ethical hacking címkéhez tartozó bejegyzések

Real World .NET, C#, and Silverlight: Indispensible Experiences from 15 MVPs

image 1

Örömmel jelentem, hogy kézzelfogható bizonyítékát kaptam annak, hogy megjelent a Wroxnál a Real World .NET, C#, and Silverlight: Indispensible Experiences from 15 MVPs c. könyv. Számomra azért különleges ez a könyv, mert ez a második angol nyelven, külföldön megjelent könyv, aminek a szerzője, pontosabban társszerzője voltam.

Ez a könyv azért egyedi, mert nem egy témával foglalkozik, hanem többel, konkrétan tizenöttel:

“Written by a group of experienced MVPs, this unparalleled book delves into the intricate—and often daunting—world of .NET 4. Each author draws from a particular area of expertise to provide invaluable information on using the various .NET 4, C# 4, Silverlight 4, and Visual Studio tools in the real world.”

Nagyon jó csapat állt össze, mert minden fejezetet egy Most Valuable Professional címmel rendelkező szerző írt, mégpedig a kedvenc témaköréből:

  • David Giard: ASP.NET and jQuery
  • Bill Evjen: ASP.NET Performance
  • György Balássy: Ethical Hacking of ASP.NET
  • Gill Cleeren: How to Build a Real-World Silverlight 5 Application
  • Jeremy Likness: Silverlight — The Silver Lining for Line-of-Business Applications
  • Daron Yöndem: Tips and Tricks for Designers and Developers
  • Kevin Grossnicklaus: MVVM Patterns in Silverlight 4
  • Alex Golesh: Windows Phone "Mango" for Silverlight Developers
  • Christian Weyer: Pragmatic Services Communication with WCF
  • Dominick Baier: Securing WCF Services Using the Windows Identity Foundation (WIF)
  • Jeffrey Juday: Applied .NET Task Parallel Library
  • Vishwas Lele: The WF Programming Language
  • Christian Nagel: Practical WPF Data Binding
  • Scott Millett: Driving Development with User Stories and BDD
  • Caleb Jenkins: Automated Unit Testing

Az eredeti csapatban Velvárt András barátom is benne volt, de a 15 szerző koordinálása miatt sajnos lassan készült a könyv, így végül Bandi a SilverlightShow-n publikálta a fejezetét Windows Phone 7 for Silverlight Developers címmel e-book formájában.

A könyv az Amazonon november vége óta kapható, de a szerzői tiszteletpéldányok csak most érkeztek meg Magyarországra (az amerikai szerzők már decemberben megkapták), így én is csak most tudtam végignézni a többiek témáját, amik között nem egy nagyon hasznosat és érdekeset találtam. A vegyesfelvágottnak köszönhetően szerintem mindenki talál a könyvben a szívéhez közel álló fejezetet.

Jómagam Ethical Hacking ASP.NET címmel az ASP.NET platformban rejlő olyan biztonsági gyenge pontokról írtam, amelyek minden ASP.NET-es alkalmazást sebezhetővé tesznek bizonyos támadások ellen. Aki eljön a szerdai bemutatóra, kaphat belőle egy kis ízelítőt. Akihez pedig eljut a könyv, kérem küldjön visszajelzést, hogy hasznosnak találta-e a leírtakat.

 

Technorati-címkék: ,,,,
Reklámok

Ethical Hacking bemutató a BME-n szerdán

Folytatva az előző évek hagyományait, a NetAcademia Oktatóközponttal együttműködve az IT-biztonság iránt érdeklődő diákok részére ismét tanrenden kívüli Ethical Hacking képzést indítunk a BME-n. A tanfolyam ezúttal online, így nem BME-s és vidéki diákok is kényelmesen vehetnek részt rajta.

 

ethical_hacking_kepzes

 

Bemutató február 8-án!

Hogy kedvet csináljunk a képzéshez, február 8-án tartunk egy nyilvános hekkelős bemutatót a képzésből. A változatos gyakorlati példákon keresztül résztvevők benyomást szerezhetnek a képzés jellegéről, illetve szabadon feltehetik a kérdéseiket is a képzéssel kapcsolatban.

Időpont: 2012. február 8., szerda, 16 óra
Helyszín: BME Q épület QB.F14 terem (1117 Budapest, Magyar Tudósok krt. 2.)

Minden érdeklődőt (nem BME-s diákokat is) szeretettel várunk!

A képzéssel kapcsolatos minden információ megtalálható itt:
http://www.aut.bme.hu/EthicalHacking

 

Technorati-címkék: ,

Daily WTF: belépés jelszó nélkül by design

Az imént regisztráltam egy weboldalra, ahonnan megjött a szokásos – teljesen felesleges – köszhogyregisztráltál levél. Azt hittem, ma már senki nem teszi ezekbe a levelekbe a felhasználónevet ÉS a jelszót egyszerre. Hát ők igen (na jó, nem ők az egyetlenek). Sőt még azt is beleírják, hogyan lehet jelszó nélkül belépni az én profilomba bárkinek, bárhonnan!

Belépés jelszó nélkül

Mesélhetek én arról, hogy ne legyen Emlékezz Rám funkció az oldalon, mert növeli a Cross Site Request Forgery támadások esélyét, vagy hogy védekezzünk a Session Fixation ellen… Az igazán szomorú, hogy ez egy informatikai témájú weboldal egy beépített, tervezett, támogatott funkciója, mi lehet bent vagy mi lehet máshol?

(ps. A fenti levél közepét kivágtam.)

Technorati-címkék: ,

Ismét Ethical Hacking képzés a BME-n – Gyere el a bemutatóra!

Az Automatizálási és Alkalmazott Informatikai Tanszék, valamint a NetAcademia közös szervezésében hamarosan ismét hivatalos Ethical Hacking képzés indul a BME-n. Hogy kedvet csináljunk a képzéshez, szeptember 30-án tarunk belőle egy nyilvános bemutatót. Gyere el Te is!

Ami a bemutatón történni fog:

  • Mesélünk a képzésről és a szerezhető CEH minősítésről
  • Demózunk:
    • Fóti Marcell (NetAcademia): Hogyan legyünk SYSTEM? Egy törésmenet bemutatása user szintről a csúcsig.
    • Zsíros Péter (NetAcademia): A MetaSploit szépségei: exploitok „használata”
    • Balássy György (BME AAIT): Webalkalmazások felhasználó- és munkamenet-kezelésének kijátszása
    • Dávid Zoltán (BME AAIT): Windows jelszavak visszafejtése a tanszék saját jelszótörő programjával


A bemutató időpontja:
szeptember 30. (csütörtök), negyed 5
Helyszín: BME, Informatika épület, B.028. terem
A részvétel ingyenes.

Minden érdeklődőt szeretettel várunk!

Üdvözlettel:
a szervezők

Ui.: ha fent vagy a Facebookon, ott is jelentkezhetsz a bemutatóra – vagy csak gyere el: http://www.facebook.com/event.php?eid=147343205303988&index=1

 

Technorati-címkék:

Ethical Hacking ASP.NET

Csütörtökön lezajlott a harmadik Ethical Hacking konferencia, ám az első, amin volt .NET-es téma is. Íme egy rövid összefoglaló arról, hogy hány sebből vérzik az ASP.NET.

A jól működő védelmeket nem is írom, csak néhány fontosabb sebezhetőséget. Itt is kiemelném, hogy bár az ASP.NET-et vettük nagyító alá, hasonló sebezhetőségek más platformokban is megtalálhatóak.

Session kezelés:

  • Session cookie lehallgatás-visszaküldés
  • Sesssion fixation

Űrlap alapú hitelesítés:

  • Authentication cookie lehallgatás-visszaküldés

ViewState:

  • Betekintés (information disclosure)
  • Lehallgatás és visszaküldés

Eseménykezelés:

  • Eseménykezelő átugrása
  • Kikapcsolt (disabled) gomb megnyomása
  • Rejtett gomb megnyomása

One-click támadás.

Aki ott volt az előadáson, mindegyikre láthatott példát. Aki nem tudott eljönni, de érdeklődik, innen letöltheti a prezentációt és a videók is hamarosan kikerülnek a netre.

Készülőben van egy tesztelő eszköz, amellyel ASP.NET-es webhelyek sebezhetőségeit lehet automatizáltam vizsgálni, egyes funkcióit be is mutattam az előadáson. A CodePlexen fogom közreadni a közeljövőben, természetesen csak a védekezés lehetőségeit leíró cikksorozattal együtt.

A csütörtöki egyike volt azon kevés konferenciáknak, ahol az utolsó előadást is ugyanolyan éberségi állapotban ültem végig, mint az elsőt. Számomra nagyon hasznos volt. Nektek? Megérte eljönni? Hallottatok újdonságokat, érdekességeket?

 

Technorati-címkék: ,,

Lopjunk sütit a böngészőtől

Egy .NET-es alkalmazásból a WebRequest osztály segítségével bármikor indíthatunk HTTP kéréseket egy weboldal felé. Ha a weboldal bejelentkezést igényel, akkor a webalkalmazás a szokásos módon cookie-k segítségével fogja megoldani az állapotkezelést, és a kliensre hárul a feladat, hogy a cookie-t minden kérésnél visszaküldje a szerverre. Ha a felhasználó böngészőből és a kliens alkalmazásból is eléri az alkalmazást, akkor sajnos kétszer kell bejelentkeznie, amire csak az lehet a megoldás, ha képesek vagyunk a böngésző által eltárolt sütit megszerezni.

Firefox böngésző esetén szerencsénk van, a perzisztens sütik egy cookies.sqlite fájlban tárolódnak, csak éppen a könyvtár kiderítése problémás. Az biztos, hogy a C:UsersfelhasználónévAppDataRoamingMozillaFirefoxProfiles mappa valamelyik almappájában van, az alábbi függvény visszaadja, hogy pontosan hol:

  private static string GetCookiePath()
  {
    string appDataPath = Environment.GetFolderPath( Environment.SpecialFolder.ApplicationData );
    string profilesPath = Path.Combine( appDataPath, @"MozillaFirefoxProfiles" );

    DirectoryInfo di = new DirectoryInfo( profilesPath );
    DirectoryInfo[] dir = di.GetDirectories( "*.default" );
    if( dir.Length != 1 )
    {
        return String.Empty;
    }

    string cookiePath = Path.Combine( profilesPath, dir[ 0 ].Name + @"" + "cookies.sqlite" );

    if( !File.Exists( cookiePath ) )
    {
        return String.Empty;
    }

    return cookiePath;
  }

A cookie-kat tartalmazó fájl szerencsére strukturált, konkrétan egy SQLite adatbázisról van szó, amihez szerencsére van szabadon letölthető managed provider. Miután referenciát adtunk a System.Data.SQLite.dll szerelvényre, a szokásos connection és command osztályokon keresztül érhetjük el az adatokat. A sütik a moz_cookies táblában vannak, ami name, path, host és value oszlopokat tartalmaz. Arra kell csak figyelni, hogy a host mező “www.” előtag nélküli domain neveket tartalmaz.

A WebRequest osztálynak egy CookieContainer példányt kell átadni, az alábbi függvény kiolvassa az adatbázisból a paraméterként megadott hoszt névhez tartozó sütiket és egy CookieContainer példányba csomagolva adja vissza:

  public static CookieContainer GetCookieContainer( string url )
  {
    Uri uri = new Uri( url );
    string host = uri.Host.Replace( "www.", "" );

    CookieContainer container = new CookieContainer();

    using( SQLiteConnection conn = new SQLiteConnection( "Data Source=" + FirefoxHelper.GetCookiePath() ) )
    {
        using( SQLiteCommand cmd = conn.CreateCommand() )
        {
            cmd.CommandText = "select * from moz_cookies where host like '%" + host + "%';";
            conn.Open();
            using( SQLiteDataReader reader = cmd.ExecuteReader() )
            {
                while( reader.Read() )
                {
                    container.Add( new Cookie( reader[ "name" ].ToString(), reader[ "value" ].ToString(),
                                               reader[ "path" ].ToString(), reader[ "host" ].ToString() ) );
                }
            }
        }
    }

    return container;
  }

Persze ha csak egyetlen süti értékére vagyunk kíváncsiak, akkor a domain név és a süti nevének ismeretében azt is megtudhatjuk:

  container.GetCookies( new Uri( url ) )[ cookieName ].Value;

Internet Explorer esetén a Wininet API-n keresztül tudjuk kiolvasni a böngésző által tárolt sütiket. Az InternetGetCookie helyett célszerűbb az újabb operációs rendszert igénylő InternetGetCookieEx függvény használata, mert azzal konkrét süti értékét is megkaphatjuk, sőt a HttpOnly sütiket is engedi olvasni.

Bármily kényelmesnek is tűnik ez a programozási lehetőség, akár a felhasználó tudta nélkül vissza lehet vele élni. Hogy ez milyen biztonsági fenyegetéseket rejt magában? Megmutatom az április 29-i Ethical Hacking konferencián. Már lehet regisztrálni!

 

Technorati-címkék: ,,,

Ethical Hacking bemutató a BME-n

Ethical hacking Március elején hivatalos Ethical Hacking képzés indul a BME-n az Automatizálási és Alkalmazott Informatikai Tanszék és az EC-Council hazai képviselője, a NetAcademia Oktatóközpont közös szervezésében.

Hamarosan lesz egy bemutató a képzésből – gyere el!
Ha érdekel az informatikai biztonság egyik legizgalmasabb ága, az etikus hekkelés, gyere el Te is a képzésbemutatóra! Hekkelésekkel fogjuk demonstrálni, miért fontos/érdemes ezzel a területtel foglalkozni, milyen előnyöket jelent a CEH (Certified Ethical Hacker) minősítés megszerzése, illetve megtudhatsz minden részletet a képzés elvégzésével kapcsolatban.

A bemutató helyszíne és időpontja: 2010. február 9. kedd. 17:15 I.B.028. terem (BME Informatikai épület, Magyar Tudósok krt. 2.)

A NetAcademiát biztosan nem kell bemutatni: ők csinálták az Ördöglakat nevű hekkeres játékot, rendezik minden évben az Ethical Hacking konferenciát, az oktatás területén pedig olyan cégeknek tartanak biztonsági képzéseket, többek között Ethical Hacking képzést is, mint például a NATO.

Elindult az Ethical Hacking csoport a Facebookon (http://www.facebook.com/group.php?gid=424530330612). Ott már most fel lehet iratkozni a bemutatóra! Csatlakozz!

 

Technorati-címkék: ,