WEB aplikāciju testēšanas rīku salīdzinājums

Internetā ir pieejams WAVSEP (Web Application Vulnerability Scanner Evaluation Project) projekts, kurš izmantojot dažādus scenārijus salīdzina aplikāciju testēšanas rīkus. Tiek testēts izmantojot šādus testus: Project WAVSEP currently consists of the following test cases: 64 Reflected XSS test cases (32 GET cases, 32 POST cases -> 66 total vulnerabilities) 130 SQL Injection test cases, most of ...

Ar grafiskā procesora palīdzību paroles var uzlauzt daudz ātrāk 2

Diezgan biedējoši- tam, kam agrāk vajadzēja 43 gadus, tagad pietiek ar 48 dienām bez lielas piepūles. Pati pieeja nav jauna, bet gribēju padalīties ar labu rakstu, kur autors detalizētāki ir papētījis šo jautājumu. Ir vērts izlasīt. Un vēl viena cilvēka pētījums. Es gan nepiekrītu abiem autoriem, ka paroles sākot no 10 simboliem ir drošībā, jo ...

VID datucentru problēma un DEAC neveiksmīga PR kampaņa 5

Pārlasīju mēdijos publicētos DEAC rakstus par VID datu centra dīkstāvi elektrības pārtraukuma rezultātā. Personīgi nepazīstu nevienu VID IT pārstāvi, bet manuprāt jocīgi (neticami) izklausījās Gailīša paziņojums -“VID nerēķinās ar riskiem”, jo: 1. Valsts informācijas sistēmu likums nosaka, ka riski ir jāizvērtē (negribas ticēt, ka šo punktu kāds ignorē); 2. Jebkura biznesa uzdevums nav izslēgt pilnīgi ...

VoIP stress tests

Man palūdza veikt vienas VoIP platformas autentifikācijas stress testu, jo vajadzēja notestēt jauno DOS aizsardzības mehānismu. Pēc daudzu materiālu izlasīšanas un rīku testēšanas konstatēju, ka man vislabāk patīk: svmap.py – VoIP PBX meklēšanai (man nebija nepieciešams, jo pamat info jau bija zināma. Bet ir noderīgas rīks, ja grib uzzināt kāds tieši PBX slēpjas (taisa fingerprint)); ...

Nelielas pārdomas par skype

Tas, ka skype sniedz daudzas priekšrocības komunikācijā nav apšaubāms, tomēr ir jāapzinās arī iespējamie draudi, kuri var rasties šo lietojumu izmantojot uzņēmumā. Raksts par to ir pieejams šeit un nedaudz vecāks materiāls šeit. Ja tomēr ir pieņemts lēmums par skype lietošanu, tad manuprāt vismaz ir jāaizliedz failu pārsūtīšana un API lietošana, tādā veidā samazinot visādas ...

Aizejoša darbinieka risks 1

Gucci uzņēmums uz savas ādas izbaudīja IT darbinieka atriebību, kuru viņš realizēja vēl strādājot izveidojot VPN pieslēgumu. Ar rakstu var iepzīties te. Daudzi uzņēmumi paļaujas uz darbinieku godprātu un kā var redzēt velti. Ārējo pieslēgumu kontrolē ir ļoti būtiska. Tweet

Vadipats.lv tehniskais downtime

Serveri mēdz nokrist un, ja risinājums nav izveidots “High availability”, tad gadās šādi. Uz e-pastu saņēmu paziņojumu: Labdien, www.vadipats.lv 2011.gada 07.aprīlī plkst.13:00 pilnvērtīgi atsāk darbību. Tweet

Tautas skaitīšana, EDS, CSDD un ņemšanās ap perosnas kodu 2

Līdz šim aizņemtības dēļ nebija laiks iedziļināties problēmā, ar kuru slimo visa LV jau veselu nedēļu. Principā šeit ir jāizdala divas problēmas- valsts iestāžu (un arī dažu privātu) izpratne par to, kas ir drošs autentifikācijas rīks un personas datu pieejamība (lietojamība). 1. gadījumā interesants ir viedoklis, ka privātie dokumenti ir jāsargā pašiem (lai nenoplūst pases ...

Kapitals.lv

Kapitals.lv
Šodien kapitals.lv mājas lapa satura vietā izvada datubāzes kļūdu. Šāda lieta viņiem jau gadījās ātrāk. Tweet

www.zz.lv un XSS 1

www.zz.lv un XSS
Mājās drusku pabakstoties atklājās, ka Zemgales ziņas mājas lapas meklēšanas funkcionalitātē ir XSS ievainojamība. Pieņemu, ka tāda pati problēma ir visās AS Dienas reģionālo avīžu mājas lapās. Pilnībā atvēzēties liedz tas, ka tiek atfiltrēts „=” simbols. Par XSS var palasīt: http://hakipedia.com/index.php/Cross_Site_Scripting http://www.owasp.org/index.php/Cross-site_Scripting_(XSS) http://ha.ckers.org/xss.html http://www.martani.net/2009/08/xss-steal-passwords-using-javascript.html Tweet