stačlo projít procedurou zapomenutého hesla, kdy je potřeba zadat verifikační kód, který vám přijde na mobil (teď již útočníka) a resetovat heslo. Za nahlášení této chyby dostal odměnu 20 000 USD v rámci program Bug Bounty.Pěkný článek shrnující metody přesměrování stránek či obsahu webu, které používají spameři pro trackování prokliků a obcházení spam filtrů. U každého ze způsobů (JavaScript, meta-tag, iframe, htaccess, php, obfuskace, …) je uveden popis a konkrétní příklad. Na konci pak soubor doporučení, jak se před těmito útoky chránit.
Pěkný článek pojednávající o způsobu šíření a chování exploit kitu Glazunov. Součástí je i krátké video vysvětlující mechanizmus „drive-by download“ a popis problému researcherů rozeznat od sebe některé z exploit kitů, protože jsou si velmi podobné.
Pokud potřebujete vygenerovat payload a zároveň se snažíte udržet mimo zorné pole antivirových aplikací (obcházení AV detekčních enginů), rozhodně by vám neměl uniknout Veil Evasion Framework.
Webové stránky Fortuny jsou pod útokem. Jak uvedl mluvčí společnosti, jedná se pravděpodobně o DDoS útok, který ale nedokázal web úplně odstavit. Media nicméně stále nechápou, nebo spíše nechtějí chápat, pojem hacker, a tak prosím ignorujte pojem “hackerský útok” uvedený ve článku.
Poslední verze WordPressu (3.5.2) opravuje sedm bezpečnostních chyb a obsahuje i změny napomáhající proaktivní obraně před novými útoky. Je doporučeno ihned aktualizovat na poslední verzi.
Ještě minulý týden jsme informovali, že cena trojana/bankera Carberp klesla z 50 000 USD na 5000 USD, a pár dnů na to jsme se dozvěděli, že většina zdrojových kódů byla zveřejněna na Internetu.
Google Chrome Web Store přidal scanování aplikací, který proběhne před publikování, za cílem detekovat malware i jinak škodlý kód, který by mohl zapříčinit napadení vašeho počítače.
HTML Injection je chyba validace webového formuláře, kdy je možné vložit vlastní HTML kód a tím tak modifikovat výstup stránky a odchytnout například session cookie, vynutit po uživateli přihlášení atp.
Pokud jste si vždy chtěli přečíst jednoduchý článek vysvětlující, co je to Heap Overflow, tak přečtěte tento na InfoSec Institute.
Google přehledně zveřejnil data ze Safe Browsing, kde se můžete podívat, kolik webů hostuje malware, kolik varování bylo zobrazeno uživatelům i jak dlouho trvá průměrné odstranění malwaru ze stránek.
O aktualizaci dokument OWASP Top 10 webových chyb jsme už psali. Teď si můžete přečíst o Top 10 open source aplikacích, které pro testování/odhalování těchto chyb můžete použít.
Vlády a společnosti trénují novou generaci kyber válečníků pro boj s internetovými hrozbami.
Vše co jste chtěli vědět o HTML 5 útocích a nových možnostech díky novým funkcím, které přináší.
Clickjacking je metoda, kdy přes jednu stránku načtete druhou a dáte ji stoprocentní průhlednost, čímž je vlastně neviditelná pro uživatele. Když poté uživatel klikne na další objekt/tlačítko/odkaz na stránce spustí se tím akce na stránce skryté. Využití se meze nekladou. Uživatel tak může např. nastavit přesměrování všech svých emailů, jako by to udělal z webové administrace webmailu, koupit zboží na eshopu, snížit bezpečnost svého profilu na sociální síti a tak dále. Novou metodu clickjackingu, které se říká keyjacking, objevil italský security odborník Rosario Valotta.
Anketa
Byly bychom rádi, kdybyste nám vyplnili níže uvedenou anketu, protože nám to velice pomůže s budoucím vývojem a koncepcí PzB. Předem děkujeme!
Kdo čte naše Postřehy z bezpečnosti?
Závěr
Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter.
