-
GAMEPOD.hu
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
-
-
-
-
-
inf3rno
Topikgazda
Én a helyi önkormányzatnál leszek IBF, ha minden jól megy. Csak az érdekelt volna, hogy hogyan zajlik az egész audit, ellenőrzés, stb. téma. Persze, az Ibtv-t ismerem, mondjuk nem ártana még 5-10x elolvasni. mert a jogi szövegek hajlamosak átfolyni az agyamon.
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Olvasom, hogy havonta cserélsz jelszót. Technikailag hogyan oldod meg? Mármint a tárolása világos, de hogy az oldalakon is frissüljenek a jelszók, ahhoz végig kell menni egy jelszó cserés folyamaton, ami sokszor emailben link küldéssel, néha captcha-val, ilyesmivel jár. Van lehetőség rá, hogy ezt hozzátegyük a jelszó kezelőhöz pluginben vagy hogyan? Gondolom nem egyesével csinálod kézzel...
Buliban hasznos! =]
-
inf3rno
Topikgazda
Azért itt amit linkeltek, hogy a jelmondatok biztonságosabbak, abban vannak kétségeim. Szerintem egy átlag jelmondat olyan 64*1024 = 2^16 szavas néhány írásjeles szótárral 4-5 szó és 1-2 írásjel lehet, szóval olyan 2^(16*5+2*2) = 2^84. Mondjuk egy ajánlott jelszó olyan 12 karakter angol kis és nagybetű, szám (2*26+10)^12 ~= 2^(6*12) = 2^72. Jó, ez alapján, ha valaki nagy szókincsből választ jelmondatot, akkor lehet jobb, mint egy elfogadhatónak mondott random jelszó, ha az alap 2000 szavas szókincset használja, akkor viszont kuka a módszer. Az egyedüli hátránya, hogy tudni kell gépelni, ha fejben tartja, és könnyebb elütni. Egyébként én használom mindkét módszert.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Van konkrét kérdés, vagy csak látni akarod, hogy hogyan van lekódolva? PHP forráskódjában vagy valamelyik moduljában megvalósítja úgy rémlik, esetleg azt érdemes megnézni, ha az utóbbi. Ha igazán jó kódot akarsz látni, akkor viszont mindig valamilyen java megoldást érdemes keresni, azok általában átgondoltak. Később tudok segíteni, most még pár napig szakdolgozat láz van.
A zeek-el kapcsolatban közben kaptam választ, hogy turing teljes a szkriptelése. Ami azt jelenti, hogy bár alapból nincsenek szabályok szekvenciákra, le lehet kódolni hozzájuk egy véges automatát, hogy ellenőrizze őket, illetve gondolom bányászatra is lehet kódot írni. Nem mintha vonzana, hogy a zeek script nyelvén ilyeneket összehozzak, de legalább elvi lehetőség van.
A korrelációs szabályokkal kapcsolatban nem jutottam sokkal előrébb.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
1. Általában szerver oldalon van értelme.
2. Véletlenszerűt szokás, leginkább a hossza miatt.
3. Általában ez nem probléma, sőt bele szokták fűzni az elkészült hash-be, hogy ott legyen mellette. Nagyon extrém esetben esetleg el lehet tenni külön táblába vagy adatbázisba, ha nehezíteni akarod a támadók dolgát.Igazából itt azt kell látni, hogy ez milyen támadásra adott válasz. A szivárványtábláknak nézz utána, akkor elég hamar világossá válik, hogy miért van szükség rá és miért nem annyira szempont, hogy megszerzik e a sót is a hash-el.
Buliban hasznos! =]
-
sztanozs
veterán
A szervernek is tudnia kell melyik userhez melyik só tartozik, tehát, ha az adatbázist megszerzi a támadó, akkor nagy valószínűséggel a hash-só korreláció is megfejthető - még ha nem is egy táblában vannak tárolva. Persze általában egy táblában azonos rekordon vannak, vagy hash mellett, vagy külön mezőben.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Tegyük fel, hogy egy szótárt használnak a törésre mondjuk 30.000 szóval és van 10.000 usered. Ha mindegyikhez ugyanaz a só, akkor elég 30.000-szer lefuttatni az algoritmust, hogy a gyakori jelszavakra legyen hash-ük, ha mindenkinél eltérő a só, akkor 10.000*30.000 = 300.000.000 alkalommal kell lefuttatni, hogy a gyakori jelszavakat minden usernél ellenőrizzék. Ilyen szempontból nem jelent nagy különbséget, hogy melyik adatbázisba vagy melyik táblába teszed a sót, esetleg annyit számít, hogy hátha nem a teljes adatbázist rántják le, csak a user táblát, mert úgy osztod fel a felhasználókat, hogy az egyik csak a user táblához férjen hozzá, de pl a salts táblához nem. És csak az auth nevű adatbázis felhasználó férjen hozzá a sókhoz is. Így talán lehet értelme. Esetleg még lehet kulccsal titkosítani a hasht és a sót is, és a kulcsot konfig fájlban tartani vagy a kódba égetve, nem adatbázisban, hátha nem szerzik meg (bár a kódban lévő kulcs anti pattern, mert akkor az összes fejlesztő tud róla, nem csak aki fellövi az éles szervert). Szóval ilyen téren talán lehet valamelyest nehezíteni a dolgukat, de nem tudom mennyit érsz vele.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
Úgy látom, az Okta szerint még jó az SHA-512, viszont adnék még ötleteket, ha belső cuccról van szó.
Az egyik az SSO. Egy jelszó AD-ben, autentikáció után minden trusted rendszer elérhető.
A másik OAuth2. Ez a Google rendszere - saját alkalmazásban ezt használnám.https://www.coreinfinity.tech
-
inf3rno
Topikgazda
Attól függ, hogy hogyan használod. Önmagában egy ciklusban biztosan nem jó, mert túl gyors, és könnyű szivárványtáblát készíteni rá. PBKDF2-vel sok ezer ciklusban esetleg elmegy, ha nincs más. Hogy pontosan hány ciklust ajánlanak az évről évre nő, és hardver függő is, hogy mennyit bír a szerveretek. Az argon2-t ajánlják egyébként most jelszó hashelésre vagy bcryptet, ha az nincs. Na én legalábbis így tudom.
[ Szerkesztve ]
Buliban hasznos! =]
-
sztanozs
veterán
-
-
-
inf3rno
Topikgazda
Az EIV-et hogyan értékeled ennyi idő után? Volt haszna? El lehet vele helyezkedni, ha valaki frissen végzett, vagy kell még más papír is? Felmerült többeknél, hogy egy kicsit erős egyből a mély vízbe dobni vezetői beosztásba az embert nulla gyakorlattal...
Buliban hasznos! =]
-
inf3rno
Topikgazda
Köszi! Ez hasznos info. OSCP vagy ilyesmi felé megyek el, ha esetleg elszakadok ettől az önkormányzati, programozói vonaltól. Most ami fontos, hogy biztonsági szempontból ki tudjak tesztelni egy webalkalmazást vagy webszolgáltatást, azt meg szerintem lehet papír nélkül is. Üzemeltetni nem akarok, ha nem muszáj. Apropó, esetleg van olyan itthoni hosting szolgáltató, akit tudtok ajánlani biztonsági szempontból?
[ Szerkesztve ]
Buliban hasznos! =]
-
Igen, ehhez hasonló kellene.
De ebben sajnos a betűzésre meg a listanyomtatás felé mentek el. Feleslegesen..
Ebben nem lehet pontos hosszt megadni, kiválasztani hogy csak kicsi, kicsi+nagy, és spéci karaktereket is engedjen-e. Pedig úgy még rövidebb is lenne a kód gondolom.De eszerint még nem merült fel nálatok az igény ilyesmire. Akkor majd még keresgélek hátha akad a neten.
[ Szerkesztve ]
-
-
inf3rno
Topikgazda
-
Bubee82
őstag
Az oke, hogy szerinted igy. De az ellenjavalat kimaradt a hozzaszolasbol es a miert (vagy eppen miert ne). Ha megtenned, hogy megosztod a velemenyed, halas lennek.
Amugy azert SOC lett a kovetkeztetes, mert sh4d0w-nak azt mondtam, hogy nekem inkabb valami technikaibb aga a szakmanak lenne vonzo, pl. a forensics kifejezetten tetszene, de arra azt mondta, hogy eleg szopatos tud lenni.
Ahogy ertelmeztem, a SOC Analyst kicsit atfedesben van a forensics-el, de a lenyeg ott is az analizasa az eventeknek, adatoknak, osszerakni a dolgokat es atlatni a "kaoszon" stb. Szoval kell hozza boven agysejt.
Amit a masik hozzaszolasodban irtal arrol, hogy mely harom fo terulet van, na, ott pont jol latszik, hogy nekem nem a soft security valo, mert az kosz, de kihagyom (ilyesmi dolgokban mar volt reszem).
Szoval maradt a hard. Namost, sh4d0w elmondta tegnap kb. ugyanezeket, es meg hozzatette azt is, hogy nagyon arnyalt a kep abbol a szempontbol, hogy ki mit csinal, mert egyes helyzetekben vannak atfedesek. Ahogy te is irtad, lehet hogy egy SOC-os eppen Pentester is es forditva. Az biztos, hogy mindketto erdekel, es gyanitom, hogy el sem lehet nagyon kerulni, hogy egyik vagy masik teljesen kimaradjon az ember eletebol, ha mar ebben a szakmaban dolgozik.
Ha jol ertettem sh4d0w kollegat, akkor o is valami ilyen helyzetben van, de majd kijavit ha nem.
Szoval erdekelne a velemenyed a SOC-rol es hogy miert ne azt. Koszonom
[ Szerkesztve ]
-
-
-
Talán nem fogalmaztam elég jól.
Ha egy cég belsős pentesterként alkalmaz, akkor évente újra és újra le fogják teszteltetni veled a saját rendszereiket és ez repetitív, unalmas.
Ha külső rendszereket tesztelsz, egy darabig jó, aztán rájössz, hogy nem ilyen lovat akartál.
https://www.coreinfinity.tech
-
sztanozs
veterán
"Kínából toltak port scant" - mondjuk ahol az ilyen dolgokat kézzel kell lekezelni, azt a helyet én messziről kerülném...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Új hozzászólás Aktív témák
- Autós topik
- Háztartási gépek
- PlayStation 1 / 2
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- exHWSW - Értünk mindenhez IS
- A fociról könnyedén, egy baráti társaságban
- Idén elmarad a BlizzCon
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Stellar Blade
- További aktív témák...
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5
- Bomba ár! HP EliteBook 830 G6 - i7-8G I 8GB I 256GB SSD I 13,3" FHD I HDMI I Cam I W11 I Gari!
- Bomba ár! Dell Latitude 5580 - i5-G6 I 8-16GB I 256 SSD I 15,6" FHD I HDMI I CAM I W10 I Garancia
- Bomba ár! Dell Latitude 5490 Touch - i5-8G I 8GB I 256SSD I 14" FHD Touch I Cam I W11 I Garancia!