«Previous Entries

Secure Application Development link

Oct 14, 2008 sa Security

Hi,

Ako ay paglagay ng ilang secure application developmen t dokumento sama-sama at kamakailan-lamang na natagpuan ng ilang magandang pangkalahatang Tutorials at mga alituntunin na kung saan ako nag-akala ko ang post dito.

Best Practices

Iba Pang Resources

No Comments »

EFT Syetms at aparato Considerations

Aug 05, 2008 sa Pagbabangko at EFTPoS, Security

na aparato at ang mga sistemang naiiba depende sa vendor, bansa at / ng aggregator.
Sa ibaba ay isang listahan ng mga bagay na maaaring isaalang-alang tulad ng sa. Listahan na ito ay labas sa itaas ng aking ulo kaya ito ay marahil hindi kumpleto.

Looking at ang mga produkto at pakikipag-ugnayan sa amin ay karaniwang isang magandang simulan.

Mga bagay-bagay na isaalang-alang:

No Comments »

Internet Banking Security Assessment Considerations

Aug 05, 2008 sa Pagbabangko at EFTPoS, Security

Ako ay nagtanong ng ilang oras nakaraan kung ano ang uri ng mga bagay-bagay ay maaaring isaalang alang kapag naghahanap sa

Sa ibaba ay isang listahan ng mga bagay-bagay na maaaring pag-isipan. Ito ay lamang ng isang utak ng basura at bilang ganoon ay maaaring hindi kumpleto.

Huwag maliitin ang halaga ng mga pamantayan para sa iyong mga infrastructure, website configuration, database engine configuration / at / QA kapaligiran.

Ang ilang mga saloobin:

  • Maraming mga hindi lock account pagkatapos ng X Nabigo ang pag-login, ito ay normal na ginawa para sa mga mabuting customer service, ngunit dahon ng sistema

- At ang lahat ng iba pang mga bagay na inaasahan para sa isang session (sapilitang pagbabago, aging, etc))
- Tools tulad ng ay maaaring gamitin sa malupit na puwersa Authenticated session.

  • Maraming mga session payagan ang mga numero ng pagkakasunod-sunod na incremented, na nagpapahintulot sa isang Authenticated user upang makita ang iba pang mga customer session.

- Ang mga ito ay maaaring maging client side, cookie base, atbp
- Kumuha ng isang tao upang suriin ang methodologies at ang mga code na ginagamit.
- Database query string ay maaaring ilagay sa test entry na larangan, na nagpapahintulot sa table lungkot sa browser.
- Suriin ang lahat ng mga pahina ay nagsilbi secure at naglalaman ng user bandera.

  • Customer ay maaaring hindi segregated, ang mga pangangailangan upang maging checked.
  • Customer ay hindi dapat manirahan sa
  • database / system ay hindi dapat manirahan sa webserver.
  • Ang database ay dapat na naninirahan sa isang pribadong / semi-pribadong

- Ang iba't-ibang mga segment na ang pangunahing system.

  • Webserver homed ay dapat na kambal o katumbas (ilang VLAN pamamaraan ay magandang)

- Ihiwalay ang mga pribadong at pampublikong cards, pagmamanman / backup / pangangasiwa
- Infrastructure-set-up sa explicitly tanggihan dumarating / palabas port, pribadong IP & pagmamanman escaping mula sa

  • Sa lahat ng mga points paghiwalay masiguro ang mga patakaran sa lugar na kung saan appreciates ang trapiko kahit na point.
  • Lahat ng mga customer na kung saan maaari ay dapat na sourced mula sa isang secure na back-end database.

- Ito ay maaaring maging isang walang ibig sabihin ang pangunahing system.
- Ito ay karaniwang nagbibigay-daan para sa mga transaksyon sa real-time na lalabas ang customer.
- Maraming mga transaksyon ay maaaring batched sa katotohanan. (panloob o panlabas na sa

  • Masiguro ang nababagay na mga patakaran ay na-set-up sa firewalls.

- May ay dapat na dumarating at palabas patakaran sa firewalls at filtering routers.

  • Hindi nagpapahintulot ng anumang infrastructure sa front end upang payagan ang remote administrative na koneksyon. atbp)

- Gamitin ang serial console port para kumonekta sa isang o back-end terminal

  • Masiguro na ang isang hiwalay na / QA / produksyon ng na sistema at angkop na proseso ay sa lugar.
  • Mga serbisyo na hindi ginagamit ng sistema ay aktibo

- Ang mga ito ay dapat na may kapansanan.

  • Port-scan ng mga sumusuporta sa imprastraktura (routers / switch) at (s).

- Imbestigahan ang mga dahilan para sa lahat ng mga bukas na port.

  • Huwag gamitin ang mga pangunahing gateway para sa mga mapagkakatiwalaang mga kasosyo sa (clearing / Ras / atbp)
  • Gawin ang lahat na standard IIS checks at NT checks (Halimbawang script, palitan management, methodologies, etc)
  • Masiguro ang pagtanggi ng mga serbisyong pangangalaga ay dadalhin sa para sa lahat ng mga infrastructure at na kagamitan.
  • Suriin ang adequacy ang pagdami ng mga pamamaraan na ginagamit.

- Hanapin sa real-time monitoring at alertuhan.
- Hanapin ang responsibilidad para sa matris.
- Hanapin ang pagmamay-ari ng mga isyu.

  • Isaalang-alang ang salungat sa agos carrier (s) (pagtanggi ng mga serbisyo, IP spoofing, pataga, etc)
  • Isaalang-alang ang social engineering ng mga customer, administrative, partner accounts / system / infrastructure.

- Helpdesk pamamaraan at mga patakaran at / o alternatibong teknolohiya (Caller ID, Gateway IP, atbp).

  • Gamitin ang pabago-bagong password kung saan posibleng (SecureID, TACACS, atbp).
  • Gamitin encrypt tunnelling kung saan kinakailangan Firewall 1, etc)
  • Isaalang-alang ang naghahanap sa iba pang mga customer mga pamamaraan upang mapahusay ang umiiral na mga pamamaraan.

- cert, IP address na naka-lock sa atbp
- Isaalang-alang ang paggamit ng o CVN para sa card.

  • Consider how passwords are distributed /changed for customers.

- Plain email, telepono, atbp
- Maaari password ay nagbago

  • Ay karagdagang na ginagamit sa pagitan ng mga seksyon ng ng mga serbisyo ng isang beses Authenticated?
  • Isaalang-alang kung ano ang mga customer ay kapag Authenticated.

- Hanapin sa RTGS, transfer, card, atbp
- Kung ang isang magsasalakay ang makakuha ng in, kung ano ang maaaring gawin?

  • Gumamit ng mga pamamaraan upang matiyak ang mga pahina, sa customer mga detalye ay hindi cache at o client system.

- Ang mga ito ay mga flags na maaaring itakda sa loob ng mga pahina.
- Karaniwan ay SSL-cache na, ngunit ang ilang mga proxy vendor ay sa mga pamamaraan upang gawin ito.
- Caching ng SSL pahina sa client system ay maaaring-on sa ilang mga browser.
- May mga bangko gumamit ng (o mga katulad na) applet para sa lahat ng mga customer na pakikipag-ugnayan, restricting caching lahat ng mga isyu.

  • Matiyak na papel na base at on-line sa pananagutan clauses ay magagamit na ang mga address ng lahat ng effected lugar.
  • Masiguro sa loob ng mga customer na mag-sign up na proseso pananagutan ay nabawasan.

- I've seen pahayag tulad ng "gamitin ang sistemang ito sa iyong sariling panganib, responsibilidad o pananagutan para sa anumang paghahabol ay HINDI ... ..."
- Hindi masyadong customer na pokus, ngunit na kung ano ang kanilang legal department inirerekomenda.

Lahat ng sa itaas ay maaaring epekto sa at / o mga operasyon ng isang on-line system.

Iba pang mga bagay na isaalang-alang:

  • Panlabas na at ng mga application.
  • Pagmamay-ari at pamamahala ng / application
  • Publishing points para sa bagong nilalaman (internal / pribado / pinagkakatiwalaang o
  • Topology ng front end. Ibig sabihin dokumento ay dapat na sa lugar at pinamamahalaan nang naaangkop.
  • Ay limitado AP pagsubok na ginanap sa tuwing ang mga pagbabago ay ginawa sa ibig sabihin integrated AP Baguhin ang pamamahala sa proseso.
  • Database Ay ito buffered o ito ay nakatira sa core system.
  • Ano ang mga pasilidad ay ibinigay? debit + Card + + ... .... Isaalang-alang ang iba't-ibang pangyayari para sa iyong depende sa mga tampok.
  • Ano ang iba pang mga serbisyo ay shared sa loob ng segment na ang serbisyo ay tumatakbo. Maaari na ito ay ginamit sa kompromiso ang site. hal. iba't-ibang mga negosyo / na samahan sa differing estratehiya / profile.
  • Isaalang-alang ang lahat ng mga panlabas na sumusuporta sa mga serbisyo sa loob mo AP. Hanapin sa panloob / panlabas na sa pagkain pagkakataon, mail atbp Ano ang IPs ng gawin nila ay gamitin ang anumang pagkakataon ma-access ang system o sumusuporta sa mga serbisyo na maaaring makaapekto sa
  • Depende sa laki ng maraming mga organisasyon ay hindi gamitin ang parehong mga grupo para sa infrastructure at ang application. Bilang isang resulta ng panlabas na mga koneksyon sa imprastraktura ay maaaring ibinigay para sa isang panlabas na organisasyon upang tumulong sa infrastructure.
  • Hanapin sa negosyo at user pamamaraan at mga landas (client side certs, secure ID, SMART etc). Isaalang-alang ang dalawang factor at modernong user pamamaraan. hal. kung ano ang iyong mga paboritong pagkain bukod sa normal na mga username at password. Do sistema ng pamamahala ng mga tauhan gamitin ang dynamic na mga password (secureID, etc)?
  • Tingnan kung ang application nagpapadala ng email sa mga gumagamit na maaaring maglaman ng mga kagiliw-giliw na impormasyon.
  • Mas mahusay na sa aplikasyon ay maaari sa pangkalahatan ay nagkamit pagkatapos sistema. ibig sabihin makakuha ng isang lehitimong sa sistema. Ako ay natagpuan na ang ilang mga sample / pangangasiwa screen ay limitado sa mga Authenticated users lamang.
  • Isaalang-alang ang social engineering ang Help desk na magkaroon ng isang reset.

No Comments »

Mobile banking Security at Risk Assessment Considerations

Aug 05, 2008 sa Pagbabangko at EFTPoS, Security

Kapag nag-iisip na Mobile at ang mga kaugnay na panganib, ang isang pagtatasa ng diskarte ay nakasalalay sa malaki ang solusyon na ginawa o ibinigay.
Kadalasan ang diskarte ay batay sa layered at sumusuporta sa kalapit ang teknolohiya at pamamaraan na ginamit.

Narito ang ilang mga bagay-bagay na isaalang-alang.

pagtasa ay karaniwang focuses sa dalawang pangunahing bagay.

1 / pagkamapagdamdam ng
Ano ang ipinapadala. hal. numero ng credit card, home address, etc
ay maaaring hindi sensitibo sa ngunit maaari sa pamamagitan ng pag-isipan ang client bilang sensitive.
etc ... ... ....

2 / Opportunity ma-access ang
Ano ang daluyan ay ginagamit?
Ay ito madali sa
Ano ang ay ginagamit?
Ay lahat ng landas ng secure (client at back end)?
Ay may isang ika-3 partidong kasangkot sa paglilipat ng mga transaksyon?
etc ... ... ...

Mga bagay-bagay na isaalang-alang:

  • resets na ipinadala sa pamamagitan ng sa client, ay hindi dapat gamitin bilang lamang ang paraan ng pag-access ng account. Isang karagdagang client tiyak na (bakasakali static) pumasa salita / parirala ay dapat gamitin bilang karagdagan sa isang dynamic na binuo ng ay maaaring sniffed (depende sa mode at lokasyon).
  • Kung WAP ay ginagamit, ang lahat ng aparatong mahusay ng Kung ang aparato ay hindi kaya ng mga gagawin naming tanggihan mga aparatong ito? Kung client side o (win CE, etc), siguraduhin na ito ay hindi maaaring-kompromiso sa pamamagitan ng isang Trojan's at iba pang mga pamamaraan.
  • Ang mga organisasyon ay isinasaalang-alang client side sertipiko upang mapatunayan ang aparato bago sa mga transaksyon na tinanggap? Isaalang-alang ang maraming mga aparato at user na pamamaraan (tunay solusyon pakainin).
  • Karamihan sa mga mobile Pos mga terminal encrypt ang client ipinasok numero, ngunit hindi encrypt lahat ng bagay sa loob ng Kung ang ay medium-kompromiso, tayo ay dapat isaalang-alang ang kung ang ay basag at kung unencrypted ay sensitibo. Isaalang-alang ang karagdagang ibig sabihin ang paggamit ng lahat ng mga mensahe ng (SSL, o gamitin ang isang terminal na utilises nagmula Natatanging Key Per
  • Maraming mga mga aplikasyon ay na-aapektuhan sa pamamagitan ng karaniwang Hacks tulad ng session hijacking, SQL hindi random session key (client side at etc ... Ang mga pangkaraniwang Hacks dapat ay isinasaalang-alang sa iyong Secure SDLC at QA na proseso sa sandaling ikaw ay kamalayan ng mga na ginagamit at / o deployed.
  • PBX system at ng kable ng pamamahagi ng mga frame ay maaring magkaroon ng mga aparato na konektado sa mangolekta ng mga transaksyon. Wireless na aparato ay ngayon ay konektado sa sistema ng mga ito. Ang magsasalakay sits sa kanilang mga sasakyan sa labas ng sasakyan. Ito ay madalas na ginagawa sa super markets.
  • Wireless na gateways kung hindi ay madaling-encrypt na nakolekta sa pamamagitan ng sinuman sa loob ng wireless range. 802.11 at iba pang mga wireless / ibaba-red daluyan ay ginagamit (assess ang at daluyan na ginagamit).
  • Ang mga organisasyon ay isinasaalang-alang dynamic na key para sa mobile users? May mga ilang mababang gastos SecureID mga solusyon na magagamit sa araw na ito, ngunit kailangan mo ng mga customer na magkaroon ng mga aparatong ito sa mga ito kapag nais nilang gawin isang transaksyon.

No Comments »

Cisco Command impostor Sheet

Jul 04, 2008 sa Infrastructure

Natagpuan ko ang isang listahan ng mga kapaki-pakinabang na ko kahit na ako would-post dito. Kailan ako makakakuha ng isang pagkakataon na ako ay patuloy na palawakin ang mga listahan at palawakin command set.

Salamat sa fastget2you.com Joined Sa # missomhack Community para sa orihinal na listahan.

Router na :

  • Config # terminal-edit - ay nagbibigay-daan para sa mga pinagbuting-e-edit ng mga command
  • Config # terminal monitor - ay nagpapakita ng output sa session
  • Config # terminal ip netmask-format hexadecimal | bit-count | decimal - pagbabago ng format ng subnet masks

HOST NAME:

  • Config # hostname ROUTER_NAME

Banner:

  • Config # banner motd # MENSAHE HERE # - # maaaring substituted para sa anumang mga character, ay dapat simulan at tapusin ang mga mensahe

Paglalarawan:

  • Config # paglalarawan ITO AY ANG SOUTH router - ay maaaring ipinasok sa config-kung level

Clock:

  • Config # orasan timezone Central -6
    # Clock set HH: mm: s dd yyyy buwan - Halimbawa: relos itakda 14:13:00 25 Agosto 2003

Ang pagbabago ng rehistro:

  • Config # config-rehistro 0 × 2100 - ROM Monitor Mode
  • Config # config-rehistro 0 × 2101 - ROM boot
  • Config # config-rehistro 0 × 2102 - Boot mula sa NVRAM

CDP:

  • Config # cdp tatakbo - lumiliko CDP sa
  • Config # cdp holdtime 180 - Sets ang panahon na ang isang aparato ay nananatiling. Default ay 180
  • Config # cdp timer 30 - Sets ang i-update timer.The default ay 60
  • Config # int 0
  • Config-kung # cdp paganahin ang - Ito ay nagbibigay-daan cdp sa
  • # Config-kung hindi paganahin ang cdp - disables CDP sa
  • Config # cdp hindi tatakbo - lumiliko CDP off

HOST TALAAN:

  • Config # ip host ROUTER_NAME INT_Address - Halimbawa: lab-ip-host ng isang 192.168.5.1
    -o -
  • Config # ip host RTR_NAME INT_ADD1 INT_ADD2 INT_ADD3 - Halimbawa: lab-ip-host ng isang 192.168.5.1 203.23.4.2 199.2.3.2 - (para sa e0, s0, s1)

  • Config #-ip domain lookup - Sabihin router sa lookup mga pangalan ng domain
  • Config # ip 122.22.2.2 - Lokasyon ng mga
  • Config # ip-domain name cisco.com - Domain upang idagdag sa dulo ng mga pangalan

PAGLIMAS Counters:

Static ruta:

  • Config # ip ruta Net_Add SN_Mask Next_Hop_Add - Halimbawa: ip route 192.168.15.0 255.255.255.0 205.5.5.2
  • Config # ip route 0.0.0.0 0.0.0.0 Next_Hop_Add - Default ruta
    -o -
  • Config # ip Net_Add - Gateway lan

IP Routing:

  • Config # ip routing - Enabled by default
  • Config # router rip
    -o -
  • Config router igrp # 100
  • Config # 0
  • Config-kung # ip address na 122.2.3.2 255.255.255.0
  • Config-kung # walang pagsasara

IPX Routing:

listahan:

IP Standard 1-99
IP Extended 100-199
IPX Standard 800-899
IPX Extended 900-999
IPX mga filter 1000-1099

IP Standard:

  • Config 10 permit 133.2.2.0 0.0.0.255 - payagan ang lahat ng src ip's sa 133.2.2.0
    -o -
  • Config 10 permit host 133.2.2.2 - tumutukoy sa isang tiyak na host
    -o -
  • Config 10 permit anumang - ay nagbibigay-daan sa anumang address
  • Config # int 0
  • Config-kung # ip sa 10 - magagamit din: out

IP EXTENDED:

  • Config 101 permit TCP 133.12.0.0 0.0.255.255 122.3.2.0 0.0.0.255 eq
    -protocol: TCP, udp, icmp, ip (walang sockets pagkatapos), bukod sa iba
    -source pagkatapos destination address
    -eq, gt, lt para sa paghahambing
    -sockets ay maaaring numero o pangalan (23 o 21 o ftp, etc)
    -o -
  • Config 101 tanggihan TCP anumang host 133.2.23.3 eq www

-o -

-o -

  • Config 801 permit -1 -1 - "-1" ay ang parehong bilang "anumang" sa / host address
  • Config # 0
  • Config-kung # ipx ng 801 out IPX EXTENDED:
  • Config 901 permit 4AA lahat ng 4BB lahat
    - Permit protocol src_add socket dest_add socket
    - "Lahat" ay kasama ang lahat ng sockets, o maaaring gamitin ang mga numero ng socket

-o -

  • Config 901 permit anumang anumang lahat ng anumang lahat ng mga
    -Permit anumang protocol sa anumang address sa anumang mga saksakan na pumunta kahit saan
  • Config # 0
  • Config-kung # ipx ng 901 sa IPX FILTER:
  • Config 1000 pinapayagan 4aa 3 - "3" ay ang serbisyo ng

-o -

-o -

Pangalan na listahan:

  • Config # ip standard LISTNAME
    -ay maaaring ip o ipx, standard o extended
    -sinundan ng permit o tanggihan ang listahan
  • Config # pinapayagan ang anumang
  • Config-kung # ip LISTNAME sa
    -gamitin ang listahan ng pangalan sa halip ng isang listahan ng numero
    -ay nagbibigay-daan para sa isang mas malaking halaga ng

PPP setup:

  • Config-kung # PPP
  • Config-kung # PPP putok malambot na pagkain
    -order sa kung saan sila ay gagamitin
    lamang-Sinubukan sa nakalista
    -isa kung nabigo, at pagkatapos ay koneksyon ay itinigil
  • Config-kung # exit
  • Config # username Lab-b 123456
    -username ay ang router na ito ay sa pagkonekta sa mga ito ng isa
    -lamang tinukoy na routers ay maaaring ikonekta

-o -

  • Config-kung # PPP-putok hostname router
  • Config-kung # PPP-putok 123456
    -kung ito ay naka-set sa lahat ng routers, pagkatapos ng anuman sa mga ito ay maaaring kumonekta sa anumang iba pang
    parehong-set sa lahat ng madali para sa configuration

ISDN setup:

  • Config # isdn basic-5ess - tinutukoy ng telecoms
  • Config # serial 0
  • Config-kung # isdn spid1 2705554564 - isdn "phonenumber" ng linya 1
  • Config-kung # isdn spid2 2705554565 - isdn "phonenumber" ng linya 2
  • Config-kung # PPP - o HDLC, LAPD

DDR - 4 Hakbang sa pagse-set up ng ISDN na may DDR-configure ang lumipat

1. Config # isdn basic-5ess - ay maaaring gawin sa config

2. Itakda ang static ruta
Config # ip ruta 123.4.35.0 255.255.255.0 192.3.5.5 - nagpapadala ng trapiko nakalaan para sa 123.4.35.0 sa 192.3.5.5
Config # ip ruta 192.3.5.5 255.255.255.255 bri0 - tumutukoy kung paano sa kumuha sa 192.3.5.5 (sa pamamagitan ng bri0)

3. Itakda ang
Config-kung # ip address na 192.3.5.5 255.255.255.0
Config-kung # walang pagsasara
Config-kung # PPP
Config-kung #-dayal-group 1 - dayal-aaply sa listahan interface na ito
Config-kung #-dayal mapa ip 192.3.5.6 pangalan Lab-b 5551212
kumonekta sa lab-b sa 5551212 sa ip 192.3.5.6 kung diyan ay kagiliw-giliw na trapiko
Maaari ring gamitin ang "-dayal string 5551212" sa halip kung may isa lamang router makakonekta sa

4. Tukuyin ang mga kagiliw-giliw na trapiko
Config #-dayal-list 1 ip pinapayagan ang anumang
-o -
Config #-dayal-list 1 ip listahan ng 101 - gamitin ang 101 bilang-dayal ang listahan

5. Iba Pang Options
Config-kung # hold-queue 75 - pila 75 packets bago pagdayal
Config-kung #-dayal-load-threshold 125 alinman
-load kinakailangan bago ikalawang linya ay nagdala up
- "125" ay ang anumang numero ng 1-255, na kung saan ang% load ay x/255 (125/255 ibig sabihin ay tungkol sa 50%)
maaari sa pamamagitan ng check-in, out, o alinman sa

Config-kung #-dayal idle-timeout 180
-tumutukoy sa kung gaano katagal upang manatili idle bago terminating ang session
-default ay 120

Frame setup:

  • Config # serial 0
  • Config-kung # - Cisco by default, ay maaaring baguhin sa ietf
  • Config-kung # Cisco - Cisco by default, din Ansi, q933a
  • Config-kung bandwidth # 56
  • Config-kung # serial 0.100 point-to-point - subinterface
  • Config-kung # ip address na 122.1.1.1 255.255.255.0
  • Config