Saturday, August 11, 2012

Facebook poke





     හරි අද අපි බලමු මොකද්ද මේ Facebook Poke කියන්නෙ කියලා.Facebook poke එකක් යනු ඔබගේ යහලුවෙක් හො යෙහෙලියක් ඔබගේ අවධානය දිනා ගැනිම සදහා කරනු ලබන Facebook ක්‍රියාකරකමකි
.
      එය යම් සාමන්‍ය Hello යැයි පැවසිමක්,එසෙ නොමැතිනම් එය ඔබට අනතුරු හැගවිමක් , සමහර විට ආදරය පැවසිමක් වුවද විය හැක.

මෙහිදි ඔබටද ඔබගෙ යහළුවෙකු පොකෙ කල හැක. ඔබට Poke Alert එකක් ලැබුන විට එහි දැක්වෙන්නෙ “You were poked by,” poke කරනු ලැබු යහලුවගෙ නම දැක්වෙ .ඔබට මෙලෙස ලැබුනු Alert message එකට ඔබට option කිහිපයක් ඇත. “Remove Poke” මගින් poke එක ඉවත් කල හැකි අතර   “Poke Back.”     මගින් නැවත ඔබ විසින් ඔබෙ මිතුරා poke කරයි.

මෙලෙස මාරුවෙන් මරුවට  poke කිරිම සිදුවෙ. මෙම poke  කිරිම දිගින් දිගට සිදු විම  “poke wars,”  ලෙස හදුන්වයි. මෙය ඔබ දෙදෙනාගෙන් එක් අයෙකු අත්හරින තෙක් මෙය සිදු වේ.
Posted by at No comments:

Tuesday, August 7, 2012

නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්(3)

ආහ්..... ඉතින් කොහමද??අද අපි ඉතුරු ටික බලමු නේද....??

  • Security Miscofiguration
           සම්මත මෘදුකාංග ආරක්ෂාව සදහා පහත සදහන් තත්වයන් අත්‍යවශ‍ය්‍ය වේ. ආරක්ෂක විධිවිධාන සදහා නිසි හැදින්විමක්  සහ සම්මත පටිපාටියක් තිබිය යුතුය . Application , frameworks,application servers, web servers, data server සහ platform  සදහා  සංවිධානය සතු අනන්‍ය හැදින්විමක් තිබිය යුතුය. 


  • Insecure Cryptographic Storage
       බොහො වෙබ් අඩවියන් තම වෙබ් අඩ්වියට අදාල වැදගත් තොරතුරු නිසි පරිදි අරක්ෂා කර නොමැත ණයපත් තොරතුරු, SSN's, මුරපද යනාදිය  නිසි encryption කිරිමක් හො Hashing නිසියාකාරව සිදුකර නොමැත. මෙවැනි අවස්ථාවකදි හැකර්කරුවෙකුට ඉතා පහසුවෙන් වෙබ් අඩවියට ඇතුලු වි වෙබ් පරිශිලකයන්ගෙ වැදගත් අත්යවශ‍ය තොරතුරු සොරා ගත හැක. උදාහරණ ලෙස මැතකදි  සිදුවු
yahoo,linked යනාදිය.


පහත සදහන් වෙබ් කේත හැසිරවිම් එතරම් ප්‍රමුඛ ඒවා නොවේ

  • Failure to Restrict URL Access
  • Insufficient Transport Layer Protection
  • UnvalidatedRedirects and Forwards
හරි මචංලා අපි මේ වගේම තවත් පොස්ට් එකකින් meet වෙමු.....
       
Posted by at No comments:

Sunday, July 15, 2012

සතියෙ හැකර් පුවත්(15/07/2012)

  • NIVIDIA Developer Forum හැක් වේ
      
             NIVIDIA Developer forum වෙබ් අඩවිය පරිපාළකයන් විසින් ක්‍රියා විරහිත කර ඇත. මෙයට හේතු වි ඇත්තෙ හැකර්කරුවන් විසින් මෙම වෙබ් අඩවියට අදාළ මුරපද සොරා ගෙන තිබිමයි.මෙම හෙතුවෙන් ෆොරම් පරිශිලකයන් 400000 පමණ මුරපද අවදානමක පවතින බව  පරිපාළකයන් පවසයි.


========================================================================
  • රුසියානු හැකර්කරුවෙකු විසින් Apple App Store වෙබ් අඩවියට නිළනොවන ලෙස ඇතුල් වේ.
           ZonD80   යන රුසියනු හැකර්කරු විසින් App Store වෙබ් අඩවියට ඇතුල් වි Apps සදහා කිසිදු ගෙවිමකින් තොරව භාගත කළ හැකි බව පෙන්වා දි ඇත.මෙයට හෙතුව ලෙස ZonD80 පවසන්නෙ  "Why you must to pay for content, already included in purchased app? I think, you must not , " ලෙසයි.
පහත ක්‍රියා පිලිවෙල මගින් ඔබටද මෙය උත්සහ කළ හැක.

Below are the steps to the hack: 
    --  Install two certificates: CA and in-appstore.com.
    --   Connect via Wi-Fi network and change the DNS to 62.76.189.117.
    --   Press the Like button and enter your Apple ID & password.
 --   Using the above hack, you are actually stealing in-app purchase content from developers, which is kind of disturbing and is of course against developer’s terms of service


free counters
Posted by at No comments:

Saturday, July 14, 2012

නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්(2)

කොහමද මචංලා;

 අද අපි බලමු අපෙ බොලග් එකේ ඉතුරු කොටස. Broken Authentication and Session Management  ආහ්.. මේක ටිකක් මටත් අවුල් වගෙ තමයි බලමුකො කොහමද කියලා.
  • Broken Authentication and Session Management

            මෙකෙන් කියවෙන්නෙ නම්  Session  කළමණාකරනය නිසි පරිදි සිදු නොකිරිම නිසා හැකර් වරුන්ට ඉතා පහසුවෙන් වෙබ් පිටු පරිශිලකයන්ගෙ වෙබ් සයිට් එකට අදාල පෞද්ගලික දත්ත සොරා ගත හැක. මෙය සිදුකරන්නෙ Session Hijacking කිරිම මගිනි. මෙමගින් පරිශිලකයාගෙ  පෞද්ගලිකත්වය නැති වන අතර වෙබ් සයිට් එකෙ අරක්ෂාවද නැති වේ. මචංලා සෙස්ස්ස් එක ගැන දැන්නම් අහන්න එපා.  Session  ගැන අපි වෙනම කතා කරමු . දැනට මෙ ලින්ක් එක බලන්න http://en.wikipedia.org/wiki/Session_(computer_science) .Session  ගැන කතා කරමු ආහ්......


  • Insecure Direct Object References

    මෙහිදි සිදු වන්නෙ මෘදුකාංග ඉන්ජිනෙරුවන් විසින් ගොඩනුඅගන කෙතයන්ගෙ නිසිලෙස Object හැසිරවිම සිදු නොකිරිමයි.මෙහිදි Object යනු ගොනු,ඩිරෙක්ටරි,ඩෙටාබෙස්(Database) යනාදියයි.

              String query = "SELECT * FROM accts WHERE account = ?";
              PreparedStatementpstmt=connection.prepareStatement(query , … );
              pstmt.setString( 1, request.getparameter("acct"));
              ResultSetresults = pstmt.executeQuery( );

හැකර් විසින් මෙලෙස තම බලපෑම වෙබ් අඩවිය වෙත සිදු කල හැක.
       
              http://example.com/app/accountInfo?acct=notmyacctAm

මෙහිදි  'acct'  යන Object  එක  නිසිලෙස Handle  කර නොමැත.

  • Cross-Site Request Forgery (CSRF)

මෙකත් xss(cross site script) වගෙම තමයි හැබයි මෙහිදි ටිකක් Advanced ලෙස xss භාවිත කරයි.මෙහිදි හැකර් විසින් කූට HTTP විමසුමක් දොෂ සහිත වෙබ් අඩ්විය වෙතට යවයි. මෙම HTTP Request එකෙදි වෙබ් අඩවියට අදාළ Session Cookies , සහා තවත් ස්වයංක්‍රිය දත්තයන් ඇතුළත් වේ. එම අවස්ථාවේදි වෙබ් අඩවිය විසින් මෙම  Request  එක නිවැරදි  Request  එකක් විදියට සලකා වෙබ් අඩවිය තුළට පිවිසිමට ඉඩ දෙයි.මෙමගින් හැකර්කරුට වෙබ් අඩවියෙ පළනය ලබාගත හැකි වේ.


Posted by at No comments:
Location: Srilanka

Friday, July 13, 2012

නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්(1)



කොහමද කොල්ලනෙ;

එහෙනම් අයුබොවන් කිව්වා ඔන්න,හරි එහෙනම් ඉතින් අද අපි  බලමු නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්. Open Web Application Security Project (OWASP) ආයතනය මගින් ප්‍රධාන කාණ්ඩ 10 හදුන්වා දෙයි. එවා නම්
  1. SQL Injection
  2. Cross-Site Scripting (XSS)
  3. Broken Authentication and Session Management
  4. Insecure Direct Object References
  5. Cross-Site Request Forgery (CSRF)
  6. Security Misconfiguration
  7. Insecure Cryptographic Storage
  8. Failure to Restrict URL Access
  9. Insufficient Transport Layer Protection
  10. UnvalidatedRedirects and Forwards 

  හොව් , හොව්....මේ ටික බලලා බය වෙන්න දෙයක් නෑ අපි මේ ගැන තව විස්තර ඇතිව ඉස්සරහට කතා කරමු.



මචංලා මෙක දැක්කම මොකද හිතෙන්නෙ, මෙකෙන් පෙන්නන්නෙ වැරදි කෙත භාවිතයෙන් ඇතිවිය හැකි බලපෑම තමයි. මෙකෙ රතු පටින් පෙන්නන්නෙ අපේ හැකර් අයියලගෙ වැඩ තමයි.අවුලක් නෑ අපි මේ ගැන තව ඉගෙන ගමු.අපි දැන් කෙටියෙන් බලමු ඉහත කරුණු දහය . 

  • SQL Injection 
             මේක මහ හෙනම ඇණයක් තවම වෙබ් ලොකයෙ අයියා මෙයා තමයි. sql injection මේකෙන් වෙන්නෙ අනාරක්ෂිත ලෙස කරනු ලැබු කෙතයන් හරහා ඩෙටාබේස් (database)ලෙයර් එකට ප්‍රහාර එල්ල කිරිමයි. මෙමගින් පරිපාලක (administrator)  username , password  ලබාගත හැකි අතර සම්පුර්න වෙබ් අඩවියෙ පාලනය හැකර් හට ලබා ගත හැකි වේ. මෙක පොඩි උදාහරණයක් විතරයි හොදා.... තව හොද එවා තියෙනවා.


  • Cross-Site Scripting (XSS)
            මෙයත් හෙන දගයා හැබයි  SQL Injection  වලට වඩා මෙයාගෙ බලපැම අඩුයි. මෙයාගෙන් ඩෙටාබේස්(database) එකට ප්‍රශ්නයක් නම් නෑ.මෙමගින් ප්‍රහාරකයන්ට විවිධ වර්ගයෙ අහිතකර කෙතයන් වෙබ් පිටුවට ඇතුල් කල හැකි අතර ඒමගින් වෙබ් පිටුව භාවිත කරන පුද්ගලයන්ගෙ පෞද්ගලික තොරතුරු ලබා ගත හැකි අතර. විවිද වර්ගයෙ වයිරසයන් යැවිය හැකි වේ.අපි තව දුරටත් මේ ගැන ඉදිරියට බලමු....




අදට මේ ඇති නේද?? ගොඩක් ලිව්වොත් ඔයලටත් එපා වෙයි නේද??? තව හොද හොද එවා ගොඩාක් තියෙනවා. සෙට් වෙලා ඉන්න මාත් එක්ක. යාලුවටත්  share කරන්න හොදද. අපි මෙකෙ ඉතුරු කොටසත් එක්ක හෙට සෙට් වෙමු ආආආ............



HTML Hit Counter
HTML Hit Counter
Posted by at No comments:
Subscribe to: Posts (Atom)