» »

OWASP Slovenija

OWASP Slovenija

owaspslo ::

Pozdravljeni slotech varnostni strokovnjaki,

če še slučajno ne veste, smo se tudi v Sloveniji nekateri zorganizirali v svoje OWASP (www.owasp.org, Open Web Application Security Project) poglavje. Kot naše kolege po svetu tudi nas skrbi predvsem aplikacijska varnost.

Prejšnji teden (16.6.2010) smo imeli v Mariboru v okviru OTS 2010 4 (štiri) zanimiva predavanja z našega najljubšega področja (appsec...) in malo naokrog. V brezplačnem in prostovoljnem duhu naše materinske globalne organizacije vas tako obveščam, da članki in predstavitve z dogodka že komaj čakajo, da jih preberete ( http://www.owasp.org/index.php/Slovenia ).


Teme so bile naslednje: Pasti pri vgradnji kriptografije v aplikacijski svet, Slovenske spletne aplikacije imajo »TALENT«, Race condition" - Ko želva stavi na srečo, zajec pa na "symlink" napad, Telesni skenerji na slovenskih letališčih.


Lep dan,
Stanka
  • spremenilo: owaspslo ()

poweroff ::

Super. Stanka, predlagam, da napišeš novico (zgoraj levo klikni na "pošlji novico"). Bodo uredniki pogledali in upam tudi objavili.
sudo poweroff

denial ::

Zelo zanimivo...
SELECT finger FROM hand WHERE id=3;

dejanslo ::

Mimogrede, na pdf slajdih s te strani se ne vidi besedila.
There`s More Than One Way To Do It

owaspslo ::

Podzravljeni,

v sredo, 8.12. 2010, ob 16:00, prireja OWASP Slovenija še zadnje letošnje srečanje, tokrat v Mariboru. Ponovili bomo predavanje "Remote Binary Planting - An Overlooked Vulnerability Affair".

Več o dogodku in brezplačne vstopnice najdete na http://owaspslo.eventbrite.com/.

LP

owaspslo ::

PDF predstavitev s predavanja "Remote Binary Planting - An Overlooked Vulnerability Affair, Slovenian Foreplay", ki ga je Mitja Kolšek za mariborsko publiko ponovil 8.12.2010 na FERI, so na razpolago na znanem mestu (http://www.owasp.org/index.php/Slovenia). Ker so nekatere strani grafično kompleksne in jih nismo želeli krniti, se na dveh straneh ne vidi ves tekst. Sorry for that.


Če kaj spremljate Microsoftove varnostne popravke, ste zasledili, da so ta teden odpravili nekaj binary planting ranljivosti, med njimi tisto v Windows Address Book (na vseh platformah) in s tem seveda "pokvarili :)" demo test na http://www.binaryplanting.com/test.htm (TEST1). Test je tako postal uporaben za preverjanje učinkovitosti popravka.


Zato sta po novem na testni strani binary plantinga na razpolago dva nova testa, TEST3 za preizkus neodpravljenega BP na Windows Media Playerju v Windows 7/Vista in TEST2 za Program Manager Group Converter BP bug na Windows XP. Več o tem na http://blog.acrossecurity.com/2010/12/u... .

LPS

Zgodovina sprememb…

  • spremenilo: owaspslo ()

fiction ::

Močno upam, da uspe vašemu podjetju čim prej najti kakšno novo kritično ranljivost, da ne bo treba Mitji do svojega 65. leta hoditi okrog po konferencah in razlagati o binary planting ranljivosti ;)

owaspslo ::

Pozdravljeni mojstri,

na OWASPu smo na lovu za dobrimi predavatelji, ki bi lahko predstavili razburljive, napredne, predvsem pa globoko tehnične izzive današnje aplikacijske varnosti. Vse, ki bi si upali postaviti se v prominentno družbo globalnih OWASP predavateljev, prosim, da mi spustite kak mail (stanka@owasp.org).

Fiction, si za? ;)

LP Stanka, OWASP Slovenija (stanka@owasp.org)

owaspslo ::

Pozdravljeni,

v četrtek, 16.6.2011, ob 16:20, se OWASPovci spet srečamo v Mariboru, tudi letos v okviru konference OTS 2011.

Več o dogodku in brezplačne vstopnice za podporne člane so kot vedno na http://owaspslo.eventbrite.com/


Se vidimo,
Stanka, OWASP Slovenija

owaspslo ::

Pozdravljeni sedanji in bodoči mojstri aplikacijske varnosti,

vabljeni na jesensko srečanje slovenskega odseka OWASP.
Dobimo se 15.9.2011, ob 16:00, v Ljubljani (klasična lokacija - Litijska 51, Comtrade).

Tokrat bo posebej zanimivo:
najprej bo Edi Štrosar pomagal ustavljati napade s pomočjo orodja EMET (ker sem imela možnost pokukati v draft slide, vem, da bo sočno ;), nato pa bo Tadej Vodopivec predstavil metode napadov na high-frequency borzne sisteme.

Gostili bomo tudi Damirja Savanovića s slovenskega odseka Cloud Security Alliance.

Kot vedno imate podporni člani OWASP brezplačen vstop, za lažjo organizacijo dogodka prosim, da naročite vstopnico na http://owaspslo.eventbrite.com.

Se vidimo,
Stanka
OWASP Slovenija

owaspslo ::

Pozdravljeni,

glede na precejšnje število sorazmerno banalnih ranljivosti v slovenskih aplikacijah, o katerih se zadnje čase pojavljajo debate na forumu, naj opozorim na dva kratka, simpatična filmčka, ki pomagata na hitro razumeti osnove SQLi in XSS:

* OWASP Appsec Tutorial Series - Episode 2: SQL Injection:




* OWASP Appsec Tutorial Series - Episode 3: Cross Site Scripting (XSS):

Filmčka sta "a-must-see" za vsakega razvijalca spletnih aplikacij.


Naj spomnim tudi, da se naslednje OWASP Slovenija srečanje bliskovito približuje (15.9.2011, ob 16:00) in da vam bo, če pravi čas ne dobite brezplačne vstopnice (http://owaspslo.eventbrite.com), kasneje žal ;). Edi Strosar bo zagrizel globoko v tehnikalije orodja EMET, Tadej Vodopivec pa bo dal kak nasvet v zvezi s hekanjem (ali morda preprečevanjem hekanja) high-frequency trading sistemov.

Stanka, OWASP Slovenija

Zgodovina sprememb…

  • spremenilo: owaspslo ()

owaspslo ::

Slidi od včerajšnjega srečanja pospravljeni na svoje mesto. https://www.owasp.org/index.php/Slovenia

Stanka, OWASP

owaspslo ::

Pozdravljeni mojstri in wannabe-ji aplikacijske in informcijske varnosti,

da vsaj malo omilimo val napadov na slovenske spletne strani, ki zadnje čase burijo domačo strokovno javnost in so velikokrat uspešni zaradi tega, ker vsebujejo osnovne varnostne napake, bomo v tokratnem OWASP srečanju pregledali celotno lestvico OWASP TOP 10. Saj vem, da to vse že vemo, a ne škodi, če se skozi aktualne primere znova spomnimo, kako se izogniti tovrstnim (priznajmo - sramotnim ;) kiksom.


Več informacij in prijava kot vedno čaka na http://owaspslo.eventbrite.com.

Kraj in datum: Maribor, 29.3.2012, ob 16:00
Predava: Jure Škofič


Se vidimo,
Stanka, OWASP Slovenija

MrStein ::

Kaki val napadov? Anonymous?
(ni bilo novice na ST, pa ne vem... ;) )
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

PaX_MaN ::

Čeferine pa Senico so heknil.

poweroff ::

No, to je treba jemati malce z rezervo. Namreč, vprašanje za kakšno vrsto napada je šlo.

http://24ur.com/novice/slovenija/hekerj...

Tatovom podatkov se je uspelo prebiti skozi vse zaščite, se priklopiti na računalniško mrežo in krasti podatke, so zapisali v Slovenskih novicah.

Če odpreš okužen PDF, ki se ti zna povezat v splet, to ni ravno "prebijanje vseh zaščit".

"Vsi pomembni podatki so pri nas tako kriptirani, da storilec kaznivega dejanja ni mogel do njih," so zatrdili in zagotovili, da so storilcem že na sledi.

LOL. 2x
Kot prvo dvomim, da se jim sanja, kdo bi bili storilci, kot drugo pa sem mnenja, da nimajo pojma o enkripciji. Ja, saj morda upoprabljajo kakšne kriptirne programe, ampak če ima napadalec keylogger ali če počaka, da nekdo s smartcardom odklene podatke... je kriptografija useles. Temu se strokovno reče chanel side napadi.

Tudi v odvetniški pisarni Mira Senice so potrdili namestitev posebnega programa v njihov sistem, ki se je izognil vsem zaščitam.

Ja OK, fasali so virus, ki ga antivirus ni zaznal. Big deal.

V računalniškem podjetju SRC, katerega strokovnjaki so preverjali sum vdora v sistem,

To je oksimoron. SRC in strokovnjaki, to ne gre skupaj. :))

Ob vprašanju o možnosti, da oseba, ki je vdrla v sistem, prihaja iz podjetja SRC, pa predsednik uprave podjetja Miha Žerko meni, "da ni naš", še poročajo Slovenske novice.

Tukaj se vidi, da so novinarji dobesedno fu****. Recimo, da se zgodi nek rop in na prizorišče pride policija. A bo novinar vprašal šefa policije, če so morda zato tisti policisti zagrešili rop??
sudo poweroff

MarjanR ::

Tukaj so verjetno vključeni tudi napadi, kateri so se dogajali v začetku marca 2012 na znane Slovenske spletne strani, kot so sd.si, zares.si, daniloturk.si, katere so distribuirano napadali iz tujine z željo po zavrnitvi storitve.

owaspslo ::

Slidi s srečanja: https://www.owasp.org/index.php/Slovenia
OWASP TOP 10 cheat sheets: https://www.owasp.org/index.php/OWASP_T...

LP Stanka

owaspslo ::

Pozdravljeni mojstri aplikacijske varnosti,

po dolgem času se spet dobimo na srečanju OWASP, tokrat nas prijazno gostijo v Kiberpipi, in sicer v torek, 19.2.2013, ob 16:30 uri.

Naš urnik bo naslednji:

1. Predstavitev KOC RIS (Živa Gorup Reichmann)
2. Predstavitev največjih tveganj spletnih aplikacij - OWASP TOP 10 (Jure Škofič)
3. Zlivanje vgrajene, mobilne in spletne (ne)varnosti (Tadej Vodopivec)

Več o dogodku in brezplačne vstopnice so kot vedno na razpolago na http://owaspslo.evenbrite.com.

Pozdrav,
Stanka, OWASP Slovenija

owaspslo ::

Pozdravljeni,

lepo vabljeni na predavanje "Securing Internet of Things", ki bo v torek, 25.11.2014, ob 18:00, Letališka 29b, Ljubljana (Comtrade). Temo bosta predstavila tadej Vodopivec in Gorazd Božič.

Da bo količina načrtovane pijače in nezdravih prigrizkov primerno umerjena, prosim za registracijo na naslovu http://www.meetup.com/ShareIT/events/21....

Lep dan,
Stanka
OWASP Slovenija

owaspslo ::

Pozdravljeni,

Čas je že, da OWASP Slovenija dobi novi veter v jadra. A ker mi zadnje čase kronično zmanjkuje časa, predajam organizacijo OWASP Slovenija v roke Milana Gabora (milan.gabor@owasp.org).

Se vidimo na prihodnjih srečanjih,

Stanka Šalamun,
0patch by ACROS Security


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nepreverjanje headerjev pri prijavi

Oddelek: Informacijska varnost
51861 (1276) MrStein
»

pozabljeno geslo

Oddelek: Izdelava spletišč
132865 (2296) sebavet
»

SQL injection napad

Oddelek: Informacijska varnost
213108 (2560) Yacked2
»

Microsoft, Adobe dostavila redni komplet varnostnih popravkov

Oddelek: Novice / Varnost
266331 (4945) sgdjkdlsugi4
»

The cat is out of the bug

Oddelek: Informacijska varnost
172346 (1174) denial

Več podobnih tem