Klienci poczty na Android mają dziwną opcję akceptowania wszystkich certyfikatów SSL. To nie mogło skończyć się dobrze. A może jednak tak?
Mierzymy bezpieczeństwo
Garść wiedzy naszych redaktorów na tematy związane z bezpieczeństwem IT, testami penetracyjnymi, hackingiem
Klienci poczty na Android mają dziwną opcję akceptowania wszystkich certyfikatów SSL. To nie mogło skończyć się dobrze. A może jednak tak?
Program bug bounty czyli płacenie hakerom za wykryte podatności to kolejny sposób poprawę bezpieczeństwa systemów i aplikacji. Wiele par oczu wyszukujących podatności oraz płatność w systemie success fee jest na tyle ciekawy, że coraz więcej firm korzysta z platform takich jak Bugcrowd czy HackerOne i uruchamia programy firmowe. Jeśli jesteś bezpiecznikiem, osobą odpowiedzialną za start lub prowadzenie takiego programu, to jest to artykuł dla Ciebie. Dowiesz się w jaki sposób położyć taki program na trzy różne sposoby. Sposób pierwszy – brak zespołu obsługującego zgłoszenia Haker zgłosił podatność, należałoby ją sprawdzić i ewentualnie załatać. Jak na złość właśnie wszyscy są zajęci…
Buffer Overflow – klasyczny błąd, klasycyzm wpojony tak głęboko w trzewia IT, że kernel już sam się broni przed sukcesywną eksploitacją w większości przypadków.
Dzisiaj się nim zajmiemy, oj tak. Nim jednak przejdziemy stricte w zasieki specyfikacji błędu oraz jego wykorzystania – porozmawiajmy o buforze, z którego to się przelewa, kiedy jest przepełniony. Dlaczego się przelewa, co się przelewa?
A co to stos? A co to adresacja pamięci? No bo jak bufor to i jego stos, prawda? Jak stos to i coś co w nim jest, a jak się do tego odnieść? Wyciągnąć, coś wrzucić tam?
Od początku…