Volt egyszer egy idő, nem is olyan régen, amikor a kedvenc weboldal sérülékenység elemző szoftverem, a Burp Suite Pro 1 hónapos próbaverzióját szinte korlátlanul lehetett igényelni – csak egy új e-mail cím kellett hozzá. A Burp Pro rendszerének akkoriban elég volt annyi, hogy a kérvényezett e-mail cím egy új domainhez
Amikor az emberek az etikus hackelésre gondolnak, általában egy fekete kapucnis srác jut eszükbe, aki a billentyűzet fölött görnyedve próbálja feltörni valakinek a rendszerét (persze jó szándékkal). Na, de mi van a másik oldallal? Mi van akkor, ha nem támadni kell, hanem védekezni? Egy kisebb vállalkozás (KKV) biztonsági megerősítése volt
Kaptunk egy megbízást egy Linux szerver biztonsági beállításaira. A működésében akadozásokat tapasztaltunk, és a hibák arra utaltak, hogy brute force technikával támadják. A brute force technika lényege, hogy egy vagy több felhasználói fiókkal és hatalmas mennyiségű jelszólisátval megpróbálnak „nyers erővel” belépni a szerverre. Mivel ezen a szerveren több szolgáltatás is
Van egy ügyfelünk, aki egy rendkívül érdekes, de egyben unalmas esetet mutatott be számunkra. Ők ugyanis már többször megtapasztalták a hackertámadások következményeit, amit megelégelve drasztikus fejlesztéseket hajtottak végre a védelmi rendszereiken. Ennek eredményeként, amikor mi megkezdtük a sérülékenység-ellenőrzést, egy tökéletesen biztosított hálózattal találtuk szembe magunkat. A hálózatuk egyetlen belépési pontot
Az egyik ügyfelünknél komoly biztonsági résekre bukkantunk, amelyek súlyos következményekkel járhattak volna. Az egyik legaggasztóbb felfedezésünk az volt, hogy az ügyfél szervere bármikor, távolról újraindítható volt név és jelszó nélkül. Egy rosszindulatú támadó akár félóránként automatizálhatta volna a szerver újraindítását, ami nemcsak a dolgozókat őrjítette volna meg, hanem a rendszergazdát
Ebben a hálózatban mi voltunk az igazi adu ászok, nem pedig a rendszergazda. Egy cég biztonsági felmérésére kaptunk megbízást, és hamarosan kiderült, hogy a vállalat 12 különböző belépési ponttal rendelkezett, amelyek mindegyike potenciális információforrást jelentett számunkra. Az egyik legszembetűnőbb biztonsági résük egy belső és sérülékeny weboldal volt, amelyen keresztül teljes
Nemrég egy gyors sérülékenység elemzést végeztem egy weboldalon, amelynek fő célja a vásárlási folyamat ellenőrzése volt. Különösen arra voltam kíváncsi, hogy lehet-e manipulálni a kosár értékét és a fizetési folyamatot. Az ilyen típusú ellenőrzések elengedhetetlenek, hogy megvédjék a vállalkozásokat a lehetséges csalásoktól és veszteségektől. A teszt során egy érdekes és