Hlavní navigace

Blogy

WordPress zranitelnost v REST API je aktivně exploitována

Majitelé webů si začali stěžovat na hackování webových stránek jen hodinu poté, co WordPress veřejně publikoval informaci o obsahu zranitelnosti v REST API (popsané v našem bezpečnostním bulletinu SB2017012702 #4). Zranitelnost, o které mluvíme, byla tiše záplatovaná ve verzi 4.7.2 a odhalena pár dní poté společně s ostatními zranitelnosti v bezpečnostním bulletinu.

Pár postřehů o architektúře databáze

neboli “Kdy dva dělají totéž, nidky to není totéž” Většina začínajících databázových architektů se domnívá, že nakreslením obdélníků s názvem tabulky, definici sloupců a čar spojujících tabulky, jejich práce končí. V praxi pak potkávám fyzické datové modely, které obsahují v tabulce pouze primární klíč a indexy, které tam vygeneroval databázový engine při tvorbě cizích klíčů (foreign key)…
5. 2. 2017 14:41

Dostupný exploit pro 0day zranitelnost v Microsoft Windows

V polovině ledna tohoto roku US CERT vydal upozornění o tom, že Shadow Brokers obchodují se 0day zranitelností v Server Message Block (SMB). Hackeři nabízeli k prodeji 0day exploit za 250 bitcionů. Společně s tím Shadow Brokers ohlásili prodej velkého počtu Windows exploitů a hackovacích nástrojů ukradených od Equation group.

Soukromí v DNS prakticky

Soukromí v DNS a jeho nastupující bezpečnostní prvky v blízké budoucnosti. O tomto tématu bylo za poslední rok slyšet mnoho, pojďme si však ukázat, jak některé z těchto novinek nasadit v TurrisOS, případně OpenWRT s Unboundem.  Už to budou více než 2 roky co jsem začal používat DNSCrypt a více než rok co mě Ondřej Caletka upozornil na DNS-over-TLS. Tehdy jsem tomu moc nevěnoval pozornost a slepě nasadil DNSCrypt na Turris…
31. 1. 2017 20:49 (aktualizováno) | DNS DNS-over-TLS Soukromí v DNS |

Grafický spouštěč aplikací pro X11 pod 25KB

Používáte grafické rozhraní, a přesto preferujete minimalistická řešení na desktopu? Líbí se vám, když věci fungují optimálně a přitom je potěšení se na ně i koukat? Pak právě vás by mohl zajímat nový projekt xlunch. V některém dalším blog postu napíšu o tom, jak jsem se za 4 dny znovu naučil základy zapomenutého Céčka, jak programovat pro Xlib, a jak používat Imlib2. Ale dnes jen stučně představím výsledek své práce. Jak známo, obrázek vydá za tisíc slov…
17. 12. 2016 13:04 (aktualizováno) | Desktop Linux X11 xlunch Xorg |

PostgreSQL- PL/pgSQL Serverové programování 03 - Kurzory

Jednou z klíčových výhod PL/pgSQL jsou kurzory. Dovolují Vám procházet výsledek selectu a pomocí řídících příkazů jazyka modifikovat data a ty pak uložit do nějakého výsledku, nebo předat z funkce. Nechci nahrazovat manuál a podrobné příručky pro programování PostgreSQL, omezím se proto na nejčastější techniky, které využívám.
4. 12. 2016 10:41 (aktualizováno) |

Zranitelnost v nejnovější verzi MODX Evolution je aktivně exploitována

Obdrželi jsme zprávy o aktivní exploitaci nedávno záplatované PHP code injection zranitelnosti v MODX Evolution SB2016111601. Zranitelnost je obzvláště nebezpečná, jelikož umožňuje trvale injektovat PHP kód do databáze zranitelné webové aplikace. Exploit, který byl spatřen, ukládá PHP backdoor do uživatelské konfigurace v databázi a spouští ji pokaždé, když je zranitelná parseUserConfig() funkce použita.
30. 11. 2016 14:05 | exploit kyberbezpečnost MODX PHP zranitelnost

PostgreSQL: Uživatelské zmatky kolem count() a distinct

Kolega provedl test jedné mé serverové rutiny a oznámil mi, že je špatně, protože kontrolním selectem dostal hodnotu o jedna menší než mněla být. Když jsem požádal o daný kontrolní select, tak select skutečně ukázal hodnotu o jedna menší…
25. 11. 2016 8:11 |

PostgreSQL: PL/pgSQL – Serverové programování 02 - anonymní blok

Oproti klasickým funkcím v PostgreSQL i procedurám v jiných jazycích stojí „Anonymous block“. Jedná se sérií deklarací a sekvencí procedurálních příkazů. Jeho využití je zřejmé. Používá se tam, kde potřebujeme provést určité databázové operace, aniž bychom zapisovali funkci do databáze. Anonymní  blok
16. 11. 2016 9:08

PostgreSQL: PL/pgSQL – Serverové programování 01

Někdy je potřeba provést náročné výpočty, přesuny dat, nebo vytvořit business rules (obchodní pravidla).  Tehdy sáhnete pravděpodobně po serverovém programování buďto přímo přes rozhraní, nebo po procedurálních jazycích. PostgreSQL nabízí plnou náruč procedurálních jazyků PL/pqSQL, PL/Tcl,PL/Perl,PL/Python atd.
10. 11. 2016 9:46 |