Mailing lista

Izaberite mailing listu na koju želite da se prijavite / sa koje želite da se odjavite

Dobrodošli na stranice Odjeljenja za informacionu bezbjednost (OIB).

OIB je osnovan Zakonom o informacionoj bezbjednosti ("Službeni glasnik Republike Srpske", broj 70/11) kao posebna organizaciona jedinica u sastavu Agencije za informaciono društvo Republike Srpske sa zadatkom koordinacije prevencije i zaštite od računarskih bezbjednosnih incidenata te zaštite kibernetičke infrastrukture javnih organa, pravnih i fizičkih lica. OIB ujedno vrši funkciju nacionalnog CERT-a (Computer Emergency Response Team) Republike Srpske. Više o nama saznajte na ovom linku.

Novo iz OIB - CERT RS

02.06.2015 - 09:09 SQL Injection Novost

SQL Injection predstavlja napad na bezbjednost podataka sadržanih u nekoj bazi. Napad podrazumjeva unošenje stranog koda u ranjivu aplikaciju od strane napadača, sa ciljem izmjene stanja baze podataka ili zaobilazenja nekih sigurnosnih mehanizama. Uz XSS najčešći je napad na web aplikacije. U zavisnosti od nivoa ranjivosti aplikacije na ovu vrstu napada, napadač će biti u mogućnosti da izvršava neke od, ili sve operacije nad podacima baze (pregled, modifikacija, brisanje i dodavanje).

01.06.2015 - 21:21 Wordpress WP Membership plugin XSS ranjivost Ranjivost

Wordpress je popularni blog / content management sistem. U WP Membership pluginu je otkrivena XSS ranjivost koja pogađa sve korisnike određene instalacije, uključujući i administratore. Konkretno, sva input polja koje koriste registrovani korisnici nisu dobro obrađena u smislu ubrizgavanja malicioznog koda.

Primjer (Proof of concept):

* Prijavite se kao registrovani korisnik

* Popunite bilo koje polje u vašem profilu dodajući na kraju sljedeće:

                `<script>alert('XSS');</script>`

                ili

01.06.2015 - 14:14 Cross-site scripting (XSS) Novost

Cross-site scripting je vrsta napada kojim napadač stiče mogućnost promjene sadržaja web stranice koju pregleda neki korisnik. Iako ovakva vrsta napada možda zvuči kao nešto što bi nas iritiralo, a ne ugrozilo nasu sigurnost na webu, mnogobrojne opcije koje ovakav napad daje i broj web aplikacija ranjivih na ovu vrstu napada čine ga jednim od najčešćih. Neke statistike iz 2007. godine govore da  je oko 80% web aplikacija bilo ranjivo na ovakvu vrstu napada, ovaj broj se narednih godina smanjio ali još uvjek XSS predstavlja jako često izvođen napad.

01.06.2015 - 11:34 Zed Attack Proxy (ZAP) Alat

Zed Attack Proxy ili ZAP skraćeno je jednostavan i efikasan alat za testiranje sigurnosti web aplikacija. Dizajniran je za potrebe korisnika različitog nivoa spremnosti kada je u pitanju sigurnost na webu, od korisnika koji se profesionalno bave testiranjem sigurnosti web aplikacija pa do onih koji rade na razvoju istih, i žele se uvjeriti u sigurnost proizvoda koji razvijaju. ZAP obezbjeđuje automatske skenere kao i set alata koji omogućavaju ručno testiranje ranjivosti aplikacija.

28.05.2015 - 13:26 DBNinja putem Flash uploadera dopušta unošenje malicioznog koda Ranjivost

DBNinja (v3.2.6) je web aplikacija za administraciju MySQL database servera. Flash komponenta kojom se vrši upload sadrži dva SWF fajla koji koriste Flash "Externalinterface" API za pozivanje Javascript funkcija. Ovi fajlovi mogu biti iskorišćeni za unos malicioznog koda koji bi se iskoristili kao parametri za te funkcije iz URL-a.

Tekstualna vrijednost "Copy to clipboard" takođe može biti izmjenjena korišćenjem "buttonText" parametra.

Primjeri unosa:

25.05.2015 - 13:25 Nedozvoljeni pristup privilegijama u HP SiteScope Ranjivost

HP SiteScope je HP-ov proizvod namijenjen monitoringu performansi distribuirane IT infrastrukture koja uključuje servere, mrežne uređaje, servise, aplikacije i aplikativne komponente, operativne sisteme i ostale IT komponente. Otkriveno je da su verzije 11.1x, 11.2x i 11.3x ranjive na potencijalni udaljeni pristup koji bi mogao izazvati povećanje nivoa privilegija za neautorizovanog korisnika.

Pages

Pretplati se na Front page feed listu