Hakin9 6/2006 (13)
V aktuálním čísle Hakin9u, hard core IT security magazine, se tentokrát
dozvíte mimo jiné o Xpath Injection, aplikačním fingerprintingu nebo o
bezpečnostních politikách.
27.11.2006 10:00 |
Ondřej Čečák
| Články autora
| přečteno 10711×
Haking, jak se bránit (v l33t
Hakin9) je polský mezinárodní časopis, který v současné době vychází v 7
jazycích a v papírovém vydání ve více než 18 zemích. Je vydáván společností
Software-Wydawnictvwo Sp. z o.o. a do češtiny je překládán (nejspíše z
polštiny; jako překladatelé jsou v čísle pro červenec-srpen uvedeni
Jan Gregor, Nina Sajdoková, Svatopluk Vít, Luděk Vašta a jako korektor je uveden David Kredba).
Obsah čísla
- Úvodní rubriky
- Editorial, obsah
- Ve zkratce
- hakin9.live – Obsah CD
- Téma čísla
- Úvod do techniky Xpath Injection
- Praxe
- Dá se oklamat fingerprinting aplikační vrstvy?
- Techniky
- Narušení bezpečnosti a vynucení politiky systémem IDS a branou firewall
- Teorie
- Application Mapping
- Druhy počítačových virů
- Praxe
- Anti-Sniffing, soukromí a VPN
- Rozhovor
- Jsme proti – rozhovor s Garym McGrawem
- V příštím čísle mimo jiné najdete
Podrobněji k obsahu čísla
Nový tým ve vedení časopisu dospěl k představení některých změn, které by měly
čtenáře čekat. První a možná také důležitější z nich je zkrácení intervalu
vydávání, z vydání jednou za dva měsíce se zkrátí periodicita na polovinu,
takže se z časopisu stane od nového roku měsíčník. Druhé novinky bychom se měli
dočkat už v příštím čísle a mělo by jít o spotřebitelské testy různých
zařízení od lidí, kteří se jejich správou a nasazováním přímo zabývají.
Samotná podoba magazínu se zatím moc nezměnila, na úvod je stejně jako dříve
dvojlist novinek především z oblasti bezpečnosti, hned následované
představením obsahu přiložených CD – ty jsou nově dvě; na prvním
naleznete stejně jako dříve live distribuci hakin9.live, která je založena na
Auroxu a umožňuje snadné vyzkoušení v článcích probíraných témat a mnoho
dalšího a na nově zařazeném druhém CD by kromě dalšího software a ostatních
materiálů mělo být 6 speciálních verzí některých komerčních aplikací, jak
jinak než z oblasti bezpečnosti.
Klidně ale můžeme přejít dál hned k prvnímu článku, který popisuje útoky typu
Xpath Injection, které jsou svým provedením podobné útokům SQL Injection, jde
tedy o vykonávání vložených instrukcí, tentokrát ale v jazyku Xpath, který
například umožňuje pohodlně získávat informace z XML dokumentů. Asi nebude
žádným překvapením že cílem snažení bude dostat vlastní kód do děravé aplikace
a získat tak neoprávněný přístup k datům uvnitř.
Další článek se zabývá aplikačním fingerprintingem, tedy zkoumáním
provozovaných aplikací podle toho, jak se hlásí nebo chovají. Po úvodu do
problematiky je představen nejzákladnější způsob rozpoznávání verzí a služeb
– jednoduše z jejich bannerů programem nmap. Trochu zajímavější je
posléze další typ, který je obecně popsán jako sledování známých chyb nebo
jednoduše odlišností v implementaci standardů, prakticky to je představeno na
komunikaci protokolem HTTP, čemuž se později věnuje zbytek článku, který je
poměrně povedený a zajímavý.
Následující text se po delší době opět zabývá IDS, konkrétněji NIDS;
detekování narušení firewallu případně lokální sítě pomocí nástroje SNORT. V
článku je pěkně popsáno vše návrhem firewallu počínaje po konfiguraci SNORTu
včetně některých technických detailů konče; pěkné.
V aktuálním čísle je tak trochu překryv témat, protože další článek se věnuje
problematice application mappingu, což je v podstatě to samé jako
fingerprinting s tím rozdílem, že teď se kromě především odlišností v
implementaci standardů a jejich rozpoznávání autor věnuje problematice
jednoduché analýzy bannerů služeb regulárními výrazy včetně automatizace celého
procesu.
Na své si přijdou také programátoři, protože ukázky kódu provází představení
různých druhů počítačových virů, i když je povídání docela obecné, obsahuje
bloky instrukcí assembleru a přestavuje některá schémata používaných technik.
Poslední praktický článek se zabývá předcházením odposlechu komunikace a
praktickým nasazením virtuální privátní sítě. Kromě základní teorie je na
praktických příkladech představena konfigurace služby OpenVPN.
Časopis uzavírá rozhovor s Gatym McGrarem, CTO společnosti Cigital, která
působí jako konzultační firma zaměřená na výrobce software, nebude tedy nijak
překvapivé, že se otázky točí především kolem této problematiky.
Závěr
Magazín hakin9 je rozhodně kvalitním a zajímavým zdrojem informací o
bezpečnosti a nejen to. Navíc spolu s ním dostanete bootovací CD, na kterém si
můžete probíraná témata snadno vyzkoušet.
Časopis hakin9, jak se bránit s podtitulem Hard Core IT Security Magazine
vychází každé dva měsíce, má 82 stran a s přiloženým CD si ho můžete koupit za
199 Kč (359 Sk) např. v Linux CD Shopu nebo
v internetovém obchodě vydavatele.
Verze pro tisk
|
Nejsou žádné diskuzní příspěvky u dané položky.
Příspívat do diskuze mohou pouze registrovaní uživatelé.
|
|

Vyhledávání software

Vyhledávání článků
28.11.2018 23:56 /František Kučera Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1
12.11.2018 21:28 /Redakce Linuxsoft.cz 22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář
6.11.2018 2:04 /František Kučera Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
4.10.2018 21:30 /Ondřej Čečák LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář
18.9.2018 23:30 /František Kučera Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
9.9.2018 14:15 /Redakce Linuxsoft.cz 20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business.
Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář
12.8.2018 16:58 /František Kučera Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář
16.7.2018 1:05 /František Kučera Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář
Více ...
Přidat zprávičku
 Poslední diskuze
31.7.2023 14:13 /
Linda Graham iPhone Services
30.11.2022 9:32 /
Kyle McDermott Hosting download unavailable
13.12.2018 10:57 /
Jan Mareš Re: zavináč
2.12.2018 23:56 /
František Kučera Sraz
5.10.2018 17:12 /
Jakub Kuljovsky Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?
Více ...
|