Kết quả tìm kiếm

  1. Kaito KID

    Phân tích dữ liệu bị rò rỉ của Hacking Team và các thông tin liên quan

    1. Giới thiệu Nhưchúng ta đã biết, vụ việc Hacking Team, một công ty chuyên bán các công cụ tấn công mạng cho nhiều tổ chức và chính phủ trên thế giới, bị hack đầu tháng 7 đang là chủ đề được bàn tán nhiều nhất trong cộng đồng bảo mật những ngay gần đây. Bài viết này tôi tổng hợp từ nhiều nguồn...
  2. Kaito KID

    [HackingTeam bị lộ hơn 400Gb dữ liệu] Khi hacker bị hack :D

    HackingTeam - nhóm chuyên cung cấp tool và malware cho rất nhiều tổ chức, chính phủ trên thế giới vừa mới bị hack, hơn 400Gb dữ liệu của nhóm này đang bị public tè le trên mạng :v :v :v Rất nhiều thông tin thú vị được phơi bày trước mắt bàn dân thiên hạ. Khách hàng của nhóm này toàn là cỡ bự...
  3. Kaito KID

    [Nghịch ngợm tí] Truy cập anonymous FTP

    Hiện nay, có rất nhiều server FTP cho phép truy cập bằng tài khoản anonymous (không cần mật khẩu). Nếu bạn search trên Shodan, và khoanh vùng phạm vi tìm kiếm tại Việt Nam thì đã có hơn 2600 kết quả :rolleyes: Tất nhiên, phần lớn dữ liệu trên các server này đều là public và không có giá trị...
  4. Kaito KID

    Lỗ hổng mới trên hầu hết các phiên bản PHP

    Như tiêu đề bài viết, đây là lỗ hổng mới trên hầu hết các phiên bản của PHP (CVE-2015-4024). Trên Kipalog đã có một bài của anh Vũ Nhật Minh mô tả khá đầy đủ về lỗ hổng này, nên mình xin phép post lại trên forum để mọi người cùng đọc Lỗ hổng này nguy hiểm đến mức nào ? Lỗ hổng với mã...
  5. Kaito KID

    Burp Suite 101

    Tóm tắt Trong bài viết này, mình sẽ giới thiệu về Burp Suite, một công cụ giúp hỗ trợ quá trình pentest ứng dụng web. Các kiến thức là cơ bản, dành cho newbie, pro miễn tiếp nhé (_ _!) 1. Giới thiệu Burp Suite Burp Suite là một công cụ pentest ứng dụng web. Đây không phải là một công cụ “ăn...
  6. Kaito KID

    Làm gì khi website của bạn bị đưa vào Google blacklist?

    Tóm tắt Mỗi ngày có khoảng 9500 đến 10000 website bị liệt vào danh sách blacklist của Google. Bạn có nằm trong số đó không? Nếu có, liệu bạn có biết tại sao lại xảy ra việc này? Và phải làm thế nào để giải quyết rắc rối không? Bài viết này mình tham khảo từ sucuri.net và tài liệu public của...
  7. Kaito KID

    Các vấn đề an ninh trong giao thức HTTP (Phần 2).

    Tiếp tục bài trước hôm nay mình xin giới thiệu một số vấn đề an ninh trong giao thức http. Các vấn đề an ninh trong giao thức HTTP (Phần 1). 5. Các kiểu tấn công Command Injection, Code Injection, Query InjectionWeb server thường sử dụng các tham số trong URI làm đầu vào để thực hiện các câu...
  8. Kaito KID

    Các vấn đề an ninh trong giao thức HTTP.

    Tóm tắt Bài viết này trình bày một số vấn đề về bảo mật trong giao thức HTTP, được nêu ra trong hai tài liệu RFC 7230 và RFC 7231. Các ví dụ trong bài viết về các lỗi cụ thể được tham khảo từ OWASP. Bài viết gồm 8 mục, sẽ được chia thành 2 phần. 1. Rủi ro từ các yếu tố trung gian HTTP cho phép...
  9. Kaito KID

    CSRF – Khái niệm, kịch bản khai thác và cách phòng chống (phần 2).

    3. Cách phòng chống3.1. Các phương pháp không hiệu quảSử dụng secret cookie Nên nhớ rằng mọi cookie, dù là bí mật đi chăng nữa, cũng đều được submit mỗi khi người dùng request đến server. Tất cả các token dùng để xác thực sẽ được submit bất kể người dùng cuối có bị lừa hay không. Hơn nữa...
  10. Kaito KID

    CSRF – Khái niệm, kịch bản khai thác và cách phòng chống - Phần 1

    Tóm tắt Bài viết này đề cập đến một lỗ hổng thường xuất hiện trong các ứng dụng web, nằm trong OWASP TOP 10 (2013) – CSRF. Bài viết được tổng hợp từ các tài liệu về CSRF, cách kiểm tra, đánh giá code và cách phòng chống CSRF của tổ chức OWASP. 1. CSRF là gì? Cross-Site Request Forgery, cũng...
  11. Kaito KID

    Cơ sở dữ liệu về các lỗ hổng trên WordPress

    WPScan team (nhóm phát triển công cụ WPScan) đã cho ra mắt website chứa dữ liệu về các lỗ hổng đã phát hiện được trên WordPress: https://wpvulndb.com/ Trước đó cũng đã có một website khác, cũng chứa dữ liệu về các lỗ hổng trên WordPress: http://wordpressexploit.com/ Các bạn tham khảo nhé ;)
  12. Kaito KID

    Web14: Session Hijacking

    1. Nguyên nhân Sau mỗi lần user đăng nhập thành công thì session sẽ được định nghĩa lại và có một session ID mới. Nếu attacker biết được Session ID mới này thì attacker có thể truy cập vào ứng dụng như một user bình thường. Có rất nhiều cách để attacker có thể lấy được session ID và chiếm phiên...
  13. Kaito KID

    Web13: Session Fixation

    1. Giới thiệu Session Fixation là một kỹ thuật cho phép hacker có thể chiếm đoạt session của người dùng. Kỹ thuật này lợi dụng việc server không thay đổi giá trị của session ID mỗi khi người dùng đăng nhập, thay vào đó nó sử dụng session ID sẵn có trước đó. Quá trình tấn công bao gồm việc lấy...
  14. Kaito KID

    Web12: HTTP Cookie và một số vấn đề bảo mật - Phần 2

    3. Một số vấn đề bảo mật khi sử dụng cookie Nếu một website sử dụng session ID để xác định phiên làm việc của người dùng, kẻ tấn công có thể có thể đánh cắp cookie để giả mạo người dùng. Sau đây là một số kịch bản đánh cắp cookie thường gặp: Nghe lén (eavesdropping) Traffic trong một hệ thống...
  15. Kaito KID

    Web12: HTTP Cookie và một số vấn đề bảo mật - Phần 1

    1. Giới thiệu Cookie, hay HTTP cookie, web cookie, browser cookie là một đoạn dữ liệu nhỏ được gửi từ phía website và lưu trữ ở trình duyệt của người dùng khi họ duyệt website này. Mỗi lần người dùng load website, trình duyệt sẽ tự động gửi cookie về web server để thông báo cho website biết các...
  16. Kaito KID

    Hack this site!

    HACK THIS SITE! (copy lại từ vozforum) Bạn là một quản trị hệ thống muốn tìm hiểu về bảo mật? Bạn là một lập trình viên muốn biết các lỗi bảo mật thường gặp phải trong việc coding? Bạn là một người đam mê security và muốn biết hacker làm như thế nào mà có thể xâm nhập được vào các server...
  17. Kaito KID

    Giả website Apple để ăn cắp tài khoản người dùng

    Hãng bảo mật Kaspersky Lab ngày 5/8 cảnh báo, tài khoản dùng trên Apple (Apple ID) đang là mục tiêu tấn công của tội phạm mạng.Cụ thể, hình thức tấn công chủ yếu được tin tặc sử dụng là các trang web lừa đảo (phishing site), bắt chước trang web chính thức của apple.com. Theo Kaspersky, số lần...
  18. Kaito KID

    File Inclusion Attack

    I. File Inclusion Trong lập trình PHP có các lệnh là include, require, include_once, require _ once cho phép việc file hiện tại gọi ra một file khác. File Inclusion Attack: là kỹ thuật khai thác dựa trên lỗi include file trong PHP. Dấu hiện để có thể tấn công FI là đường link thường...
  19. Kaito KID

    TOR network

    1. Tổng quan về Tor project a. Khái niệm - Tor là một mạng ảo(Thiết lập đường hầm kết nối như VPN), nó cho phép cá nhân, nhóm người để tăng cường tính riêng tư và mức độ bảo mật trên internet. Nó cũng cho phép người phát triển phần mềm tạo ra các công cụ với các tính năng riêng tư...
  20. Kaito KID

    Cross-site History Manipulation (XSHM)

    1. Tổng quan1.1 Same Origin Policy (SOP)SOP là cơ chế của các ngôn ngữ client-script (như Javascript) chỉ cho phép các trang trên một site truy cập đến nội dung của những trang khác trên cùng site đó. Những nội dung này có thể là mã HTML, cookie, history,…Cơ chế này cho phép một trang web có thể...
Bên trên