Reacties (18)
De reverse engineer tool van de NSA, die openbaar is gemaakt.
Zitten aantal nice features in, ik overweeg om IDA hiermee te vervangen.
Zitten aantal nice features in, ik overweeg om IDA hiermee te vervangen.
Ga niet over een nacht ijs met CIA of NSA. Do you cybertrust them? Lees hier "from the horse's mouth":
https://www.nbcnews.com/news/us-news/can-cia-nsa-be-trusted-cyber-hacking-tools-n778731
#sockpuppet
https://www.nbcnews.com/news/us-news/can-cia-nsa-be-trusted-cyber-hacking-tools-n778731
#sockpuppet
DNS-prefetch van o.a.: -https://github-cloud.s3.amazonaws.com"> etc.
&
bootstrap.js DOM-XSS sinks en sources:
Resultaten op deze URL: -https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Aantal sources aangetroffen: 293 ; aantal sinks aangetroffen: 77
Resultaten voor de URL: -https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Aantal sources aangetroffen: 333 ; Aantal sinks aangetroffen: 159
Javascript kwetsbaarheid op bootstrap v.3.3. :
unsupported-bootstrap-f18e970de8731748.js (multible open-modules not supported,
ik deel het alleen maar mee, dus gebruiken onder voorbehoud en na zorgvuldig overwegen.
luntrus
&
bootstrap.js DOM-XSS sinks en sources:
Resultaten op deze URL: -https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Aantal sources aangetroffen: 293 ; aantal sinks aangetroffen: 77
Resultaten voor de URL: -https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Aantal sources aangetroffen: 333 ; Aantal sinks aangetroffen: 159
Javascript kwetsbaarheid op bootstrap v.3.3. :
unsupported-bootstrap-f18e970de8731748.js (multible open-modules not supported,
ik deel het alleen maar mee, dus gebruiken onder voorbehoud en na zorgvuldig overwegen.
luntrus
Pruts.
Als ik reverse engineer, dan begin ik met een leeg scherm. Áls ik al reverse engineer. Want het blijft pikken. Maar het blijft voor lullo's, om in iemand anders zijn object code te gaan zitten klooien. Het blijft progammeren door gehandicapten. Programmeren voor mietjes.
Echte kerels biginnen vanaf nul. En beginnen het halverwege al beter te maken dan wat ze gezien hebben. Wie dat niet in zich heeft kan beter hypotheekadviseur bij de Rabobank worden. Want je blijft altijd bezig met de pluimen van een ander. Nog zieliger dus dan de hypotheekadviseur van een Rabobank.
Als ik reverse engineer, dan begin ik met een leeg scherm. Áls ik al reverse engineer. Want het blijft pikken. Maar het blijft voor lullo's, om in iemand anders zijn object code te gaan zitten klooien. Het blijft progammeren door gehandicapten. Programmeren voor mietjes.
Echte kerels biginnen vanaf nul. En beginnen het halverwege al beter te maken dan wat ze gezien hebben. Wie dat niet in zich heeft kan beter hypotheekadviseur bij de Rabobank worden. Want je blijft altijd bezig met de pluimen van een ander. Nog zieliger dus dan de hypotheekadviseur van een Rabobank.
@00:06. Ja, echt prutsers bij de NSA, dat ze reverse engineren. Je moet gewoon alleen je eigen code gebruiken en dat is altijd beter dan code die iemand anders heeft gemaakt.
Waarom reageerde weer niemand hierop?
Zie mijn posting om 23:46 van gisteren.
Terugkomed op de kwetsbare bootstrap bibliotheek in die code.
https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Detected libraries:
bootstrap - 59d11841a5c00f27 : https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Info: Severity: high
https://github.com/twbs/bootstrap/issues/28236
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/pull/3421
1 vulnerable library detected
Iemand? Wie weten hiervan?
luntrus
Zie mijn posting om 23:46 van gisteren.
Terugkomed op de kwetsbare bootstrap bibliotheek in die code.
https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Detected libraries:
bootstrap - 59d11841a5c00f27 : https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Info: Severity: high
https://github.com/twbs/bootstrap/issues/28236
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/pull/3421
1 vulnerable library detected
luntrus
Door Anoniem: @00:06. Ja, echt prutsers bij de NSA, dat ze reverse engineren. Je moet gewoon alleen je eigen code gebruiken en dat is altijd beter dan code die iemand anders heeft gemaakt.
Helemaal mee eens. Beter slecht(e code) verzonnen dan goed(e code) gejat!Door Anoniem: Waarom reageerde weer niemand hierop?
Ik denk omdat je even uit moet leggen wat de JavaScript-library bootstrap met ghidra te maken heeft, en als het er iets mee te maken heeft, met welke tools je de vulnerabilities die je kennelijk erin hebt aangetroffen hebt gevonden. Concreet: als je "resultaten op deze URL" meldt vraag ik me af: resultaten waarvan precies? En omdat het op het eerste gezicht helemaal niets met ghidra te maken lijkt te hebben lijkt het off-topic op deze pagina. Als het dat niet is moet je even uitleggen wat het verband is voor het interessant wordt om op te reageren.Met andere woorden: begin even bij het begin zodat je lezers snappen waar je het over hebt. Het komt nu over alsof je met een gesprek bezig bent waarvan we allemaal het begin hebben gemist.
Bootstrap is in wezen een riedeltje javascript. Daar wordt niks aan gecompileerd. Dat heeft weinig te maken met disassemblers. Niks eigenlijk. Bootstrap staat in het rijtje van Basic, Perl, PHP of shell scripts, etc.
Gecompileerde code bestaat uit een broncode die met een compiler in direct door de processor(s) uit te voeren machine code wordt omgezet. Wat efficienter is in snelheid en gebruik van resources. Maar waar je niet zomaar in kunt kijken. Of je moet de broncode hebben. Een disassembler kan machibe code wat leesbaarder maken, maar veel zaken, zoals namen van variabelen, of functies worden in de object code niet meegegeven, dus dat betekent veel gokken. Dat is echt een aparte tak van sport. Waar met object code wordt gerommeld is vaak een plekje zoeken waar eigen objectcode tussen geschoven kan worden.
Echt reverse engineeren van (complexe) object code is vrijwel onmogelijk.
Gecompileerde code bestaat uit een broncode die met een compiler in direct door de processor(s) uit te voeren machine code wordt omgezet. Wat efficienter is in snelheid en gebruik van resources. Maar waar je niet zomaar in kunt kijken. Of je moet de broncode hebben. Een disassembler kan machibe code wat leesbaarder maken, maar veel zaken, zoals namen van variabelen, of functies worden in de object code niet meegegeven, dus dat betekent veel gokken. Dat is echt een aparte tak van sport. Waar met object code wordt gerommeld is vaak een plekje zoeken waar eigen objectcode tussen geschoven kan worden.
Echt reverse engineeren van (complexe) object code is vrijwel onmogelijk.
15-03-2019, 14:51 door
SKYNET_IS_HERE
Door Anoniem: De reverse engineer tool van de NSA, die openbaar is gemaakt.
Zitten aantal nice features in, ik overweeg om IDA hiermee te vervangen.
Zitten aantal nice features in, ik overweeg om IDA hiermee te vervangen.
Het zit er uit als een handige tool. Ik ben blij met andere opensource tools ontwikkeld door de US Navy/Army. Ze hebben goede software ontwikkelaars en handige tools waarvan ik wou dat ik meer had. Met een van hun (opensource) tooltjes kan ik zelfs de basis vormen voor een eigen bedrijfje.
Ik denk dat ze de beste tooltjes voor zichzelf houden :)
Door Anoniem:
Met andere woorden: begin even bij het begin zodat je lezers snappen waar je het over hebt. Het komt nu over alsof je met een gesprek bezig bent waarvan we allemaal het begin hebben gemist.
Door Anoniem: Waarom reageerde weer niemand hierop?
Ik denk omdat je even uit moet leggen wat de JavaScript-library bootstrap met ghidra te maken heeft, en als het er iets mee te maken heeft, met welke tools je de vulnerabilities die je kennelijk erin hebt aangetroffen hebt gevonden. Concreet: als je "resultaten op deze URL" meldt vraag ik me af: resultaten waarvan precies? En omdat het op het eerste gezicht helemaal niets met ghidra te maken lijkt te hebben lijkt het off-topic op deze pagina. Als het dat niet is moet je even uitleggen wat het verband is voor het interessant wordt om op te reageren.Met andere woorden: begin even bij het begin zodat je lezers snappen waar je het over hebt. Het komt nu over alsof je met een gesprek bezig bent waarvan we allemaal het begin hebben gemist.
Reverse engineering heeft niet altijd het doel om de software na te maken/ te pikken, had verwacht dat men dit op security.nl wel zou snappen..... Wellicht is de NSA bashen belangrijker?
Door Anoniem: Waarom reageerde weer niemand hierop?
Zie mijn posting om 23:46 van gisteren.
Terugkomed op de kwetsbare bootstrap bibliotheek in die code.
https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Detected libraries:
bootstrap - 59d11841a5c00f27 : https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Info: Severity: high
https://github.com/twbs/bootstrap/issues/28236
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/pull/3421
1 vulnerable library detected
Iemand? Wie weten hiervan?
luntrus
wat will je precies? voer je testen uit en snap je zelf het resultaat niet?Zie mijn posting om 23:46 van gisteren.
Terugkomed op de kwetsbare bootstrap bibliotheek in die code.
https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Detected libraries:
bootstrap - 59d11841a5c00f27 : https://github.githubassets.com/assets/github-bootstrap-59d11841a5c00f27.js
Info: Severity: high
https://github.com/twbs/bootstrap/issues/28236
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/issues/20184
Info: Severity: medium
https://github.com/twbs/bootstrap/pull/3421
1 vulnerable library detected
luntrus
wellicht handig dan ook even de tool te delen die je gebruikt.
De af te voeren kwetsbare bibliotheek is gevonden met de tool van de Noor Erlend Oftedal
en later nog geverifieerd met SNYK.
Er geldt namelijk het volgende: "Alles wat je te gelegener tijd verkrijgt,
moet in de toekomst weer ook worden afgevoerd, als er sprake blijkt te zijn van kwetsbaarheden.
Dat geldt zeker voor alle JavaScript code, trouwens a priori voor alle code.
Er zou eigenlijk een uiterste houdbaarheidsdatum op horen te staan.
Dan zie ik nog 333 DOM-XSS sources en 159 DOM-XSS sinks.
De scans zijn gebaseerd op de Github Ghidra code site. Er zijn ook issues met /modules=startup&only=scripts&skin=vector&*
luntrus
en later nog geverifieerd met SNYK.
Er geldt namelijk het volgende: "Alles wat je te gelegener tijd verkrijgt,
moet in de toekomst weer ook worden afgevoerd, als er sprake blijkt te zijn van kwetsbaarheden.
Dat geldt zeker voor alle JavaScript code, trouwens a priori voor alle code.
Er zou eigenlijk een uiterste houdbaarheidsdatum op horen te staan.
Dan zie ik nog 333 DOM-XSS sources en 159 DOM-XSS sinks.
De scans zijn gebaseerd op de Github Ghidra code site. Er zijn ook issues met /modules=startup&only=scripts&skin=vector&*
luntrus
Feitelijk zijn alle scripttalen geen code. Het zijn scripts die letterlijk geïnterpreteerd worden. Waarbij elke nieuwe versie van de script interpreter dan weer een andere interpretatie van het script kan veroorzaken. Scripttalen is als Engels voor beginners of Chinees voor toeristen. Dat je hallo, dag en dankjewel kan zeggen. En dat dat ook nog blijkt te werken. Jezelf programmeur noemen als je enkel met scripts kan werken is jezelf literair auteur, poëet en musicus noemen, terwijl je eigenlijk alles met google translate doet en de rest van torrents downloadt. Wat overigens vaak goed genoeg is voor wat men van je verwacht.
Maar er blijft een verschil tussen meedeiners en cafestampers, en echte opera. Al moet je ook niet de hele dag opera horen... Er lopen er nogal wat rond die niet weten wat opera is. Dan storten er ineens vliegtuigen neer. Softwarefoutje. Het principe van een vliegtuig is ook opera. Dat vloog ook al zonder software.
Maar er blijft een verschil tussen meedeiners en cafestampers, en echte opera. Al moet je ook niet de hele dag opera horen... Er lopen er nogal wat rond die niet weten wat opera is. Dan storten er ineens vliegtuigen neer. Softwarefoutje. Het principe van een vliegtuig is ook opera. Dat vloog ook al zonder software.
@ anoniem van 1:16
Wat ik aangeef is geen commentaar van een script kiddie, al doe je dat wel zo op een tikkeltje hautaine manier overkomen.
Waarom zou men op zoek gaan naar kwetsbare bibliotheken en webhint, die ook noemen in een overzicht onder de noemer security, of via de afvoerscanner van de Noor Erlend Oftedal.
Er zijn genoeg websites met Word Press CSM gebaseerd op PHP, waar het webdesign niet door gespecialiseerde codeurs zijn gebouwd en ken verschillende voorbeelden van gelikte design websites door bureau's gebouwd, die ook openstaan voor zo'n 100 security verbeteringen/aanbevelingen (SRI, ontbreken beveiligingsheaders, CLOAKING etc.).
Ik zie laatstelijk veel problemen met name met bootstrap.js en min.js. JavaScript heeft wel degelijk beveiligingsissues, wanneer het niet juist wordt toegepast, ook libraries moeten ter gelegenertijd worden afgevoerd of kunnen outdated zijn.
Veel om dit gevaar te voorkomen moet weer aan de serverkant afgeregeld worden,
CSRF tokens, enz.. Veel ellende komt ook via outdated plug-ins.
Reguliere expressies kan men gebruiken tegen bepaalde aanvallen,
luntrus
Wat ik aangeef is geen commentaar van een script kiddie, al doe je dat wel zo op een tikkeltje hautaine manier overkomen.
Waarom zou men op zoek gaan naar kwetsbare bibliotheken en webhint, die ook noemen in een overzicht onder de noemer security, of via de afvoerscanner van de Noor Erlend Oftedal.
Er zijn genoeg websites met Word Press CSM gebaseerd op PHP, waar het webdesign niet door gespecialiseerde codeurs zijn gebouwd en ken verschillende voorbeelden van gelikte design websites door bureau's gebouwd, die ook openstaan voor zo'n 100 security verbeteringen/aanbevelingen (SRI, ontbreken beveiligingsheaders, CLOAKING etc.).
Ik zie laatstelijk veel problemen met name met bootstrap.js en min.js. JavaScript heeft wel degelijk beveiligingsissues, wanneer het niet juist wordt toegepast, ook libraries moeten ter gelegenertijd worden afgevoerd of kunnen outdated zijn.
Veel om dit gevaar te voorkomen moet weer aan de serverkant afgeregeld worden,
CSRF tokens, enz.. Veel ellende komt ook via outdated plug-ins.
Reguliere expressies kan men gebruiken tegen bepaalde aanvallen,
"<?"
bij PHP passthru requests bijvoorbeeld.luntrus
bleh, Java....
Net zoveel moeite moeten doen om het Java vrij te krijgen.
Net zoveel moeite moeten doen om het Java vrij te krijgen.
Alan Turing. En een hok vol briljant gediplomeerde wiskundigen die het beter meenden te weten.
Die laatste insteek zie je hier ook vaak. Maar waar is Alan?
Alan brak de Enigma code. Tegen de wind in. En heeft later de basis gelegd voor elke chip die je gebruikt. En elk algorithme.
Als het oorlog is dan heeft men zulke mensen nodig. Is het vrede, dan hoeven ze niet te bestaan.
Die laatste insteek zie je hier ook vaak. Maar waar is Alan?
Alan brak de Enigma code. Tegen de wind in. En heeft later de basis gelegd voor elke chip die je gebruikt. En elk algorithme.
Als het oorlog is dan heeft men zulke mensen nodig. Is het vrede, dan hoeven ze niet te bestaan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.