mboost-dp1
LulzSec
Kan det virkelig passe at når man vil hacke et større firma som Sony Pictures, så er det eneste man bruger til at beskytte sig selv hidemyass?
#6 Det er meget basalt og der er da også en del der tyder på at sikkerheden hos sony langt fra var god nok.
Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.
Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.
Herlige Emmergut.
Hvis en SQL Injection virkelig var alt der stod mellem en bruger og Databasen så er det fandeme utroligt at det ikke er Sony der modtager høvlne her!
Herre gud det svare jo næsten til at sætte en Bil aflåst på Amager med nøglen i tændingen og 250.000kr i kontanter på bagsædet og forvente ingen bryder ind og naller lortet!
For satan den knægt fortjener sgu et skulderklap, og så røffel for at ikke gemme sig ordenligt.
Og til 7# Det er fuldt ud muligt at beskytte sig imod SQL Injections.
Og det er noget man forventer firmaer som Sony har styr på.
Hvis en SQL Injection virkelig var alt der stod mellem en bruger og Databasen så er det fandeme utroligt at det ikke er Sony der modtager høvlne her!
Herre gud det svare jo næsten til at sætte en Bil aflåst på Amager med nøglen i tændingen og 250.000kr i kontanter på bagsædet og forvente ingen bryder ind og naller lortet!
For satan den knægt fortjener sgu et skulderklap, og så røffel for at ikke gemme sig ordenligt.
Og til 7# Det er fuldt ud muligt at beskytte sig imod SQL Injections.
Og det er noget man forventer firmaer som Sony har styr på.
blacktiger (7) skrev:#6 Det er meget basalt og der er da også en del der tyder på at sikkerheden hos sony langt fra var god nok.
Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.
#7: Det er langt fra umuligt at beskytte sig mod SQL injections.
Du kan f. eks, I PHP, bruge mysql_real_escape_string, eller Prepared statements. Dette burde mere eller mindre beskytte dig fuldstændigt.
Cruiser (6) skrev:Er SQL injections ikke en af de mest basale sikkerhedsting man burde have styr på?
Jo, og det er ikke særligt kompliceret at sikre sig mod, da man blot skal sanitere sit input.
Men alligevel er det et af de mest hyppigt forekomne sikkerhedshuller.
Spiderboy (11) skrev:Jo, og det er ikke særligt kompliceret at sikre sig mod, da man blot skal sanitere sit input.
Det er generelt et rigtigt godt tip - ellers kan man få alle mulige skumle infektioner!
Det tager 3 minutter at sikre sig mod SQL injections. Så ret pinligt for Sony at de ikke har haft styr på det.
Det er det samme som at gå på toilettet og lave nummer 2, og ikke tørre sig bagefter. Det bliver noget værre møg hvis ikke man gør det!
Men hold da op! Jeg kryllede tær da jeg læste at knægten blot havde brugt hidemyass.com. Det er da godt nok dumt!
I det mindste brug 2-3 proxys OG gør det fra en offentlig computer. F.eks. et biblioteks computer.
Det er det samme som at gå på toilettet og lave nummer 2, og ikke tørre sig bagefter. Det bliver noget værre møg hvis ikke man gør det!
Men hold da op! Jeg kryllede tær da jeg læste at knægten blot havde brugt hidemyass.com. Det er da godt nok dumt!
I det mindste brug 2-3 proxys OG gør det fra en offentlig computer. F.eks. et biblioteks computer.
#10 Ja tak, det er også skide let når du koder en blog med 50 linjers kode. Men jeg gentager min pointe fra før som du åbenbart totalt overhøre. Hvis det er så let, kan du så forklare mig at både facebook, youtube, microsoft, samt hvert eneste open source php stak jeg kender har været sårbare over for SQL injections før i tiden? Tror du facebook som har et helt hold af sikkerhedseksperter ansat bare glemte at kigge efter om de nu huskede at bruge mysql_real_escape_string() ?
Det kan godt være at det er let at beskytte sig mod SQL injections på overfladen, men jeg vil påstå at hvis ingen kan finde ud af det er det pr definition ikke let.
Men hvis du mener det er så let, så kom med et (bare et) eksempel på et enkelt (større) projekt der benytter SQL om som ikke har været offer for SQL injections?
Det kan godt være at det er let at beskytte sig mod SQL injections på overfladen, men jeg vil påstå at hvis ingen kan finde ud af det er det pr definition ikke let.
Men hvis du mener det er så let, så kom med et (bare et) eksempel på et enkelt (større) projekt der benytter SQL om som ikke har været offer for SQL injections?
#14:
Det er faktisk så skide nemt.
Jeg vil gerne se dig lave SQL injections på et hvilket som helst site der har brugt de ovennævnte tools.
Hvorfor sker det stadigtvæk?
Fordi programmører er dovne og glemmer at sanitere deres input.
Fordi projekter som Facebook er enorme og de glemmer at sanitere deres input.
Hvis du mener det er så svært, så forklar mig hvorfor de ting jeg nævnte IKKE virker?
og nej. Jeg kan ikke vise dig et større projekt der ikke har været offer for det, fordi de ikke fulgte de ovenstående ting.
Det er faktisk så skide nemt.
Jeg vil gerne se dig lave SQL injections på et hvilket som helst site der har brugt de ovennævnte tools.
Hvorfor sker det stadigtvæk?
Fordi programmører er dovne og glemmer at sanitere deres input.
Fordi projekter som Facebook er enorme og de glemmer at sanitere deres input.
Hvis du mener det er så svært, så forklar mig hvorfor de ting jeg nævnte IKKE virker?
og nej. Jeg kan ikke vise dig et større projekt der ikke har været offer for det, fordi de ikke fulgte de ovenstående ting.
eax.exe (15) skrev:#14:
Det er faktisk så skide nemt.
Nej, du mener det er så skide simpelt.
Nogle gange er der stor forskel på om noget er simpelt og nemt. Specielt inden for sikkerhed. Du læser åbenbart ikke hvad jeg skriver. Gå helt tilbage til mit første indlæg , der skriver jeg at det er meget basalt at beskytte sig mod, men helt umuligt i praksis.
Det er fordi løsningen er let, men umulig at implementere ordenlig.
Det er simpelt at beskytte sig mod SQL injections, men at du ikke kan vise et eneste eksempel på nogen der har gjort det ordenligt viser blot at det bestemt ikke er let.
#16.
Nej.
Faktisk skriver du:
Havde du skrevet "I praksis" havde der stået noget andet.
Fortæl mig så venligst hvorfor det er umuligt? Siden du jo tydeligvis ved hvorfor.
At jeg ikke kan vise dig et eksempel er fordi jeg er for doven til at google mig frem til det.
Nej.
Faktisk skriver du:
Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå.
Havde du skrevet "I praksis" havde der stået noget andet.
Fortæl mig så venligst hvorfor det er umuligt? Siden du jo tydeligvis ved hvorfor.
At jeg ikke kan vise dig et eksempel er fordi jeg er for doven til at google mig frem til det.
#19 Tænkte jeg også.. Hvis jeg var jagtet af FBI havde jeg nok hakket den i stykker, blandet den op med kødfars og spist den. eller måske ikke, men der er da mere sikre metoder end at formatere den. Det er bare at være lidt kreativ :-).
Da der stod han havde brugt hidemyass.com, så havde jeg ingen tvivl om at folkene bag LulzSec stammer fra HackForums.net.
Den påstand bliver ikke mindre falsk af at de fornylige havde en session på deres IRC channel hvor et af medlemmerne fra LulzSec prøvede at forklare folk hvordan en buffer overflow fungerede...
Men han havde ingen forstand på little-endian byteordering, og troede ikke på man kunne bruge andet end /bin/bash i sin shellcode.
Komplet fail.
EDIT:
Tor
Den påstand bliver ikke mindre falsk af at de fornylige havde en session på deres IRC channel hvor et af medlemmerne fra LulzSec prøvede at forklare folk hvordan en buffer overflow fungerede...
Men han havde ingen forstand på little-endian byteordering, og troede ikke på man kunne bruge andet end /bin/bash i sin shellcode.
Komplet fail.
EDIT:
ruvald skrev:Nogle højere bud? :P
Tor
#23
Når man tager høje for hvor længe PSN var nede, og at alle de konto oplysninger der nu var senere er fundet sat til salg, så er det egentligt fair nok. Har ikke meget til overs for folk der påstår at de gør noget fordi de mener det er det rigtige, og så på sidelinjen lige score kassen ved at sælge ting på det sorte marked.
Men nu må vi se hvad han bliver dømt for, kan være han rent faktisk ikke er en af de røvhuller der var indblandet i det her for egen vindings skyld.
Når man tager høje for hvor længe PSN var nede, og at alle de konto oplysninger der nu var senere er fundet sat til salg, så er det egentligt fair nok. Har ikke meget til overs for folk der påstår at de gør noget fordi de mener det er det rigtige, og så på sidelinjen lige score kassen ved at sælge ting på det sorte marked.
Men nu må vi se hvad han bliver dømt for, kan være han rent faktisk ikke er en af de røvhuller der var indblandet i det her for egen vindings skyld.
#18: Ingen grund til alt det besvær. Han skulle bare havde overskrevet sine filer, så ville FBI ikke kunne genskabe dem.
Når man sletter en fil, så bliver den ikke slettet. Det eneste der sker, er at systemet 'glemmer' hvor filen ligger. Man kan så bare gå ind og kigge på alle 'placeringer' og derved finde en masse slettet filer. Når man i stedet overskriver filerne, så 'forsvinder' de.
Når man sletter en fil, så bliver den ikke slettet. Det eneste der sker, er at systemet 'glemmer' hvor filen ligger. Man kan så bare gå ind og kigge på alle 'placeringer' og derved finde en masse slettet filer. Når man i stedet overskriver filerne, så 'forsvinder' de.
Nicolai (26) skrev:#18: Ingen grund til alt det besvær. Han skulle bare havde overskrevet sine filer, så ville FBI ikke kunne genskabe dem.
Når man sletter en fil, så bliver den ikke slettet. Det eneste der sker, er at systemet 'glemmer' hvor filen ligger. Man kan så bare gå ind og kigge på alle 'placeringer' og derved finde en masse slettet filer. Når man i stedet overskriver filerne, så 'forsvinder' de.
Man kan med det rigtige værktøj aflæse bitværdierne på hdd'ens plader flere overskrivninger tilbage, så det eneste rigtige er fysisk at ødelægge hdd'en fulstændigt..
Gad vide hvad FBI har lavet indtil nu så.
Hvis de digitale spor førte til manden hvorfor fangede de ham så ikke med det samme.
Så lang tid tager det heller ikke at få tilladelse til at tvinge oplysninger ud af ISP og andre.
Der står sådan set ikke noget om at Hidemyass.com var der afslørede ham eller at hans 'wipe' af harddisken ikke var gjort ordentlig.
Eller at det overhovedet er den samme harddisk som han brugte under angrebet (såfremt det er ham).
Det eneste specifikke der står er ordet hidemyass.com
Tyder det ikke bare på at vidne afhøringer har ført FBI frem til manden ?
Det er jo ikke ligefrem den første fra gruppen de fanger.
Hvis de digitale spor førte til manden hvorfor fangede de ham så ikke med det samme.
Så lang tid tager det heller ikke at få tilladelse til at tvinge oplysninger ud af ISP og andre.
Der står sådan set ikke noget om at Hidemyass.com var der afslørede ham eller at hans 'wipe' af harddisken ikke var gjort ordentlig.
Eller at det overhovedet er den samme harddisk som han brugte under angrebet (såfremt det er ham).
Det eneste specifikke der står er ordet hidemyass.com
Tyder det ikke bare på at vidne afhøringer har ført FBI frem til manden ?
Det er jo ikke ligefrem den første fra gruppen de fanger.
Carstone (19) skrev:Eller bare smide sin harddisk ud bagefter? :)
Kryptering er vist en meget billigere løsning i det tilfælde. Udfør din gerning via. en krypteret harddisk, og formater derefter harddisken. No traces, ingen hårde beviser.
Selvfølgelig vil logfilerne fra Hidemyass stadigvæk kunne fælde dig :)
Brug et wifi hotspot - mcd i provinsen - brug en billig netbook - smadr lortet med en hammer - kør ud i nærmeste skov og brænd resterne
Er det ikke et rimeligt godt bud?
Er det ikke et rimeligt godt bud?
Mamad (moveax1ret) (33) skrev:#32
http://www.wired.com/threatlevel/2011/08/hacking-f...
Du skal bare lade være med at købe noget til 25-30 kroner med dit kreditkort. Køb det med kontanter i stedet!
McD i tønder - 01:45 om natten - ud i det gamle militære øvelsesterræn og brænde lortet?
Jeg mener "dum ide!"
Testa (24) skrev:#23
Når man tager høje for hvor længe PSN var nede, og at alle de konto oplysninger der nu var senere er fundet sat til salg, så er det egentligt fair nok. Har ikke meget til overs for folk der påstår at de gør noget fordi de mener det er det rigtige, og så på sidelinjen lige score kassen ved at sælge ting på det sorte marked.
Men nu må vi se hvad han bliver dømt for, kan være han rent faktisk ikke er en af de røvhuller der var indblandet i det her for egen vindings skyld.
Det hack der omtales her var ikke PSN hacket, der er tale om et hack hvor en database han fik adgang til og frigav.
eax.exe (10) skrev:blacktiger (7) skrev:#6 Det er meget basalt og der er da også en del der tyder på at sikkerheden hos sony langt fra var god nok.
Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.
#7: Det er langt fra umuligt at beskytte sig mod SQL injections.
Du kan f. eks, I PHP, bruge mysql_real_escape_string, eller Prepared statements. Dette burde mere eller mindre beskytte dig fuldstændigt.
Det løgn
$_POST['id'] = "1 OR 1=1";
$id = mysql_real_escape_string($_POST['id']);
$query = "SELECT * FROM entries WHERE id = $id"
Du er stadigvæk sårbar her :)
mysql_real_escape_string får folk til at kode med hovedet under armen, fordi de bare tror at nu har de beskyttet sig godt nok.
inckie (37) skrev:Det løgn
$_POST['id'] = "1 OR 1=1";
$id = mysql_real_escape_string($_POST['id']);
$query = "SELECT * FROM entries WHERE id = $id"
Du er stadigvæk sårbar her :)
mysql_real_escape_string får folk til at kode med hovedet under armen, fordi de bare tror at nu har de beskyttet sig godt nok.
Jeps.
Når man forventer tal som f.eks. id'er, så er det bedre at lave et eksplicit typecast til int eller lignende.
hidemyass.com - Holy crap! Det er godt nok det dummeste jeg har hørt længe!!!
Begynder at mistænke at anon og lulzsec bare er en flok scriptkiddies. Og at sikkerheden hos nogle store firmaer er helt i skoven...(okay lidt ironi er brugt her...)
Hvis jeg skulle lave noget lignende, hvor jeg vidste at jeg ville få FBI, CIA, KGB, PET...osv osv. opmærksomhed, så er det da sikkert at jeg ville sikre min røv bedre end det.
Finde et åbent WIFI (og lade være med at tage mobilen med på turen ;), Linux dist kun kørende i RAM. (evt bygge en comp med gammelt genbrugs hardware), proxyer en masse. end to end kryptering (Tor krypterer ikke...), sølvpapirshat og svedbånd!!!
15 år er lang tid i et amerikansk fængsel, hvor det er Bubba, med en svaghed for prettyboys, der er chef...
Begynder at mistænke at anon og lulzsec bare er en flok scriptkiddies. Og at sikkerheden hos nogle store firmaer er helt i skoven...(okay lidt ironi er brugt her...)
Hvis jeg skulle lave noget lignende, hvor jeg vidste at jeg ville få FBI, CIA, KGB, PET...osv osv. opmærksomhed, så er det da sikkert at jeg ville sikre min røv bedre end det.
Finde et åbent WIFI (og lade være med at tage mobilen med på turen ;), Linux dist kun kørende i RAM. (evt bygge en comp med gammelt genbrugs hardware), proxyer en masse. end to end kryptering (Tor krypterer ikke...), sølvpapirshat og svedbånd!!!
15 år er lang tid i et amerikansk fængsel, hvor det er Bubba, med en svaghed for prettyboys, der er chef...
delley (40) skrev:hidemyass.com - Holy crap! Det er godt nok det dummeste jeg har hørt længe!!!
Begynder at mistænke at anon og lulzsec bare er en flok scriptkiddies. Og at sikkerheden hos nogle store firmaer er helt i skoven...(okay lidt ironi er brugt her...)
Hvis jeg skulle lave noget lignende, hvor jeg vidste at jeg ville få FBI, CIA, KGB, PET...osv osv. opmærksomhed, så er det da sikkert at jeg ville sikre min røv bedre end det.
Finde et åbent WIFI (og lade være med at tage mobilen med på turen ;), Linux dist kun kørende i RAM. (evt bygge en comp med gammelt genbrugs hardware), proxyer en masse. end to end kryptering (Tor krypterer ikke...), sølvpapirshat og svedbånd!!!
15 år er lang tid i et amerikansk fængsel, hvor det er Bubba, med en svaghed for prettyboys, der er chef...
...
Thoroughbreed (35) skrev:Gør det uden for lukketid ...
McD i tønder - 01:45 om natten - ud i det gamle militære øvelsesterræn og brænde lortet?
Jeg mener "dum ide!"
Et meget billig bærbar købt af Al-Hamid på DBA.dk og åbent Wifi ... Du behøver ikke engang sølvpapirshatten!
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund