Android alkalmazások visszafejtése

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

Az Android alkalmazások felépítése jelentősen eltér a többi platformon megszokottól. Az alkalmazások legnagyobb része Java nyelven készül, amelyek a Dalvik virtuális gépen futnak. Ez a működés a fejlesztő számára általában észrevehetetlen változásokat jelent az elkészült alkalmazás szempontjából, a motorháztető alatt azoban egy Dalvik byte-kód jelentősen eltér egy Java byte-kódtól.

Elindult a regisztráció

Mától él a regisztráció, ami a felhasználói fiók menüpontban érhető el.

Egy halálos injekció, az SQL injection

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

Az SQL injection egy olyan (általában webes alkalmazásokban megtalálható) sérülékenység, amelynek során a támadó képes az alkalmazás által lefuttatott SQL utasításba oly módon karaktereket beszúrni, hogy a beszúrt karakterek egy része már ne adatként, hanem SQL utasításként értelmeződjenek. A bejuttatott kódrészlet által a támadó képes lehet új rekordokat beszúrni, vagy akár az egész adatbázist letölteni.

Binárisok visszafejtése és elemzése

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

Ha valaki megkaparint egy malware-t és szeretné megismerni jobban a viselkedését, akkor a legegyszerűbb mód, ha visszafejti annak kódját (általában egy alacsony szintű nyelvre) és elkezdi analizálni. Ez az analízis kétféle módon történhet meg: statikusan vagy dinamikusan. A kettő között a különbség pofon egyszerű: dinamikus analízisnél futás közben vizsgáljuk a fájlt, míg statikus analízisnél tisztán a kódból kinyerhető információkra koncentrálunk. Előbbi előnye, hogy sok információ csak futás közben generálódik, utóbbi előnye viszont, hogy könnyebb és biztonságosabb analízist tesz lehetővé. Természetesen statikus/dinamikus analízis történhet visszafejtés nélkül is – erre is mutatunk majd a gyakorlatban is sokszor használt referenciákat.

A hárombetűs webszörny - az XSS

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

Az XSS, azaz Cross-site scripting, ahogy a neve is mutatja azoknak a weben használt támadásoknak a csoportja, ahol a támadó egy legitim oldalra úgy juttatja be a saját (támadó) kódját, hogy egy, a legitim oldalt meglátogató áldozat böngészője végrehajtsa.

Titkosítunk vagy mégsem? Az egyik legegyszerűbb titkosító - a XOR cipher

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

A XOR, azaz kizáróvagy az egyik legalapvetőbb gépi művelet, ami egyszerűségéből adódóan nagyon gyorsan végrehajható és így jó alapanyaga is lehetne a titkosítóknak.

Ezoterikus programozási nyelvek

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

Az ezoterikus programozási nyelvek olyan nyelvek, melyeknek (általában) nem célja valós, produktív alkalmazások létrehozása. Minden ezoterikus nyelvnek vannak olyan tulajdonságai amitől használata komplikált, különleges vagy akár vicces lesz. Egy ilyen nyelv célja lehet a minimalizmus, új, furcsa koncepciók bevezetése, vagy a programozhatóság megnehezítésére való törekvés. Az ezoterikus nyelveknek egy felhasználása lehet a futtatható kód elrejtése/obfuszkálása.

A megjósolható véletlenség

Ez a cikk a számítástechnikai biztonságtechnika néhány területét röviden bemutató sorozatunk része. A feldolgozott témák általában kapcsolódnak a Security Challenge 2013 egy-egy feladatához.

A számítógépes programok működéséhez gyakran szükség lehet véletlenszámok használatához.

Az viszont már nagyon nem mindegy, hogy mire és hogyan használjuk őket!