Som titeln ger tydliga ledtrådar om så handlar dagens blogg om hur .NET Reflection kan användas för att utnyttja Linq-injection-sårbarheter. Linq-injection uppstår då dynamiska Linq-uttryck används tillsammans med felaktig eller saknad indatakontroll. .NET Linq-uttryck är vanligen inte sårbara för injektionsattacker eftersom de är explicit parametriserade. Men sedan Microsoft skänkte världen dynamisk Linq skapar det möjligheter […]
I denna (typ) femte del kommer vi att avsluta uppgifterna om ECB, börja titta på CBC, och sedan direkt börja prata om något helt annat... Vi kommer nämligen avsluta denna bloggpost med att beskriva sårbarheten Zerologon som blev aktuell för några månader sedan.
Efter det förnedrande intrånget på Ryska järnvägen i januari i år [1][2] , så kom jag över en artikel[3] i den ryska motsvarigheten till Engadget – habr.ru som citerade ett ”axiom” som förklaring till varför just Ryska järnvägen blev hackad. Författaren hade snällt länkat till den ursprungliga artikeln som beskrev ett antal axiom/lagar kring Cybersäkerhet […]
Simovits Consulting deltar som sponsor på Försvarshögskolans Cyber Challenge 2021. Här hittar ni länkar till presentationer samt utannonserade examensarbeten. Ni är välkomna att ta kontakt med mig (Mikael Simovits) om ni har några frågor. Kontaktuppgifter hittar ni under fliken ”Om Oss”. https://www.simovits.com/om-oss/ Utannonserade examensarbeten hittar ni här: https://www.simovits.com/examensarbeten-pa-simovits-consulting/ Läs mer om företaget: Inspirational talk:
Molntjänster är ett ständigt aktuellt ämne, inte minst sedan den beslutade utbyggnaden av ett par stora serverhallar i Mellansverige som varit omdiskuterade på grund av sin förhållandevis höga elförbrukning. Ur ett säkerhetsperspektiv finns också ett antal nya aspekter att ta hänsyn till även om tekniken i sig har funnits en längre tid. Det som i […]
Att skanna QR-koder för autentisering tillåter användare att logga in på webbsidor och applikationer utan behovet att komma ihåg lösenord. QR-koder förenklar processen för inloggning men även för företag som vill annonsera för sina produkter. Genom att placera en QR-kod på exempelvis ett flingpaket gör att konsumenten snabbt och effektivt dirigeras till företagets hemsida för […]
Många sårbarheter i program bygger idag på fel hur minnet refereras såsom: Buffertöverskridning (eng: buffer overflow) Följande av null-pekare Användning av minnesreferenser efter att minnet lämnats tillbaka till systemet (eng: use-after-free) Användning av minne som inte initialiserats När minnesreferenser som redan lämnats tillbaka eller aldrig pekat på allokerat minne lämnas tillbaka (igen) Dessa fel resulterar […]
Att särskilja skadlig kod från legitima filer eller applikationer är idag en stor industri som omsätter stora pengar världen över. Det är också ett område som är i konstant behov av utveckling, för att kunna hålla jämna steg med utvecklare av skadlig kod. På ett övergripande plan kan man dela upp metodik för analys av […]
Välkomna tillbaka till allas vår favoritbloggserie! I detta blogginlägg går vi igenom ECB-läget av AES och några som man kan utnyttja
Det jag tänkte berätta om i den här bloggen är ett koncept som kallas för ”infrastruktur som kod”. Det är förvisso inte självskrivande dokumentation, men något som garanterar att den dokumentation som finns är korrekt. Douglas Adams skrev i sin berömda trilogi i fem delar om jordbon Arthur Dents äventyr som intergalaktisk liftare. I en […]