archiveren

console

Quick version to improve client-side browser behaviour… (client-side best effort, so nothing is enforced…)

  • remove asp info
  • enforce https
  • specify thumbprint of known expected certificates and intermediate, and root for website
  • whitelist content security sources
  • set x-frame, aka preventing your site can be used in an iframe
  • enable xss protection
  • disable content type niffing

Add the following to your website’s web.config
(yes, web.config needs that ‘"’ around the thumbprints…)


 <httpProtocol>
  <customHeaders>
   <remove name="X-Powered-By" />
   <add name="Strict-Transport-Security" value="max-age=31536000" />
   <add name="Public-Key-Pins" value="pin-sha256=&quot;thumbprintofcertificate1&quot;; pin-sha256=&quot;thumbprintofcertificate2-intermediate&quot;; pin-sha256=&quot;thumbprintofcertificate3-rootcert&quot;; max-age=31536000" />
   <add name="Content-Security-Policy" value="default-src https: data: 'unsafe-inline' 'unsafe-eval'" />
   <add name="X-Frame-Options" value="DENY" />
   <add name="X-Xss-Protection" value="1; mode=block" />
   <add name="X-Content-Type-Options" value="nosniff" />
   </customHeaders>
  </httpProtocol>
 

Long version: https://scotthelme.co.uk/hardening-your-http-response-headers/

Check via https://securityheaders.io/?q=https%3A%2F%2Fhome.mendelonline.be&hide=on

 

 

Advertenties

the story

Something I believe is really useful on a mobile device, is a portable network scanner.

I’ve got this on my android tablet (currently using “Fing“) and sometimes this comes in handy (especially on mobile devices because of their lack on native network discovery abilities)

So I started my search on the WP7 marketplace.
There are a couple of apps promising “ping”-like functions on the WP7 platform.
But after testing them one by one, they all failed…
A couple of them created the impression that they worked, but in the end they didn’t…

So, let’s create our own 🙂

so, some background.

According to wikipedia, Ping is created in 1983 and is used to check network connectivity.
When you “ping” a network devices, it “pongs” back (replies), and you know it’s available to
communicate with you.

Ping is based on ICMP echo requests.
ICMP on it’s turn is defined in RFC 792 of the IETF
Its an OSI layer 4 function, and works on top of IP.

So, basically, if we want to create our WP7 network discovery app, we need to create an IPv4 packet, put in a ICMP request, and broadcast it around. 🙂

a bitter reality

In .net 4.5, you have the “ping” class.
This is an incredible easy way of achieve our target.

But it’s not part of the “mobile” silverlight based SDK for wp 7.1…

damn…

The other way around: what do we have.
Since 7.1 (Mango) we have sockets!
A nice explanation is written here at msdn.

What if we want to craft our own ICMP packet?
You just need a byte array, put it in an IP packet, and solved!

Anyway, you can spawn a network socket with multiple arguments.

Socket sock = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);

AddressFamily:ip4, ip6, unspecified or unknown
SocketType: stream (tcp) dgram (udp) or unknown
ProtocolType: tcp, udp, unspecified or unknown

And of course, unspecified and unknown is not supported on WP7.
So,we only have tcp and udp available…

No ICMP or even RAW as in the full desktop version of a socket

Stuck again…

Some guys on the internet say ping should work with tcp/udp on port 7…
Knowing this can’t actually work, I experimented with it anyway.

Result: udp doing nothing – tcp replying sometimes (absolutely not trustworthy)

Any suggestions from somewhere? Is it even possible using only TCP/UDP/WP7?

‘cause I’m out idea’s…

Nadat ik een tijdje geleden het volgende filmpje zag begon ik eens over de beveiliging van men computers na te denken…

De spreker in kwestie zen macintosh was gestolen. Nu enkele jaren later kwam ineens een nieuw ip boven in zen dydns tracker, en kon hij op via dat ip terug inloggen op de sshd op zen gestolen computer.
Wel leuk, dus ik begon ook eens te denken…
Als ik op elke pc een no-ip, ssh deamon and shit moet draaien, daar heb ik ni zoveel zin in…
Niet voor die paar cpu-cycletjes en die halve megabyte ram, maar gewoon… Kweet ni :mrgreen:

Anyway, ik was dan maar random begonnen aan een eigen programmatje dat het ip updaten op een externe webserver (via http://lanzone.la.ohost.de). Dit met behulp van easy c# en wat php/sql. Het enige wat dit deed was een identifier posten naar een php script die het in een db gooide.
Deze executable registreerde zich dan ook leuk als windows service zodat het 24/7 op de achtergrond wat lag te draaien (zodat ik op zen minst de ip’s van men toestellen kende)

Maarjah, dan heb je een ip… En dan…
Een ssh deamon, een vnc/rdp server, een weetikveelwelkremoteprogram…  In belgie zit toch iedereen achter een router waar bij toch niemand die juiste poorten geforward staan… Of ik moest iets maken dat die upnp goedzette, ofwel iets anders zoeken…
Ik had ook niet veel zin in services zoals bestaande logmein, ook weer zonder reden :mrgreen:

Dan toch maar eens beginnen rondkijken naar bestaande software 😎
Ik kan toch niet de enige zijn die zoiets voor zen toestellen wilt 😛

Nu kwam ik leuk op prey (www.preyproject.com). Een opensource project waar dus een mooi aantal opties zitten

Prey heeft een aantal leuke truukjes aan boord:

  • ip adres achterhalen 😎
  • openstaande processen ophalen
  • ingelogde gebruikers
  • screenshot doorsturen 😎
  • foto nemen met webcam 😎
  • locatie bepalen met wifi triangulatie (gelijk google tegewoordig doet) 😎

niiiice :mrgreen:

Dus ge weet waar den dief zit, hoe hij eruit ziet en wa zen ip adres is 😎

Try me baby ^^

Er natuurlijk vanuit gaande dat uwen dief niet onmiddellijk ne format c:\ doet ^^

Men wii gehacked.

Waninkoko zen zogenaamde Custom IOS erop gekregen. Zien wat het in de toekomst gaat brengen, tot op heden niet zo nuttig…
Hopelijk iso-loader 🙂

Eenvoudig was wel anders… Geen enkele site, forum whatsoever wilt mij deftig vertellen hoe je dat ding van Waninkoko nu juist installeert. In de readme staat enkel “plaatste blabla.wad” in de root. Doe je dit, dan is dat mooi… Maar voor de rest gebeurt er dus niets…

Uiteindelijk dus toch aan de praat gekregen via wiiload. Een wifi-loader die samenwerkt met the homebrew channel. Via wiiload kan je mooi uw “te installeren homebrew” via wifi streamen naar de wii.

Werkt perfect!

Meer uitleg kan je vinden op Luv’s site, oftwel ’t cafe 🙂