SYNG OSS EN CYBERSIKKERHETSSANG
Hvorfor Mac-kalenderappen sier at det er 17. JUL. En patch, én linje, én fil. Forsiktig med det {øks,fil}, Eugene. Stormsesong for Microsoft. Når skrivefeil får deg til å synge av glede.
Ingen lydspiller under? Lytte direkte på Soundcloud.
Med Doug Aamoth og Paul Ducklin. Intro- og outromusikk av Edith Mudge.
Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.
LES TRANSKRIPTET
DOUG. Patching for hånd, to slags Microsoft null-dager, og "Forsiktig med den filen, Eugene."
Alt det, og mer, på Naked Security-podcasten.
[MUSIKK MODEM]
Velkommen til podcasten, alle sammen.
Jeg er Doug Aamoth; han er Paul Ducklin.
Paul, hvordan har du det i dag?
AND. Gjorde du en hentydning til Pink Floyd?
DOUG. *DE* Pink Floyd, ja!
AND. Det er navnet som de opprinnelig ble kjent under, tror jeg.
DOUG. Åh, virkelig?
AND. De droppet "The" fordi jeg tror det kom i veien.
Pink Floyd.
DOUG. Det er et morsomt faktum!
Og heldigvis har jeg flere Morsomme fakta for deg…
Du vet vi starter showet med Denne uken i teknisk historie, og vi har en to-fer i dag.
Denne uken, 17. juli 2002, lanserte Apple «iCal»: kalenderprogramvare som inneholdt internettbasert kalenderdeling og muligheten til å administrere flere kalendere.
"JUL 17" ble fremtredende omtalt på appens ikon, som til og med førte til at 17. juli ble verdens emoji-dag, etablert i 2014.
Det er en ganske gjennomgripende effekt, Paul!
AND. Selv om. på din iPhone,, vil du legge merke til at ikonet endres til dagens dato, fordi det er veldig nyttig.
Og du vil legge merke til at andre tjenesteleverandører kanskje eller ikke har valgt andre datoer, fordi "hvorfor kopiere konkurrentene dine", faktisk.
DOUG. Ok, la oss komme inn i det.
Vi skal snakke om vår første historie.
Dette handler om Zimbra og eventyr i skripting på tvers av nettsteder.
Gode gamle XSS, Paul:
Zimbra Collaboration Suite-advarsel: Patch denne 0-dagen akkurat nå (for hånd)!
AND. Ja.
Det er der du i hovedsak er i stand til å hacke et nettsted for å inkludere useriøst JavaScript uten å bryte inn på selve serveren.
Du utfører en handling, eller oppretter en lenke til det nettstedet, som lurer nettstedet til å inkludere innhold i svaret som ikke bare nevner, for eksempel søkeordet du skrev inn, som My Search Term
, men inkluderer tilleggstekst som ikke burde være der, som My search <script> rogue JavaScript </script>
.
Med andre ord, du lurer et nettsted til å vise innhold, med sin egen URL i adressefeltet, som inneholder uklarert JavaScript.
Og det betyr at JavaScript-en du snikende har injisert faktisk har tilgang til alle informasjonskapslene som er satt av det nettstedet.
Så det kan stjele dem; det kan stjele personlige data; og enda viktigere, det kan sannsynligvis stjele autentiserings-tokens og slike ting for å la skurkene komme inn igjen neste gang.
DOUG. OK, så hva gjorde Zimbra i dette tilfellet?
AND. Vel, den gode nyheten er at de reagerte raskt fordi det selvfølgelig var en nulldag.
Skurkene brukte den allerede.
Så de tok faktisk den litt uvanlige tilnærmingen med å si: «Vi har lappen på vei. Du får det ganske snart."
Men de sa, ganske ettertenksomt, "Vi forstår at du kanskje vil iverksette tiltak før heller enn senere."
Nå betyr det dessverre å skrive et eget skript for å gå og lappe én kodelinje i én fil i produktdistribusjonen på alle postkassenodene dine.
Men det er en veldig liten og enkel løsning.
Og, selvfølgelig, fordi det er én linje, kan du enkelt endre filen tilbake til hva den var hvis den skulle skape problemer.
Hvis du var veldig opptatt av å komme i forkant av kjeltringene, kunne du gjøre det uten å vente på at hele utgivelsen skulle slippe ...
DOUG. Og for en følelse av prestasjon også!
Det er en stund siden vi har kunnet brette opp ermene og bare håndlappe noe slikt.
Det er som å fikse vasken på en lørdag morgen... du føler deg bare bra etterpå.
Så hvis jeg var en Zimbra-bruker, ville jeg hoppet over dette bare fordi jeg liker å få tak i … [LATER]
AND. Og i motsetning til å lappe vasken, var det ingen kravling rundt i tette skap, og det var ingen fare for å oversvømme hele eiendommen din.
Løsningen var klar og veldefinert.
Én kodelinje endret i én fil.
DOUG. Greit, så hvis jeg er en programmerer, hva er noen skritt jeg kan ta for å unngå skripting på tvers av nettsteder som dette?
AND. Vel, det fine med denne feilen, Doug, er at den nesten fungerer som dokumentasjon for den typen ting du må se etter i skripting på tvers av nettsteder.
Oppdateringen viser at det er en serversidekomponent som ganske enkelt tok en streng og brukte den strengen i et nettskjema som ville vises i den andre enden, i brukerens nettleser.
Og du kan se at det programmet *nå* gjør (denne spesielle programvaren er skrevet i Java) ... den kaller en funksjon escapeXML()
, som er, hvis du vil, den ene sanne måten å ta en tekststreng som du vil vise og sørge for at det ikke er noen magiske XML- eller HTML-tegn der som kan lure nettleseren.
Spesielt: mindre enn (<
); større enn (>
); ampersand (&
); dobbelt anførselstegn ("
); eller enkelt sitat, også kjent som apostrof ('
).
Disse blir konvertert til sine lange, trygge HTML-koder.
Hvis jeg kan bruke vår standard Naked Security-klisje, Doug: Rengjør inputene dine er bunnlinjen her.
DOUG. Ååå, jeg elsker den!
Flott. la oss gå videre til Pink Floyd, åpenbart ... vi har ventet på hele dette showet.
Hvis Pink Floyd var cybersikkerhetsforskere, er det morsomt å forestille seg at de kan ha skrevet en hitlåt kalt "Forsiktig med den filen, Eugene"i stedet, Paul. [Pink Floyd produserte en sang kalt Forsiktig med den øksen, Eugene.]
AND. Faktisk.
"Forsiktig med den filen" er en påminnelse om at noen ganger, når du laster opp en fil til en nettjeneste, hvis du velger feil, kan du ende opp med å redistribuere filen i stedet for for eksempel å laste den opp for sikker lagring.
Heldigvis ble det ikke gjort for mye skade i dette tilfellet, men dette var noe som skjedde hos Googles Virus Total-tjeneste.
Lyttere vil sannsynligvis vite at Virus Total er en veldig populær tjeneste hvor du, hvis du har en fil, enten vet at den er skadelig programvare og du vil vite hva mange forskjellige produkter kaller den (slik at du vet hva du skal lete etter i trusselloggene dine), eller hvis du tenker: "Kanskje jeg ønsker å få prøven sikkert til så mange leverandører som mulig, så raskt som mulig"...
…så laster du opp til Virus Total.
Filen er ment å gjøres tilgjengelig for dusinvis av cybersikkerhetsselskaper nesten umiddelbart.
Det er ikke helt det samme som å kringkaste det til verden, eller laste det opp til en lekk nettskylagringsbøtte, men tjenesten *er* ment å dele den filen med andre mennesker.
Og dessverre ser det ut til at en ansatt i Virus Total ved et uhell lastet opp en intern fil som var en liste over kunde-e-postadresser til Virus Total-portalen, og ikke til hvilken portal de skulle bruke.
Nå, den virkelige grunnen til å skrive denne historien opp, Doug, er dette.
Før du ler; før du peker fingre; før du sier: "Hva tenkte de på?"...
..stopp og still deg selv dette ene spørsmålet.
"Har jeg noen gang sendt en e-post til feil person ved en feiltakelse?" [LATTER]
Det er et retorisk spørsmål. [MER LATTER]
Vi har alle gjort det...
DOUG. Det er retorisk!
AND. …noen av oss mer enn én gang. [LATTER]
Og hvis du noen gang har gjort det, hva er det som garanterer at du ikke laster opp en fil til feil *server* ved en feiltakelse, og gjør en lignende type feil?
Det er en påminnelse om at det er mange glipper, Douglas, mellom koppen og leppen.
DOUG. Ok, vi har noen tips til de gode menneskene her, og starter med, vil jeg si, uten tvil et av våre mest upopulære råd: Logg ut fra nettkontoer når du faktisk ikke bruker dem.
AND. Ja.
Nå, ironisk nok, har det kanskje ikke hjulpet i dette tilfellet fordi, som du kan forestille deg, er Virus Total spesifikt konstruert slik at hvem som helst kan *laste opp* filer (fordi de er ment å deles til det beste for alle, raskt, til folk som trenger å se dem), men bare pålitelige kunder kan *laste ned* ting (fordi antagelsen er at de ikke inneholder skadelig programvare, men at de ofte er tilgjengelige).
Men når du tenker på hvor mange nettsteder du sannsynligvis forblir pålogget hele tiden, gjør det det bare mer sannsynlig at du tar den riktige filen og laster den opp til feil sted.
Hvis du ikke er logget inn på et nettsted og du prøver å laste opp en fil der ved en feiltakelse, vil du få en påloggingsmelding...
…og du vil beskytte deg mot deg selv!
Det er en fantastisk enkel løsning, men som du sier, den er også uhyrlig upopulær fordi den er beskjedent upraktisk. [LATTER]
DOUG. Ja!
AND. Noen ganger må du imidlertid ta en for laget.
DOUG. Ikke for å legge hele byrden til sluttbrukerne: Hvis du er i IT-teamet, bør du vurdere å kontrollere hvilke brukere som kan sende hva slags filer til hvem.
AND. Dessverre er denne typen blokkering upopulær, hvis du vil av den andre siden av mynten grunnen til hvorfor folk ikke liker å logge ut av kontoer når de ikke bruker dem.
Når IT kommer og sier: "Vet du hva, vi kommer til å slå på Data Loss Prevention [DLP]-delene av endepunktproduktet vårt for cybersikkerhet"...
… folk sier: «Vel, det er upraktisk. Hva om det kommer i veien? Hva om det forstyrrer arbeidsflyten min? Hva om det skaper problemer for meg? Jeg liker det ikke!"
Så, mye II
T-avdelinger kan ende opp med å være litt sjenerte for å potensielt forstyrre arbeidsflyten på den måten.
Men, Doug, som jeg sa i artikkelen, vil du alltid få en ny sjanse til å sende en fil som ikke ville gå ut første gang, ved å forhandle med IT, men du får aldri sjansen til å oppheve sendingen av en fil som ikke var ment å gå ut i det hele tatt.
DOUG. [LETER] Akkurat!
Ok, gode tips der.
Vår siste historie, men absolutt ikke minst.
Paul, jeg trenger ikke å minne deg på det, men vi bør minne andre på...
…anvendt kryptografi er vanskelig, sikkerhetssegmentering er vanskelig, og trusseljakt er vanskelig.
Så hva har det med Microsoft å gjøre?
Microsoft rammet av Storm-sesongen – en fortelling om to halvnull dager
AND. Vel, det har vært mange nyheter i media den siste tiden om at Microsoft og dets kunder blir snudd, slått opp, undersøkt og hacket av en nettkriminalitetsgruppe kjent som Storm.
Og en del av denne historien går rundt 25 organisasjoner som hadde disse skurkene i Exchange-virksomheten.
De er liksom null-dager.
Nå publiserte Microsoft en ganske fyldig og ganske ærlig rapport om hva som skjedde, fordi det åpenbart var minst to feil fra Microsoft.
Måten de forteller historien på kan lære deg utrolig mye om trusseljakt, og om trusselrespons når ting går galt.
DOUG. OK, så det ser ut til at Storm kom inn via Outlook Web Access [OWA] ved å bruke en haug med usurperte autentiseringstokener, som i utgangspunktet er som en midlertidig informasjonskapsel som du presenterer som sier: "Denne personen er allerede logget på, de er legitime, la dem komme inn."
Ikke sant?
AND. Akkurat, Doug.
Når den slags skjer, noe som åpenbart er bekymringsfullt fordi det lar skurkene omgå den sterke autentiseringsfasen (den biten hvor du må skrive inn brukernavnet ditt, skrive inn passordet ditt og deretter gjøre en 2FA-kode; eller hvor du må presentere din Yubikey; eller du må sveipe smartkortet ditt)...
…den åpenbare antagelsen, når noe sånt skjer, er at personen i den andre enden har skadelig programvare på en eller flere av brukernes datamaskiner.
Skadelig programvare får en sjanse til å ta en titt på ting som nettleserinnhold før det blir kryptert, noe som betyr at det kan fjerne autentiseringstokener og sende dem til skurkene hvor de kan bli misbrukt senere.
Microsoft innrømmer i sin rapport at dette var deres første antagelse.
Og hvis det er sant, er det problematisk fordi det betyr at Microsoft og de 25 personene må løpe rundt og prøve å gjøre trusseljakten.
Men hvis det *ikke* er forklaringen, så er det viktig å finne ut av det tidlig, slik at du ikke kaster bort din egen og alle andres tid.
Så skjønte Microsoft: "Det ser faktisk ut som om skurkene i utgangspunktet lager sine egne autentiseringstokener, noe som tyder på at de må ha stjålet en av våre antatt sikre Azure Active Directory-token-signeringsnøkler."
Vel, det er bekymringsfullt!
*Så* innså Microsoft: "Disse tokenene er faktisk tilsynelatende digitalt signert av en signeringsnøkkel som egentlig bare skal brukes for forbrukerkontoer, det som kalles MSA'er eller Microsoft-kontoer."
Med andre ord, typen signeringsnøkkel som vil bli brukt til å lage et autentiseringstoken, si om du eller jeg logget på vår personlige Outlook.com-tjeneste.
Å nei!
Det er en annen feil som betyr at det er mulig å ta et signert autentiseringstoken som ikke skal fungere for angrepet de har i tankene, og deretter gå inn og rote rundt med folks bedrifts-e-post.
Så det hele høres veldig dårlig ut, noe det selvfølgelig er.
Men det er en oppside...
…og det er ironien at fordi dette ikke skulle fungere, fordi MSA-tokens ikke skal fungere på bedriftens Azure Active Directory-side av huset, og omvendt, hadde ingen hos Microsoft noen gang brydd seg med å skrive kode for å bruke ett token på den andre spillebanen.
Noe som betydde at alle disse useriøse tokenene skilte seg ut.
Så det var i det minste et gigantisk, synlig rødt flagg for Microsofts trusseljakt.
Å fikse problemet, heldigvis, fordi det er et problem på skysiden, betyr at du og jeg ikke trenger å skynde oss ut og lappe systemene våre.
I utgangspunktet er løsningen: fornekt signeringsnøkkelen som har blitt kompromittert, så den fungerer ikke lenger, og mens vi er i gang med det, la oss fikse den feilen som gjør at en forbrukersigneringsnøkkel kan være gyldig på bedriftssiden av Exchange-verdenen.
Det er liksom litt av et "alt er bra som ender bra."
Men som sagt, det er en stor påminnelse om at trusseljakt ofte innebærer mye mer arbeid enn du kanskje først tror.
Og hvis du leser gjennom Microsofts rapport, kan du forestille deg hvor mye arbeid som ble lagt ned i dette.
DOUG. Vel, i en ånd av å fange alt, la oss høre fra en av våre lesere i Ukens kommentar.
Jeg kan fortelle deg det førstehånds etter å ha gjort dette i mer enn ti år, og jeg er sikker på at Paul kan fortelle deg det førstehånds etter å ha gjort dette i tusenvis og tusenvis av artikler...
…skrivefeil er en livsstil for en teknologiblogger, og hvis du er heldig, ender du noen ganger opp med en skrivefeil som er så god at du ikke vil fikse den.
Slik er det med denne Microsoft-artikkelen.
Leser Dave siterer Paul som skriver "noe som så ut til å antyde at noen faktisk hadde klemt et selskap som sang [sic] key."
Dave følger deretter opp sitatet ved å si: "Singing keys rock."
Nøyaktig! [LATTER]
AND. Ja, det tok meg en stund å innse at det er et ordspill … men ja, «syngenøkkel». [LETER]
Hva får du hvis du slipper en kasse med saksofoner i en hærleir?
DOUG. [LETER]
AND. [SÅ TØRT SOM MULIG] As-dur.
DOUG. [KOMBINERT LAT OG STYNN] Greit, veldig bra.
Dave, takk for at du påpekte det.
Og vi er enige om at syngende tangenter rocker; signering av nøkler i mindre grad.
Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.
Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @nakedsecurity.
Det er showet vårt for i dag; tusen takk for at du lyttet.
For Paul Ducklin, jeg er Doug Aamoth, og minner deg på, inntil neste gang, om å...
BÅDE. Hold deg trygg!
[MUSIKK MODEM]
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/07/20/s3-ep144-when-threat-hunting-goes-down-a-rabbit-hole/
- : har
- :er
- :ikke
- :hvor
- $OPP
- 17
- 2014
- 25
- 2FA
- a
- evne
- I stand
- Om oss
- om det
- adgang
- kontoer
- Handling
- aktiv
- handlinger
- faktisk
- Ytterligere
- adresse
- adresser
- innrømme
- råd
- Etter
- etterpå
- fremover
- Alle
- tillater
- langs
- allerede
- Ok
- også
- Selv
- alltid
- am
- an
- og
- En annen
- noen
- lenger
- hvor som helst
- app
- vises
- eple
- tilnærming
- ER
- antageligvis
- Army
- rundt
- Artikkel
- artikler
- AS
- forutsetningen
- At
- angripe
- lyd
- Autentisering
- forfatter
- tilgjengelig
- unngå
- Azure
- tilbake
- dårlig
- Bar
- I utgangspunktet
- BE
- fordi
- bli
- vært
- før du
- tro
- under
- Bedre
- mellom
- Stor
- Bit
- blokkering
- Bunn
- Breaking
- kringkasting
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- Bug
- Bunch
- virksomhet
- men
- by
- Kalender
- ring
- som heter
- Samtaler
- Camp
- CAN
- kort
- forsiktig
- saken
- Årsak
- årsaker
- Gjerne
- sjanse
- endring
- endret
- Endringer
- tegn
- valgt ut
- fjerne
- Cloud
- sky lagring
- kode
- koder
- samarbeid
- COM
- kombinert
- kommer
- kommer
- kommentere
- Selskaper
- Selskapet
- komponent
- kompromittert
- datamaskiner
- Vurder
- forbruker
- inneholde
- inneholder
- innhold
- kontroller
- konvertert
- cookies
- Bedriftens
- kunne
- Kurs
- skape
- kryptografi
- kopp
- kunde
- Kunder
- cybercrime
- Cybersecurity
- dato
- Data Loss
- Dato
- datoer
- Dave
- dag
- død
- avdelinger
- gJORDE
- forskjellig
- digitalt
- Vise
- visning
- distribusjon
- do
- dokumentasjon
- gjør
- ikke
- gjør
- gjort
- ikke
- dobbelt
- ned
- dusinvis
- Drop
- droppet
- tørk
- Tidlig
- lett
- effekt
- enten
- Else's
- emalje
- Ansatt
- kryptert
- slutt
- Endpoint
- slutter
- Hele
- feil
- hovedsak
- etablert
- eugene
- Selv
- NOEN GANG
- alle
- alt
- nøyaktig
- eksempel
- utveksling
- forklaring
- ganske
- famously
- kjennetegnet
- føler
- felt
- Figur
- filet
- Filer
- Først
- første gang
- Fix
- Floyd
- følger
- Til
- skjema
- Heldigvis
- funnet
- fra
- fullt
- moro
- funksjon
- få
- få
- giganten
- Go
- Går
- skal
- god
- Googles
- større
- Gruppe
- garantier
- hack
- hacket
- HAD
- hånd
- hender
- praktisk
- skjedde
- skjer
- Hard
- skade
- Ha
- he
- høre
- hjulpet
- her.
- hit
- Hole
- hus
- Hvordan
- Men
- HTML
- HTTPS
- Jakt
- i
- ICON
- if
- forestille
- umiddelbart
- viktig
- in
- inkludere
- inkluderer
- Inkludert
- faktisk
- innsiden
- i stedet
- interessant
- forstyrrende
- intern
- Internett-basert
- inn
- iPhone
- ironisk
- ironi
- IT
- DET ER
- selv
- Java
- Javascript
- Juli
- juli 17
- bare
- Keen
- nøkkel
- nøkler
- Type
- Vet
- kjent
- seinere
- Lekkasjer
- minst
- Led
- Legit
- mindre
- la
- Life
- i likhet med
- Sannsynlig
- linje
- LINK
- Liste
- Lytting
- lite
- logget
- logging
- Logg inn
- Se
- UTSEENDE
- tap
- Lot
- elsker
- flaks
- laget
- magi
- større
- gjøre
- GJØR AT
- Making
- malware
- administrer
- mange
- Kan..
- me
- bety
- midler
- ment
- Media
- Microsoft
- kunne
- tankene
- prege
- feil
- mer
- mest
- flytte
- mye
- flere
- musikk
- musikal
- må
- my
- Naken sikkerhet
- Naken sikkerhetspodcast
- navn
- Trenger
- aldri
- nyheter
- neste
- fint
- Nei.
- noder
- Legge merke til..
- nå
- Antall
- Åpenbare
- of
- off
- ofte
- oh
- Gammel
- on
- gang
- ONE
- på nett
- bare
- or
- organisasjoner
- opprinnelig
- Annen
- vår
- ut
- Outlook
- enn
- egen
- del
- Spesielt
- deler
- Passord
- patch
- patching
- paul
- Ansatte
- folks
- Utfør
- person
- personlig
- personlig informasjon
- fase
- plukke
- stykker
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- spiller
- podcast
- Podcasts
- Point
- Populær
- Portal
- mulig
- innlegg
- potensielt
- presentere
- pen
- Forebygging
- sannsynligvis
- Problem
- problemer
- produsert
- Produkt
- Produkter
- program
- Programmerer
- eiendom
- beskytte
- tilbydere
- publisert
- Sette
- spørsmål
- raskt
- sitere
- sitater
- Kanin
- heller
- Lese
- lesere
- ekte
- virkelig
- grunnen til
- nylig
- Rød
- slipp
- forbli
- svar
- rapporterer
- forskere
- svar
- ikke sant
- Risiko
- Rock
- Rull
- Valsede
- rss
- rennende
- jag
- trygge
- Sa
- samme
- lørdag
- sier
- sier
- sier
- Søk
- Årstid
- Sekund
- sikre
- sikkert
- sikkerhet
- se
- syntes
- synes
- segmentering
- send
- forstand
- sendt
- tjeneste
- tjenestetilbydere
- sett
- Del
- delt
- deling
- skift
- bør
- Vis
- Viser
- viker
- side
- signert
- signering
- lignende
- Enkelt
- ganske enkelt
- siden
- enkelt
- nettstedet
- Nettsteder
- liten
- Smart
- So
- selskap
- Software
- løsning
- noen
- Noen
- noe
- sang
- snart
- Soundcloud
- spesielt
- ånd
- Spotify
- Standard
- Begynn
- Start
- opphold
- Steps
- stjålet
- Stopp
- lagring
- Storm
- Story
- String
- sterk
- send
- slik
- foreslår
- foreslår
- suite
- ment
- sikker
- Systemer
- Ta
- ta
- fortelling
- Snakk
- lag
- tech
- fortelle
- midlertidig
- ti
- begrep
- enn
- takk
- Takk
- Det
- De
- verden
- deres
- Dem
- deretter
- Der.
- Disse
- de
- ting
- ting
- tror
- tenker
- denne
- De
- selv om?
- tusener
- trussel
- Gjennom
- tid
- tips
- til
- i dag
- dagens
- token
- tokens
- også
- tok
- Totalt
- sant
- klarert
- prøve
- SVING
- snudde
- to
- typen
- forstå
- dessverre
- I motsetning til
- til
- lastet opp
- Opplasting
- URL
- us
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- leverandører
- veldig
- av
- vice
- virus
- synlig
- venter
- ønsker
- advarsel
- var
- Avfall
- Vei..
- we
- web
- Nettsted
- uke
- VI VIL
- veldefinerte
- gikk
- var
- Hva
- Hva er
- uansett
- når
- når som helst
- hvilken
- mens
- HVEM
- hvorfor
- vil
- med
- uten
- ord
- Arbeid
- arbeidsflyt
- verden
- ville
- skriving
- skrevet
- Feil
- XML
- XSS
- år
- ja
- Du
- Din
- deg selv
- zephyrnet