Blog

Odborné články, návody, analýzy, výzkumy, reporty z akcí

Články zabývající se bezpečností webů a sítí.

05. 02. 2020
Globální scan otevřených .git repozitářů

Na začátku července jsem se rozhodl udělat průzkum českého internetu, abych zjistil, kolik webů není správně nakonfigurováno a má povolen přístup ke složce .git s repozitářem verzemi souborů. Z minulých průzkumů jsem měl ve své databázi mnoho webů, kde jsem tento problém detekoval, a tak mne zajímalo, jaký je skutečný stav. Průzkum se nakonec rozrostl na […]

Štítky:
Celý článek
29. 08. 2018
Global scan - exposed .git repos

At the beginning of July, I decided to do some research on Czech websites to find out how many are not properly configured and allow access to the .git folder within the file versions repository. There were many of these sites in my database from the previous security scans and I was curious about the current state.

Štítky: ,
Celý článek
02. 05. 2018
WordPress v SK - průzkum

Pro svou přednášku na WordCamp Bratislava 2018 jsem provedl průzkum slovenského WordPress prostředí, abych zjistil jaké verze WP jsou používány, zda weby běží na HTTPS, jaké šablony a pluginy používají a kolik z nich obsahuje běžné nedostatky.

Štítky: , ,
Celý článek
31. 03. 2018
Zálohování serveru do cloudu pomocí Restic

Věděli jste, že 31.3. je Světový den zálohování? A protože tuto problematiku bereme velmi vážně - ostatně o důležitosti záloh nás můžete slyšet mluvit na většině našich technických přednášek - podělíme se o několik tipů pro zálohování menších serverů.

Štítky: ,
Celý článek
09. 01. 2018
Technické zpracování webů kandidátů na prezidenta

Prezidentské volby jsou za dveřmi, všichni kandidáti bojují o hlasy nerozhodnutých voličů a jejich webové stránky jsou tak jedním z faktorů, který může při volbě pomoci. Podívali jsme se na to, jak jsou technicky zpracované a zda na nich lze nalézt podstatné informace. 7 z 9 kandidátů vsadilo na oblíbený redakční systém WordPress, na kterém běží například i nové stránky Bílého domu. Proto jsme tomuto systému věnovali více pozornosti a podívali jsme se mimo jiné i na to, z jakých pluginů je sestaven (pokusili jsme se vyhledat běžně používané pluginy - není však zřejmé, zda byly aktivní, či nikoliv).  Rádi bychom předem uvedli, že článek je určen především webové komunitě a je proto plný technikálií z tohoto oboru. Pokud by bylo potřeba něco lépe vysvětlit, neváhejte využít komentáře.

Štítky: , ,
Celý článek
25. 10. 2017
WordPress a CVE-2017-8295 - rozbor

Kdo sleduje dění kolem WordPress, tak možná postřehl v minulých měsících informace o bezpečnostní chybě ve formuláři pro resetování hesla. Tato chyba je evidována pod kódem CVE-2017-8295 a je kategorizována různými zdroji od nízké nebezpečnosti po kritickou. Mnohé bezpečnostní scany na ni upozorní ve WP verze 4.7.4 a nižší, jiné i v 4.7.5. Pravdou však je, že stále nebyla opravena a objevuje se i v aktuální verzi 4.8.2 - bezpečností tým WP ji nepovažuje za důležitou. Jedná o problém, který je známý už 4 roky, ale možnostech zneužití se začalo mluvit až mnohem později.

Štítky: ,
Celý článek
23. 02. 2017
Verze WordPress - skrývat, nebo ne?

Má smysl skrývat použitou verzi WordPress? Zlepší skrytí verze bezpečnost vašeho webu? Spíše ne. V článku popisuji důvody a také mou novou metodu detekce verze WP.

Štítky: ,
Celý článek
22. 02. 2017
WordPress version: To hide or not to hide?

Should you hide your WordPress version? Will it enhance security of your site? Probably not! In this article you can read the reasons and learn a brand new method to determine WP version.

Štítky: , ,
Celý článek
08. 02. 2017
Masivní únorová infekce WordPress webů 2017

Novinkou WordPress verze 4.7 je REST API, které je již součástí jádra a je v základu zapnuté. Tato nová funkcionalita, která může velmi podstatně změnit budoucnost WP, je však stále ještě čerstvá a objevují se v ní chyby. Nevhodnou kontrolou oprávnění tak ve verzích 4.7 a 4.7.1 mohl kdokoliv modifikovat obsah příspěvků.

Štítky: ,
Celý článek
14. 04. 2016
10 nejčastějších problémů moderních webů

Během minulého roku jsem provedl výkonnostní a bezpečnostní audity mnoha desítek webových stránek. Velký podíl na tom měla i soutěž WebTop100, kde jsem byl porotcem pro technické zpracování a bezpečnost. Hodně se také pohybuji v prostředí WordPress, kde je často po stránce výkonu i bezpečnosti mnoho co zlepšovat. Při této práci jsem odhalil jisté problémové trendy, které se vyskytují na větším procentu webů, než by bylo zdrávo a než bych sám v dnešní době očekával.

Štítky: ,
Celý článek
04. 02. 2016
Masivní únorová infekce WordPress webů

Během posledních několika dní byly napadeny tisíce webových stránek s redakčním systémem WordPress. Na stránky je vkládán javascriptový kód, zobrazující reklamu. Jen na českém internetu jsme již nalezli téměř 400 napadených webů. Jedná se o několik měsíců připravovaný útok, který využíval starších i čerstvě nalezených bezpečnostních děr.

Štítky: ,
Celý článek
11. 05. 2015
WordPress in the Czech Republic - complex research

A few months ago I explored 1000 of the most visited Czech websites and tried to detect if they use WordPress. If so, I was interested in which WP version they ran on. However there were only a few dozen sites running on WP. This research showed only a small preview of the Czech WordPress scene. I decided to do much more complex research and explore almost all active Czech Wordpress sites. I used our internal website index and wrote a crawler which searched other connected sites. In a month I revealed more than 65 thousand Czech WordPress sites.

Štítky: , ,
Celý článek

Lynt services s.r.o

Již 7 let vytváříme efektivnější kampaně, zrychlujeme weby a řešíme jejich bezpečnost. Kombinujeme marketing, vývoj a automatizaci.
poptávka služeb
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram