• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 09.05.2005. Web Matrix - besplatan alat za ASP.NET 11.09.2007. Postavljanje ASP.NET prezentacije na net 07.06.2003. FrontPage (vizuelni HTML) i PHP/ASP/ASP.NET 15.07.2003. Potreban asp/asp.net programer 24.09.2003. Asp.net sa mi treba 14.04.2006. asp i asp.net free hosting 10.04.2005. savjet u vezi c# i asp.net 08.08.2007. Kako resiti gresku u ASP.NET-u 22.11.2007. ASP.NET 2 knjiga? 17.07.2006. asp i asp.net aplikacija Navigacija Brisanje liste Aktuelne teme u ovom forumu: Da li je ključ ispravan ili ne? Lattice Attacks - ECDSA Imam važno pitanje , da li možemo ko.. Kupujem KZU 31 , Š6 i Š7 uredaje za .. Primjena GPU u kriptografiji Primjer dekripcije - potrebna pomoc Problem sa licnom kartom INSERT SMART .. Kriptografski generator slucajnih broj.. Nastavak niza desifrovanje ili sta vec Sweet32: Birthday attacks on 64-bit bl.. chat aplikacija s kriptovanim porukama Rijecnik za bruteforce Folder lock problem na windows 10 Dejan Ristanović u oktobarskom broju .. smart kartica / export - import serifi.. Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil univerzzalni padding oracle napad na ASP .NET platformu 13.09.2010. u 22:44 - pre 177 meseci pre par meseci sam postavio ovde temu o padding oracle napadima , sa zgodnom alatkom namenjenom demonstraciji propusta u web aplikacijama http://www.elitesecurity.org/t402067 julianor i thaidn su unapredili napad, nasli katastrofalnu gresku u nacinu na koji ASP koristi CBC mod za AES propust omogucava izvrsavanje padding oracle napada na SVIM ASP aplikacijama http://it.slashdot.org/story/1...ns-of-ASPNET-Apps?from=twitter komentari na slashdotu su bezveze i niko od njih nema pojma o cemu prica, ali je propust definitivno stvarran i 100% pouzdan Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 13.09.2010. u 23:38 - pre 177 meseci Koliko vidim ovako na prvi pogled propust jeste stvaran ali je pretnja debelo precenjena. SSL ce u startu ovo sve pokvariti napdacima. Uostalom, mislim da postoji jednostavan i efikasan nacin da se spreci ovaj exploit. Sutra, kasno je sada. Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 14.09.2010. u 08:52 - pre 177 meseci pa zavisi u stvari, nisam ekspert kad je ASP u pitanju ali ono sto je kod ovog napada zanimljivo jeste da ne omogucava samo dekripciju vec i enkripciju, znaci izmenu cookie-a/state-a u nesto drugo, sto bi bilo validno za tako nesto ti ne treba usnifovan cookie mada, najbolje da vidimo sta je tacno u pitanju Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 15.09.2010. u 10:03 - pre 177 meseci Ja ne znam sta su oni osmislili ali ja uopste nisam uspeo da reprodukujem PO napad kako oni pricaju. Padovao sam session cookie i nisam dobio oracle response da je padding invalid, ni direktno ni indirektno, u svakom slucaju sem originalnog session cookie-a jednostavno zapocne novu sesiju. Sta vise po dokumentaciji session cookie je enc&sign po defaultu. Stvarno ne kontam kako ovde moze da prodje PO napad? Edit: Evo prckao sam i sa paddingom viewstate-a i opet nista (viewstate je takodje mac protected) [Ovu poruku je menjao mmix dana 15.09.2010. u 11:14 GMT+1] Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 15.09.2010. u 21:25 - pre 177 meseci da , to i mene cudi, mac bi trebalo da radi svoj posao cak i u objavljenom tekstu kazu kako je najprostiji nacin da se ovo resi enc&mac ne znam sta su smislili, ali od par ljudi koji znaju se cuje da stvar nije nimalo bezazlena (tomas ptacek i nate lawson) , inace me nebi cudilo da je FUD (slicno kao sto je prosle godine bilo za kaminskog i DNS, ljudi pricali da je FUD, a covek bukvalno pokvario internet:) ) danas je juliano trazio na twitteru da mu ljudi daju predlog za aplikaciju za DEMO ekoparty je poceo , videcemo :) ptacek je negde pomenuo bio da im je dovoljan samo response type , tj 404 , 500 ili 200 mozda ima nesto u ASPu sto izaziva 404? Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 15.09.2010. u 21:57 - pre 177 meseci jedino ako na asp strani oni rade prvo dekripciju pa autentikaciju, mada to tesko, a i to bi bio timing napad ne znam, ne znam dovoljno o asp-u da bi mi nesto palo na pamet , mora da ima neka suptilna promena u odgovoru prvo sto mi je palo na pamet je timing napad, ali su oboica rekli da to nije slucaj Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 15.09.2010. u 21:58 - pre 177 meseci Ok, ali ponasanje koje sam ja video je bilo bez greske, jednostano ako viewstate nije validan ponasa se kao da je stranica iznova ucitana. Doduse, hmm, ja nisam ni gurao do kraja da nadjem validan padding. Mozda za njega izbaci exception... Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 15.09.2010. u 22:09 - pre 177 meseci gde si testirao? ptacek : Citat: Here is a clue: they are using ASP.NET behavior to generate a one bit signal from the target. Their attack requires many tens of thousands of requests. That's about as much as I can say. zato i mislim da ima neka subtilna promena u odgovoru Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 15.09.2010. u 22:31 - pre 177 meseci Testirao sam na svojoj asp.net aplikaciji. Ako je univerzalni napad na asp.net mora da funkcionise i za moj prosti sample site. Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 18.09.2010. u 08:56 - pre 177 meseci prvo demonstracija: http://www.youtube.com/watch?v=yghiC_U2RaM zatim par reci iz majkrosofta: http://www.microsoft.com/technet/security/advisory/2416728.mspx i http://blogs.technet.com/b/srd...the-asp-net-vulnerability.aspx jos nisam siguran sta je u pitanju , ovo resenje iz MSa mi je fishy , mada na videu pokazuju da su custom error ugasene ako jeste problem jedino u tom customErrors podesavanju, onda priznajem da je _mozda_ previse naduvana prica, mada ko zna koji procenat aplikacija to ima ... ako je to u pitanju , moram priznati da sam malo razocaran :( i ova glupost http://visualstudiomagazine.co...9/14/aspnet-security-hack.aspx nema veze sa zivotom , ko pise ove stvari? inace, komentari na celu stvar po forumima i grupama su zaprepascujuci , prosto neverovatno koliko se ljudi pravi pametno oko stvari koje ne razumeju you gotta love crypto ! [Ovu poruku je menjao EArthquake dana 18.09.2010. u 10:08 GMT+1] Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 18.09.2010. u 09:36 - pre 177 meseci julianor: "What we can say is the setting of CustomErrors is _irrelevant_. We presented this at EKOPARTY, and we're going to release the slide deck soon." izgleda da su MSovci pogresili negde thaidn: "error message setting is irrelevant. no error? there's always HTTP status. always the same HTTP status? there's always big timing different" izgleda da sam ga ipak uboo, sad sam 95% siguran da je problem sto ASP prvo dekriptuje pa onda radi MAC i da ta razlika sluzi kao tajming napad znaci u slucaju da padding nije validan , do greske ce doci u dekripciji a za slucaj da je padding validan , do greske ce doci u HMAC delu (hahaha, al sam se ja nalozio na ovo :) ) [Ovu poruku je menjao EArthquake dana 18.09.2010. u 10:48 GMT+1] Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 18.09.2010. u 14:31 - pre 177 meseci Citat: error message setting is irrelevant. no error? there's always HTTP status. always the same HTTP status? there's always big timing different znaci u slucaju da padding nije validan , do greske ce doci u dekripciji a za slucaj da je padding validan , do greske ce doci u HMAC delu Moze ovo sve da se resi prosto, sad kad znam o cemu se radi. Nemam sad VS ovde u tazbini ali poenta je zaskociti unhadled exception za oba ova slucaja, u oba slucaja uci u rutinu koja ce resetovati output stream, vratiti HTTP 200 i poslati radnom broj paketa sa random informacijama sa random pauzicama izmedju, sve u istom response threadu. Pa nek se slikaju, ta dva exceptiona ionako signaliziraju tampering i napad pa nek trenduju random generator ako mogu A to sto ljudi lupaju welcome to my world, zahvaljujuci apstrakciji .net svet se nakupio svakavih. I svi su puni sebe, citiraju neke paterne a aplikacije im kolju exploiti koje ne mogu da sprece jer pojma nemaju kako sve to funkcionise ispod sve te njihove apstrakcije. Mozda zato i tipuju da je bug opasan? Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 18.09.2010. u 19:46 - pre 177 meseci mislim da sam cak negde procitao od MSa da savetuju ubacivanje random sleep-ova kao workaround bug jeste opasan , i treba da se patchuje na nivou platforme , znaci zdravorazumski prvo MAC pa onda sve ostalo najbolja praksa kao i svuda, ogranicis napadacu kolicinu koda do koje moze da dopre, sto ga pre iseces , manje su sanse za stetu ... da ne pominjem da nije bas pametno slati bilo kakve poverljive informacije klijentu i oslanjati se kasnije na njihovu ispravnost, session id cookie i kraj mada i ova druga opcija ima svojih prednosti, web farm, ofloadovanje servera ... Odgovor na temu

black_dog Agencija za spasavanje situacija Free Style Član broj: 255457 Poruke: 20 62.101.133.* +2 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 25.09.2010. u 15:08 - pre 177 meseci Da bi pokvario zabavu , sacekajte par mjeseci i vidite sami. Ne funkcionise jer vecina sajtova radi drugaciji pristup cookie od pomenutog. kraj price :) Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 25.09.2010. u 15:37 - pre 177 meseci Drugaciji kako? Session cookie je session cookie, njega ne emituje tvoja aplikacija vec sam asp.net Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

black_dog Agencija za spasavanje situacija Free Style Član broj: 255457 Poruke: 20 62.101.133.* +2 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 26.09.2010. u 13:10 - pre 177 meseci moja greska. imao sam osjecaj da se radi o dotnuke i na nacinu kako pravi cookie sesione. Ali avaj tuga mrak i vlaga su se uvukle u asp.net , jedino sto mozemo da uradimo jeste da zivimo u strahu ! :D ma ovo je 100% tacno za sve asp masine, medjutim kao sto rekosmo niko nije vidio da kazem neki da radi pa ono sad ne mogu da kazem. al bruka miljenko bruka :D Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 28.09.2010. u 10:52 - pre 177 meseci evo i prezentacije http://netifera.com/research/p...clesEverywhereEkoparty2010.pdf Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 28.09.2010. u 11:14 - pre 177 meseci POET -> remote code execution -> Cesar’s Token Kidnapping -> ROOT privilege on Windows. E vala, malo su ga preterali Uostalom, random timing i gutanje enc exceptiona resava problem univerzalno za asp.net i tu je blokada na mestu, al valjda moraju malo da milkuju ovo. A stvarno bi voleo da vidim na koji nacin mogu da povuku web.config i da zaobidju ISAPI handler u IISu bez kompromitovane masine, a ako vec imaju kompromitovanu masinu koji ce im POET uopste. Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.dynamic.sbb.rs. +67 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 28.09.2010. u 12:27 - pre 177 meseci ne znam dovoljno o ASPu pa necu da lupam novi tool, izgleda bez tajming napada doduse http://blog.mindedsecurity.com...gating-net-padding-oracle.html nisam probao doduse a sto se zastite tice, umesto random sleepova, vise mi se svidja ideja o prostom WAFu , tipa ISAPI filter koji bi blokirao ovo Odgovor na temu

mmix Miljan Mitrović Chief Software Architect Financial Intelligence Software Ltd. Passau, Deutschland SuperModerator Član broj: 17944 Poruke: 6050 +4631 Profil Re: univerzzalni padding oracle napad na ASP .NET platformu 28.09.2010. u 12:38 - pre 177 meseci Pa kontam da ce biti neko sistemsko resenje u modifikaciji ISAPIa ali do tada ko je paranoid moze da se zastiti sa par linija koda. Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna, od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv - Z.Đinđić Odgovor na temu