Kto wie, jakie strony odwiedzasz?

W lipcu jeden z najpopularniejszych serwerów DNS BIND skończył 33 lata. Pierwsza wersja standardu DHCP przypada na rok 1993 (RFC1531). Od tego czasu świat poszedł naprzód i większość protokołów została zastąpiona swoimi szyfrowanymi odpowiednikami (Telnet → SSH, FTP → SFTP, HTTP → HTTPS). DNS i DHCP przetrwały praktycznie bez zmian. W tym artykule przedstawi, jakie […]

Bezpieczny SVG

W jednej aplikacji nad którą pracuje odkryliśmy podatność dotyczącą plików SVG dostarczanych przez użytkowników. Szczegółowe wyjaśnienie jak można wykorzystać Scalable Vector Graphics do zrobienia Stored XSS dobrze opisał Sekurak. Vizzdoom (autor posta na Sekuraku) sugeruje zwracanie odpowiednich nagłówków (Content-Type, X-Content-Type-Options i Content-Security-Policy) – co zawsze jest dobrym pomysłem! a także zachęca do użycia narzędzia SVGPurifier. […]

A TY, gdzie trzymasz swoje klucze?

Na tak postawione pytanie pewnie większość odpowie: w kieszeni, torebce lub plecaku. Jednak oczywiście nie chodzi o klucze do mieszkania, a o klucz prywatny. Dostęp bezhasłowy do serwerów ssh wymaga (oczywiście można pozwolić na prawdziwie bez hasłowy dostęp, jednak wtedy powstaje pytanie, czy brak hasła nie jest hasłem) posiadania pary kluczy: prywatnego, którego nie udostępniamy […]