Příspěvky

61

Odkladiště / Re:Je možné získání dat skrze XXE?

« kdy: 08. 03. 2023, 15:55:19 »

Aha, donucení čtení lokálního zdroje, to mě vůbec nenapadlo. Tedy něco jako v php skript  co má umět načítat  externí url http, ale dá se tam podstrčit  (cesta k)file. ... Tuším že curl, fopen a čachrování s stream://

   Jak?


Já tam viděl jen ty  makra "laughing bomb" (definice c : b,b,b,b,b, ; d : c,c,c,cc; e:d,d,d,d,d ... Výsledek c: n^k dlouhý řetězec)

62

/dev/null / Re:iptables --m recent: možné oba zápisy update+set (pořadí a -j)

« kdy: 07. 03. 2023, 17:20:10 »

Je --reap jen kosmetické (že v xt_recent  stavovém výpisuřádky zbytečně nejsou dlouhé)nebo nějak mění fukncionalitu?

Nevidím v příkladech v v)láknu že by to mělo mít efekt? Nebo to má efekt? Nebo to má efekt v slož.užitích module r e c e n t ?

Pro uvedení podvobraz, (je to jeden řádek celý ačtualy)

Kód: [Vybrat]

src=185.129.10.0 ttl: 122 last_seen: 8267592506 oldest_
pkt: 4 8267372497, 8267430811, 8267430811, 8267592506, 8265694432, 8265694432, 8265694432, 8265788809, 826578880
9, 8266076541, 8266103917, 8266103917,8266112651, 82661
12651, 8266528383, 8266627875, 8266627875, 8266658008, 8
266658008, 8266658008, 8266658008, 8266695579, 826669557
9, 8266790658, 8266790658, 8266790658, 8266790658, 82668
28052, 8266828052, 8266828052, 8266828052, 8267028106

63

Server / Re:Nastavení SPF pro více domén s jedním mail serverem

« kdy: 07. 03. 2023, 17:13:15 »

A spf se týká domény z "Mail from:" v SMTP komunikaci. Ale stejně (kvůli  zmíněnému DMARC nekelodování o označení za podvrženou zprávu) , ta by se měla shodovat s From

Takže ten spf canc je nanejvýš žádoucí  mít u všech domén

64

Odkladiště / Je možné získání dat skrze XXE?

« kdy: 07. 03. 2023, 17:08:36 »

Zde v sekci "exponential"

Jak se s tím dají vyčítat data? Připadá mi to jako nepodložená senzace... Napadají mě snad jen2cesty: buffer overflow ;a chybová hláška, která  odhalí max.cestu zpracujicího sktiptu

server APIs, and customer information can be stolen through XML attacks.

XXE attack when performed successfully can disclose local files in the file system of the website. 

65

/dev/null / Re:iptables --m recent: --rcheck vs --update v praxi

« kdy: 06. 03. 2023, 23:17:17 »

Sice jsem si četl man iptables Sekce "recent" --update a --rcheck... (Rcheck "jenom " testuje,  navic vsune do seznamu /proc"/net/xt_recent/jmeno)


snažim se přijít na  praktický rozdíl:
Je to jenom to že mohu zapsat --hitcount 42 --update a je to stejné jako --hitcount 43 --rcheck ? Nebo je v tom nějaký háček  a u předchozího příměru jsem něco zanedbal?

66

/dev/null / Re:Jaký to dává smysl?

« kdy: 06. 03. 2023, 23:08:32 »

Třetí mailový provider je odklonění od tématu(ta předpokladu že "Přihlásit se přes Google" vyžaduje google účet DTTO google účet .
Jiný mail než google mail je centrum.
Google analytics jde zablokovat, DTTO reklama.

67

/dev/null / Re:iptables --m recent: posílání FIN paketů a zůstane viset FIN-WAIT-1

« kdy: 04. 03. 2023, 01:38:38 »

Zjistil jsem dost nepříjemný problém, když mám ty pravidla -m recent na příchozí službu na serveru, všímám si, že můj server odesílá "útočícímu počítači" zpět . Neděje se to pravidelně pokaždé a nevyzkoumal jsem vzorec, možná je to jen nějaký přechodný stav když zrovna vložím pravidlo DROP  do iptables když jsou aktivní script kiddies.
Na to jsem se chtěl zeptat, jestli by tahle hypotéza seděla, nebo má jiné vysvětlení a zda to má smysl řešit

IP SRV.6666 > 121.3.4.5.11537: Flags [F.], seq 0, ack 1, win 510,  length 0
(obykle 3x za sebou )


Jako rozumím tomu, to pravidlo -A guard_block -m recent --update --seconds 900 --reap --hitcount 2 --name porty  -j DROP zablokuje i příchozí FIN+ACK a pak tedy se tcp stack nedozví že sshd démon naštvaně po GraceTime prásknul sdveřmi

Ale nevím proč a jak tomu zabránit, aby odcházely zbytečně pakety na spojení které zrovna je na blackxtlistu momentálně.

a ss -4t hlásí
FIN-WAIT-1   pro  tento soketový pár

68

Software / Re:Reklamy procházejí skrz,browser nemaže cookies hned napovel

« kdy: 04. 03. 2023, 01:24:34 »

A pri "Exit" vycisteni kolacku


A navstivit jednu z tech protivnych stranek co stoji obsahove za ......

Tak zrovna  mazání koláčků ve firefoxu mi funguje nespolehlivě Nebo dělám něco špatně(používám vyhradně anonymní režim) nebo jinak než autoři zamýšleli.

Chci li mít jistotu, dopracoval jsem se k proceduře mazání cookies s těmito kroky:
1. zavřít všechny taby
2: v menu dát asi na pěti kliků proceduru - settings -delete browsing data- delete cookies
3: zavřít Browser (Quit)
4: zavřít Browser v přepínači aplikací(android)

Možná přeháním, ale jinak to nejde. Když jsem to zkoušel podmnožinu těchto kroků(zkrátka intuitivně smazat cookies a očekávat, že se tak stane), k překvapení tak cookies zůstávaly Je potřeba najít nějakou stránku , která zobrazuje poslané a přijaté cookies....
Schválně jestli tobě se cookies skutečně mažou jak mají nebo očekáváš.

Ano, dělám takové podobné zkoušky občas, že "to funguje správně a vše je na svém místě" .
na světě jsou 3 jistoty: smrt , daně , reklamy na živě.cz (donedávna 4. "jistota" byla strana čssd)

69

Software / Re:Reklamy procházejí skrz

« kdy: 03. 03. 2023, 21:47:19 »

Potíž číslo 3 že webové stránky dnes dělají 2 způsoby, které tomu nenahrávají - mířím směrem do oblasti k libre.js(jestli jsem to správně nazval, má to být něco jako opensource javascriptu z okolí Brave, FSF a levice)
- patlalové stylem  pejsek a kočička pekli webpack ale vyšla z toho 9hlavá obluda, která sotva dýchá. To jsou takové ty blogísky s 200 wordpress pluginy , 50 iframy protože je na stránce 50 videí,  extra pluginem+scriptem+iframe na zakulacení obrázku . / Nebo ty "pirátské" stream platfomy onlinesledovaniserialu.cz, kde se k videu musí člověk doklikat přes 10 redirectů,  které načítají 20 reklamních  promtpů a nakonec se zjistí že jde o tragický 480p rip z nějaké embedovací stránky (ted mě nenapadá žádná,). A celou dobu to těží bitcoin přes coinhive.com

- hypermoderní webové aplikace, kompilované do zasemblovaného WASM s Javascriptovým Virtuálním strojem runtime react.js, které mají řádově megabajty volajícímicroservices, api, graphql, (tam kde se dřív hýřilo REST a SOAP), které na jiném prohlížeči než půl roku starém v lepší případě jdou sekaně na 8jádru s RTX3080 ,  nebo se nezobrazí nezintepretují vůbec, protože používají bleeding edge javascript.. Sem patří všechny moderní, cool responzivní  a drahé weby  a dál webové aplikace. Společným znakem je  nulová debugovatelnost/auditovatelnost,  systémové nároky 1000x přemrštěné (nebude to daleko od pravdy, Atom.io 2GB RAM, ... pspad 50MB ?, plain html 10MB, facebook 3GB)

Smutné je, že  to je i u stejných projektů, který sice na začátku budí zdání, že ho programoval někdo příčetný, jenže pak se po čase zjistí, že (zřejmě kvůli přidání nějaké drobné funkce , ne základnímu redesignu) tam kde dřív blo jednoduchý <video>tag se použije knihovna zenjs,video, použije se 20 skriptů z 5 CDN, volá se 10 API kvůli stažení titulku...

70

Software / Re:Reklamy procházejí skrz,100‰ zvládne DNS, 10‰ přidá doplněk, 1‰přidá filtr

« kdy: 03. 03. 2023, 21:22:06 »

Potíž č.2 že tohle si zprovoznit na mobilních zařízeních je pro 99%  utopie (možná i bez toho upřesnění na mobilní zařízení). Pokud vím mainstreamový chome sice je obohacen o google šmírování a Floc ale neumí rozšíření.  10% si maximálně v androidu nastaví DNS třetí strany který filtruje DNS(teď mě žádný nenapadá), ale tam si těžko přidá svých 1000 domén protože je to outsorcované, které taky filtruje. 2% si možná je schopno nahradit systémový DNS který si poradí s wildcard DNS () jako AdaWay ale je na to potřeba asi root a je to problém rozchodit občas.

tak 50% co použije adblock spoléhá na builtin filtry a asi nikdy si nepřidá svůj filtr, buď o tom neví že něco takového vůbec je možné  nebo to není schopno vymyslet jaká filtr přidat.
Je ale aspon dobré že poslední 3 roky jsou české easy list použitelné.

a promile si  dá to mobilního firefoxu ublock origin, který umožnuje CNAME detekci nebo ty injektáže javascriptu.

no a ztoho  minipromile 99% lidí jsou ti kteří to sice zvládnout zprovoznit, ale přidat si svůj filtr nebo přispět do easylistu

71

Software / Re:Reklamy procházejí skrz, pokud se neblokuje cookie,script nebo kusy js

« kdy: 03. 03. 2023, 21:03:43 »

Tak zrovna na těhle stránkách je nějaké agresivní svinstvo, které už dávno (vícjak pět let) proleptá "utěsněné DNS" . Jelikož jde z stejné, tedy identické domény. Tím pádem ani proti tomu nepomůže svěcená voda - detektor CNAME( který stejně funguje jenom ve firefoxu)

Tedy DNS  filtrace je moc hrubá síť  na tyhle piraně. Sice chytíte ty velké žraloky (imedia.cz, (*.)sklik.cz), ale antrax v <script> přes dns neprofiltruješ. nebo přes DPI když je to https

Správně jak bylo poznamenáno, stačí si zakázat &smazat cookies. Případně scripty(různé kombinace, myslím že stačí inline. Tipuji že on je i rozdíl mezi zákazem scriptů na stránce, zákazem inline scripů a zákazem js souborů, vstupuje do toho i <noscript>tag)

Jakmile se stránka, zobrazí rozhozeně, nebo oběť má tendenci blokovot prapodivné scripty s obfuscovaným názvem*, tak je prohráno, to byste se ublokoval do úmoru

Tudíž musí nastoupit cílená obrana:

seznam.cz,novinky.cz##+js(cookie-remover, qusnyQusny)
#script:inject(abort-current-inline-script.js, adbDetect)
novinky.cz##+js(addEventListener-defuser, message, fishing)
script:inject(addEventListener-defuser.js, /^(beforeunload)$/)
​+js(set-constant, Gallery.prototype.setAdsForGallery, noopFunc)
+js(cookie-remover, /^_?adb/)


a to nepočítám
iva.seznam.cz
consent.seznam.cz
ogar.seznam.cz
a další neznámé .


řečnická otázka . co jsou zač.


*nedávno jsem se setkal s dalším modus operandi: www.stranka.com/a/blabla  https://ericdraken.com/a/

Potíž je že obrana proti tom třeba má instrukce o délce 50 A4. : https://linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/

PS: byl jsem připraven a odpověď jsem si před odesláním zkopíroval do schránky. Jelikož se po odeslání ukázalo, Lituji, Přístup odepřen a po přihlášení jsem byl přesměrován na nové téma.

72

/dev/null / iptables --m recent: vystřílí víc paketů všechny hitcounty?

« kdy: 03. 03. 2023, 20:42:30 »

 Je funkcionalita r e c e n t orientovaná pakety nebo na spojení? (dejmetomu že mám hitcount 3 za nějakou dobu a připojím se poprvé, proběhne nějaká obou směrna komunikace 20 paketů. Vymlátí to  v daném časovém okně zbylé 2 volné pokusy hitcount ) Jakým modifikátorem (u --update nebo u --set) alternovat toto chování?

73

Server / Re:<D>omácí NAS - readonly po výměně disku

« kdy: 02. 03. 2023, 17:06:28 »

Je jinak vše na stejném místě, pozoruješ nějaké dalsí  změny? Dá se k datům vysokoúrovnově dostat nadále(i když jen RO)?
 
Mě napadla jedna unhappy path, jak by se to mohlo stát:
disk změnil identifikátor (dev/disk/by-* : * může být partlabel,uuid,, nejlepší je si udělat ls -la a koukat na symlinky)
a nyní buď v fstab máš ten mount ručně daný a nebo ho něco mountuje runtime.
Dle mě ta chybí nebo dělá problbém volba mountu users, umask,fmask atd. Například že byl příkazvegenerován se starými údaji a se  volba nějak tiše selže.
Nebo je tou mountované přes fuse? Nebo  v procesu inicializace máš kombinace specifikátorů disku  mix sda, partlabel, id...)?

Je to jen takové hádání.
Druhá možnost, není partition zamknutá z důvodu změny velikosti a čeká se na fsck nebo resize fs?
Myslím ze některé fs to dělají, že si vynutí readonly při nějaké údalosti
SHodovaly se velikosti?

74

Server / Re:Duplicitní zprávy ze Seznam.cz na Postfixu

« kdy: 02. 03. 2023, 17:00:19 »

Tento problém jsem nikdy nezaznamenal (2 různé SMTP@25)
Nemáš nějaký plugin typu karma, tarpit? Který dokáže neznámé/prvně připojené odesilatele zbrzdit na až asi 40sec?

Máš nějaké BLACK listy atd? co když dáš seznam do whitelistu?

75

/dev/null / Jaký to dává smysl?

« kdy: 02. 03. 2023, 16:46:18 »

Jakýto dává smysl? Možnost přihlásit na Centrum.cz Mail Přes (tlačítko) Přihlásit se přes google? To je nějaký černý humor?