12 EKİM 2011, ÇARŞAMBA

Hak5 - Trans-Atlantik Üzerinden Lvl1 Hackerspace Derbycon, Brad İle Balon

Com dot etki tarafından getirildi, bu segmenti paketi 5 O hiçbir klasik scripting sahip uzun bir süre için büyük bir anlaşma olmuştur söylüyor Sonunda bazı gerçekten ilginç yeni şeyler göreceksiniz buraya bana katılmak 30 am 111 neden bakacağımı harika teşekkür ederim nasıl Buradan yeni cross-site scripting çözümü nedir biliyor böylece tarayıcı tabanlı saldırı genellikle bir betik karşısında onun Eğer saldıran ve hatta bazen belirli ettiğiniz web sitesi olan Pasifik Bu tarayıcı Yorum gerçekten sana o ya o çok daha fazla erişim vermez Web sitesi ya da belki bir tarayıcı saldırı ancak geliştir

icilerin günümüzde böyle dinamik uygulamalar ile bir yeri vardır tür JavaScript motorları bir HTML kolay yolu alarak ve gömme uygulamalar içinde yaralı masaüstü uygulamaları olduğu web için vadeli önce sadece geliştir

ici gibi Eğer geleceği HTML 5 biliyor o sadece İyi olduğunu büyük bir in uygulama için sizin onun kolay değiştirmek geliştiriciler bir şey almak için dışarı hızla evet o erkekler için pek çok HTML ve Javascrip

“Gösteri bu kez, HD Moore görüşmeler Metasploit, Kos Level1 Brad gölet üzerinde bir balon gönderir ve Darren boruları şeyi bir şeyin içine ve bir şey olmasını sağl...”
Hak5

t bulunuyor bulunuyor Kullanıcı arayüzleri için geride her şey aksine onun oldu onlar bir kullanıcı biliyor ve ve kullanım için kolay hale gelecek olması gerekiyordu konum ve onlar da olması gerekiyordu konum geliştirmek için lanet ucuz biliyor ve ve biliyorsun Talihsiz bir şey, bir rollout olsa bir sürü değil olmasıdır Ben tüm güvenlik şeyler çoğunlukla sunucu tarafı biz gerçekten geliştiricilerin öğretiliyor bir noktaya değil Ben içerik seviyorum istemci

Hak5 - Trans-Atlantik Üzerinden Lvl1 Hackerspace Derbycon, Brad İle Balon Resim 1 Hak5 - Trans-Atlantik Üzerinden Lvl1 Hackerspace Derbycon, Brad İle Balon Resim 2 Hak5 - Trans-Atlantik Üzerinden Lvl1 Hackerspace Derbycon, Brad İle Balon Resim 3 Hak5 - Trans-Atlantik Üzerinden Lvl1 Hackerspace Derbycon, Brad İle Balon Resim 4

tarafı filtreleme uygulamaları bazı ne olduğunu aslında değildir filtreleme düzgün yerel ve sonra aslında demo benim konuşmada böylece elde Beş farklı uygulamalarda Ben OSX a üzerinde etmek demoed Geri ikisi birkaç ay bulundu sonraki bir sürümü kaçış skype Çok yakın zamanda yaklaşık bir ay önce korkunç bir bulmuştur I ve daha sonra ATM ve ne o yamalı kaçış yamalı edilmiştir yaklaşık bir ay ya da iki keşif sonrasında ATM üç hafta keşfinden sonra yamalı ama bunların hiçbiri bir vardı Orijinal cezası nedeniyle gerçek güvenlik et

kileri farkında yapılmış urs Ben tüm erişim var ve yayınlanmıştır ayarlamanıza edebilirsiniz yapmak hey oh oh Bir Ben size eğer içinde bir phishing sayfası koymak biliyorsunuz olarak erişimi bakmak bölünme Sadece orada onlar uyarı hello world tam açılır Ben bunu çok daha eğlenceli hale düşündüm o gerçekten çok mutlu değildi Benim yükü böylece uzak gelişmiş bir yük ya da bir şey gibi hissediyorum gider aslında o çok kötü ilerleme aslında herkes onu üzerindedir günümüzde kullanan değil var temelde basit bir XML HTTP istekleri temelleri Ajax sorguları seviyorum ve size bu yüzden bir senkron bir web sitesi biliyor Bir yeniden sayfalarını değiştirmek zorunda değilsiniz Ben farklı burada yapıyorum tek şey yerine bir istekte bulunuyor web sayfası Yerel dosya sistemi üzerinde bir dosya için istekte Yerel dosya sisteminde çünkü sen sen Bir uygulama bir çünkü tam dosya kolon çizgi çizgi seçecek görün Uygulama ve bazı durumlarda dosya kolon çizgi eğik çizgi içinde koşuyoruz size uzay Uygulama tamamen ne olursa olsun erişmek için izin verilir söyledi konum o istiyor Skype'ın bu sürümü ile silisyum bir Mac çalışmaya mevcut komut dosyası yapmak sabit sürücüdeki dosyalar Belirli herhangi bir tür karşı sömürü ile çok arıyor olurdu her zaman ilk tür gerçekten sulu hassas dosyaları sonra gitmek bu yüzden genellikle ben aslında bunun bu tüm aracılığıyla bu ve otomatik hale getirmek için Liste I have a Bir SSH tuşları gibi dosyaları çerez listenize dosyaları Shoc anahtarlık yüzden çevrimdışı güçlerini demlemek olabilir Herhangi sıralayabilirsiniz bir kimlik bilgileri yer alır şey ya günlükleri herhangi bir tür ve biraz daha fazla bilirsin de bana bir şey tayin azaltılması duyarlı güzel o kadar çok nerede bu iki uygulama olduğunu biliyorum ki aa West End şimdi biz-cekti aslında diğer uygulamalar öyle Aslında OS 10 den II gitti ve Skype bakmış IOS gözler aslında komik bir hikaye biz test edildi OSX üzerinde Skype hata benim astı demek ve onun telefona bakar ve o ben sadece skype bir mesaj var gider o açılır ve o kendisi biz test ediyoruz çünkü oldu o aniden iPhone bir uyarı kutusu var ve biz keşfettik iPhone aynı zamanda savunmasız hemen hemen aynı XSS ​​ve böylece iPhone ile birlikte ancak iPhone ile aynı tür bir parçası gibi değil ama burada sadece can Dosya kolon çizgi çizgi gibi Şifre aşkına de yapamazsınız iPhone Skype biliyorum mobil uygulamalar geliştirilmiştir yoludur böylece bu dizinleri oranını bakın farklı biraz Masaüstü aslında biraz daha aynı Gerçekten Evet doğru olan başına birden çok kullanıcı olan Uygulama ve izin düzey klasörler ve dosyalar üzerinde uygulama başına set olan olduğunu I love çok daha iyi bir yolu gelen kötü niyetli uygulamaları engelleyen biliyorum gibi şeyler erişme hiçbir neden yoktur, çünkü onlar masaüstünde mümkün olacak gibi o Akıllı telefonunuzda Skype uygulaması tam tam bu yüzden e-posta herhangi bir veri ihtiyacı böylece bu durumda biz biliyoruz Skype ile sınırlıdır Belirli şeyler ya da benim iş arkadaşınız onun blog yazısı koymak o aslında kullanıcı yukarıdaki adres defterini aşağı çekme havayı çünkü işte biz de size ihtiyacımız yok oh demek senin Onların gmail hesabı ancak bir çok kez onlar olduğunu göreceksiniz o Kesinlikle ama kişi listesi ile entegre biliyorum piyango ben API çeşit olacağını varsayabiliriz ederdi demek Onları etkileşim ve ile doğrudan etkileşim değil Bildiğiniz Dosyanın kendisi ama bizim için daha kolay hale getirdiğini biz sadece can Bildiğiniz bir netice yaşam hakkında benim sunucuya göndermek olacak ve sonra ben Gördüğünüz oldukça Android için bir şey var adres defteri evet bu yüzden Android'de ben aslında son zamanlarda bu keşfetti Aslında size sağlayacaktır Gmail uygulamasında bir hata Bir saldırganın kod ve enjekte etmek nedenle temelde size bunu e-postanın bir başlık başlığından gönderilecektir bir saldırı olarak size yükü enjekte ediyorum Kullanıcı bu e-postayı alacak Eğer çekim uygulaması hakkında daha fazla ayrıntı göstermek ve o-cekti tıklıyorsunuz vardır tüm HTML işlemek tamam bu yüzden ancak hatalı biçimlendirilmiş edebilmek için ihtiyacınızı sahadan böylece kalacaksın bu saldırıyı göndermeye başlamak mümkün gibi değil gmail hesabı veya bir şey ya da kira Gmail arayüzü oranından sen biliyorsun sevgi çeşit gerekir Kendi komut rulo veya durumda ben aslında ne yaptığımı Ben sakinleştirmeye serin değil naps aldı ve ben kendimi göndermeye başladı işlevsellik bu kullanarak farklı yerlere bağlantılar ve e-posta adresi ya da aklı doğrulamak vermedi Size gidiyor ismi gibi bazı gelmiyor Google nokta com tecavüz ama buna haritalara garip dize çoğu zaman, ilgili bunu yapar ama aynı zamanda arkadaşını demek Bulunduğunuz yere yosemite paylaşmak ve daha sonra devam edin ve e-posta açabilirsiniz ve vurmak Bir pop ayrıntıları göster ve Bob o bunu yaparken limana 25 içine telnet gibi biraz daha kolay geliyor kesinlikle açık bir röle ama ben içinden yapabileceği tarafından Ben bir bir kullanarak yararlanma yararlanmak çok az eğlenceliydi çok eğlenceli Google app yararlanmak için bir Google hizmetini kullanarak haritalar gibi bir uygulama yani ne şimdi çalıştırmak silahlar ve JavaScript erişimi var Gmail uygulamasında The bu yüzden, çünkü ben Gmail uygulamasına çalıştırıyorum şimdi ne Ben aa dosya sistemi üzerinde çok fazla erişimi yok Diğer hassas ap Güney ama ben ancak her şeye erişimi var o Gmail uygulaması size erişimi vardır hangi onlara ki suları parçasıdır Gmail'de vokal çevrimdışı depolama hepsi bir yerel depolanan veritabanları, her GB gmail için dosya sahip olduğunuz hesabı ve ben sadece devam edin ve yapabilirsiniz o talebi biliyor onsuz aşağı çekme Şimdi şikayet var olmadan biz kötü şans onu olmasını istiyorum diğer uygulamalar gibi uygulamalar aslında ikincil üzerinde çalışan bazı üzerinde içerir daha karmaşık saldırı ek olarak kullanıcıya bir HTML dosyası göndererek ve o gelen ve Gmail'de arayüzü ben enjekte edebilir çünkü Tıbben HTML dosyasını indirmek JavaScript Ben sadece JavaScript olabilir ve sonra tekrar javascript kullanarak bir tarayıcı oturumunu Spahn edebilirsiniz Ben olacak bu yaş ekibine doğrudan gitmek için 0 Ben artık tarayıcınızda tarayıcınızın şimdi olacak Ben tarayıcıda olduğum için şimdi tüm çerezleri erişimi yüzden erişim Web geçmişi evet bu noktada gerçekten insan etkileşimi olsa lazım olduğunu Kullanıcı Detaylar için tıklayın bu yüzden belki bazı sorta balıkçılık şey değil mi biraz evet sadece eklemek insanlara bir liste var kolay olabilir demek veya daha fazla ayrıntı size Göster tıklama gibi insanlar bir liste var olduğunu görürsünüz bilmek çizgisinde bu kişinin kendi e-postaları hemen orada temas ya da bir şey o Gibi sesler ben gibi olası demek Bizim emin birçok phishing saldırıları yapmış değilim ve biz nasıl biliyor Bunun size bilinen aa yüzdesi ile ve eğer alır Hatta küçük bir yüzdesi hiç ben hala var demek doğru olur onların e-posta ve potansiyel tüm tarayıcı bilgileri Eğer yol kadar zincir Caza işe alan gerçekten büyüleyici Ben de gitmek mümkün iki kişi iş yerinde bu bahsediyoruz biliyorum ama orada Onlar önce böyle blog yazısı ayrıntıları şeyler bulabileceği bir yer olduğunu vardır evet ben aslında etki sebep olmuş değilim ah iyo que o estado ve size bloguma orada bir bağlantı bulmak ve ben cud o benim senin araba Maya ile güncel tutmaya çalışın I tüm bu kongre görüşmeler ve bir blog çok yakında deftere olmalıdır Ben bu konuda konuşmak oldum saldırılarla ilgili ve benim slaytlar kadar olacak ve mevcut sağ harika bir zevkti çok teşekkür ederim vardır Siz bile daha Derby Conn gelen geri gelecek hafta olacak olan o zamana kadar biz hala bazı e-postalarınızı seviyorum ve bin olduğu gibi sahip olması okumak ama hiçbir şekilde bir hafta biz iyi soruları bulmak için geribildirim 5 şüphe kelimesi ile gelirseniz ve o yüzden önde başlamış go let go ahead ve bu gösteri onları buraya girmek istiyorum on off Birincisi teknoloji kuru gelen yaşları o fiili ağ Admin diyor Dört hane ve aynı zamanda Kablosuz sahip evet kablosuz yönlendiriciler WPA2 şifreleme kullanmak ancak iptal demek ne yazık ki diğer bazı şifreler Ben yönetici ve anlaşma ile beraberim olsa bile çok basit ağ tüm sorunları bir sabit zaman hanenin başkanları ikna olması AKA benim kayınpederi daha karmaşık şifreleri kullanmak O kimse onun şifresini almak mümkün ama onun şifresi sonra olacak söyledi Onun SSID Ben bir kaba kuvvet şifre sabotajcı beni doğrudan umuyordum ki ben Ona gösterebilirim O bunu değiştirmek gerekiyor niçin i cud diliyorum WPA anahtarı ikinci kamu Lincoln'a Shona çatlama önemli şifre bu sezon 7 gibi oldu, bazı bir önceki yani Yasası beş biz bunu yaptık Aksi takdirde başka kolay bir şey yapmak bir gibi onları göstermek olduğunu Bir kaba kuvvet hesap son bit üzerinden bir nokta com var oldukça kolay biziz sadece Tamam parola uzunluğu sekiz karakter demek ikinci hisse başına geçenler yaparsa standarttır neden bu kadar küçük harfle ve daha sonra sadece beş gün kadar sürebilir Eğer daha karmaşık olsun.

Açıklama

Gösteri bu kez, HD Moore görüşmeler Metasploit, Kos Level1 Brad gölet üzerinde bir balon gönderir ve Darren boruları şeyi bir şeyin içine ve bir şey olmasını sağlıyor, cross-site scripting akıllı telefon uygulamaları konuşuyor. Hak5 tüm bu ve daha bu sefer.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

Hak5

Hak5

BT ninjaları, güvenlik uzmanları ve hardcore oyuncular bir grup tarafından bir araya getirilen, Hak5 tipik teknoloji gösterisi değildir. Biz eski okul anlamda hack almak. Senin Technolust güvenin!

YORUMLAR



9.2/10

  • 23
    Olumlu
  • 2
    Olumsuz
  • 8
    Yorum
  • 3078
    Gösterim

SPONSOR VİDEO

Rastgele Yazarlar

  • Rugiagialia

    Rugiagialia

    1 Ocak 2008
  • spyib

    spyib

    9 Ocak 2007
  • Vladimir Jenko

    Vladimir Jen

    1 Mart 2010

ANKET



Bu sayfa işinize yaradı mı?