Aggiornate phpMyAdmin, l’ultima versione ha un bel baco XSS…
ciuaz
Categories
Tag: security
Categories
LinuxDay ’05
Pare sia stato reso pubblico l’algoritmo per ottenere collisioni con MD5. Per dovere di cronaca l’MD5 è un algoritmo non reversibile che data una stringa ne calcola un hash (in teoria univoco) spesso usato per criptare i dati, inoltre viene definito collisione il caso in cui due differenti stringhe abbiano lo stesso hash.
Il fatto che sia stato trovato un metodo per trovare stringhe che collidono tra di loro porta l’MD5 ad essere un algoritmo insicuro in quanto non garantirebbe più l’unicità dei dati ottenuti dalla funzione di hashing, inoltre pensate che da un test fatto basterebbe meno di un ora per trovare una stringa su un p4 ad 1.6GHz.
Per farvi capire la criticità della scoperta pensate che la maggior parte delle applicazioni php usa come unico metodo di criptazione delle password MD5. Immaginate cosa potrebbe fare un utente malintenzionato che in qualche modo riesce ad ottenere accesso al db con i dati utente, o al semplice cookie dell’utente dove molti, imprudentemente, salvano il valore della stringa hash della password.
Beh, è tempo di passare tutti a SHA-2!
ciuaz
Rilasciata la nuova versione di php, la 4.4.1, che risolve alcune gravi falle di XSS.
PHP 4.4.1 is now available for download. This version is a maintenance release, that contains numerous bug fixes, including a number of security fixes related to the overwriting of the GLOBALS array. All users of PHP 4.3 and 4.4 are encouraged to upgrade to this version.
The full list of changes in PHP 4.4.1 is available in the PHP 4 ChangeLog.
ciauz
Categories
php, sicurezza e quantaltro…
Continuano gli sproloqui e le wishlist sul futuro framework di Zend, per ora ne parlano:
- Wez Furlong (il quale però da anche le prime spiegazioni di come sarà veramente)
- John Lim
- Chris Shifflet con una whishlist sulla sicurezza
Ancora qualche links (forse qualcuno vecchio) sulla sicurezza delle applicazioni web:
- su ha.ckers.org XSS in tutte le salse
- su oswap alcune comode regex per l’analisi e la validazione degli input
phpPatterns ritorna in vita, e stavolta come un Bloki (blog+wiki) dove tutti potranno contribuire alla creazione di un repository di patterns per php.
ciauz
Categories
qualche articolo su php e sicurezza
Chris sul suo blog pubblica una serie di articoli sugli attacchi via web alle proprie applicazioni più classici e su come difendersi.
Molto interessanti e soprattutto da ricordare se dovrò parlare dell’argomento al prossimo linuxday a Cesena ;)
ciuaz
Categories
Default Password
Avete comprato l’ennesima stampate di rete strafica che oltre a stampare, legge memory card, vi stampa la posta elettronica e vi prenota la pizza. L’unica cosa da fare per raggiungere l’orgasmo tecnologico è aprire il browser, entrare nel pannellino web di amministrazione, inserire la password e ordinare una napoli.
A questo punto però vi accorgete che tra i 300 foglietti illustrativi, in altrettante lingue, che spiegano come aprire la confezione (e che per inciso sono dentro ad essa) e gli altri 200 depliant su prodotti complementari al vostro, manca uno straccio di informazione su qual’è la password di default per poter iniziare la configurazione!
Default Password è un sito, che come fa intendere il nome, contiene al suo interno la lista di più di 1500 prodotti con le relative password… evvai, ben cotta la pizza, eh!
ciuaz
Categories
php|works slide
Iniziano ad essere pubblicate le prime slide del php|works:
- Chris Shiflett ha messo sul suo sito la versione pdf e quella flash dell’intervento: PHP Security by example
- Ilia Alshanetsky invece ha parlato di php5 ed i webservice
- Wez Furlong di PDO
ciuaz
Tempo di liste di links…
- Finalmente è stato inserito nel tree ufficiale di php il supporto ad Unicode, inoltre tale supporto sarà completo nella versione 6 del codice.
- Un piccolo intervento sulla sicurezza di php ed una presentazione in flash sullo stesso argomento.
- php Security Scanner un comodo tool per analizzare il proprio codice
- Joshua è riuscito a farsi approvare la sua nuova classe per PEAR: HTML_ajax
ciuaz
Categories
phrack chiude
phrack chiude. Dopo venti anni di onorata carriera una delle migliori ezine della storia dell’underground informatico smette di esistere. che dire… :(
ciuaz