Burp Suite to popularne narzędzie pozwalające na przeprowadzanie testów bezpieczeństwa aplikacji internetowych. Więcej na temat tego oprogramowania pisaliśmy w artykule z 2014 roku. Tymczasem badacze bezpieczeństwa z Noah Lab odkryli podatność, która pozwala na zdalne wykonanie kodu na urządzeniu użytkownika Burp Suite: Luka dotyczy wykorzystywania przez oprogramowanie bezokienkowej wersji przeglądarki…
Czytaj dalej »
W najnowszej wersji Burp Suite 2.1.01 pojawiła się obsługa WebSocket w Burp Repeater! Wykorzystajmy testową aplikację, aby zobaczyć nową funkcjonalność w akcji.
Czytaj dalej »
Przygotowaliśmy dla Was dwa filmy – o podatności XXE (weszła ona ostatnio do zestawienia OWASP Top Ten) oraz o narzędziu Burp Suite. Pierwszy film można oglądnąć / pobrać tutaj (to wersja z podłożonym głosem, po polsku). Tutaj jako eksperyment, dołączyliśmy zewnętrzne napisy (przycisk CC w prawym dolnym rogu): Drugi, dłuższy…
Czytaj dalej »
Zapraszamy na tegoroczną konferencję Semafor – to już 17 marca 2016 w Warszawie. Podczas pierwszego dnia będzie można wysłuchać naszą prezentację (hacker vs. reszta świata). Z kolei na stoisku Securitum będzie można wygrać: kilka koszulek sekuraka / gadgetów z Portswigger (twórców narzędzia burp suite) – jeśli ktoś jeszcze nie widział latarki święcącej logo…
Czytaj dalej »
Niedawno pokazano ataki na popularne javowe serwery aplikacyjne (Jboss, WebLogic, Websphere, itd), wskazując na bardziej ogólny problem – tj. z niewalidowaną deserializacją prowadzącą często do nieautoryzowanego wykonania kodu w systemie operacyjnym (problem zresztą nie dotyczy jedynie Javy). Obecnie dostępny jest nawet dodatek do popularnego narzędzia pentesterskiego burp suite, umożliwiający większą automatyzację ataków…
Czytaj dalej »
Zainteresowanym udostępniam sekurakową prezentację z konferencji Secure. Dużo było pokazów praktycznych, film z całą nagraną sesją pokaże się na stronach organizatorów w swoim czasie ;-) Jednocześnie mamy do rozdania pięć, 3 tygodniowych, pełnych licencji na Burp Suite Pro. Licencje można otrzymać pisząc maila na skrzynkę sekurkową. Można w mailu dodać…
Czytaj dalej »
Wykrywanie podatności w aplikacjach internetowych z reguły polega na enumeracji tzw. punktów wejścia, manipulowaniu żądaniami HTTP oraz analizie odpowiedzi. Skuteczność takiego przepływu pracy można zwiększyć dzięki Burp Proxy. Zobaczmy, jak z jego pomocą wykonywać podstawowe testy bezpieczeństwa web aplikacji.
Czytaj dalej »
Pośrednik HTTP analizujący ruch między przeglądarką a serwerami WWW jest podstawowym narzędziem pracy testera web aplikacji. Burp Suite – popularne akcesorium bezpieczeństwa skonstruowane wokół funkcji lokalnego proxy – jest narzędziem, koło którego żaden inżynier bezpieczeństwa nie może przejść obojętnie.
Czytaj dalej »
Portswigger to producent chyba najbardziej znanego narzędzia do testowania bezpieczeństwa aplikacji webowych – Burp Suite. Za to znalezisko wypłacono $5000 w ramach bug bounty. Co my tu mamy? Opis zaczyna się dość nietypowo: Nie zamierzałem tego zgłaszać, myślałem, że to laboratorium [do ćwiczenia podatności webowych], ale po mojej pierwszej analizie…
Czytaj dalej »
31 Marca przypada Światowy Dzień Backupu. Dzień ten jest corocznym przypomnieniem dla każdego z nas o nieocenionej wartości naszych danych cyfrowych i konieczności ich ochrony. W dzisiejszych czasach, gdy większość naszej pracy, nauki oraz osobistych wspomnień przechowywana jest w formie cyfrowej, a informacja stanowi najcenniejszy zasób, odpowiednie zabezpieczenie danych —…
Czytaj dalej »
Przeglądając Internet w poszukiwaniu ciekawych podatności, można się natknąć na niezałatane błędy, które stanowią idealny przykład dydaktyczny. Takie przykłady mało skomplikowane, a do tego podkreślają istotę problemu. CVE-2023-49785 może stać się jednym z lepszych przykładów do demonstracji wpływu SSRF (Server Side Request Forgery) na aplikację. O SSRF pisaliśmy już nie…
Czytaj dalej »
Koniec starego roku i początek nowego, to zazwyczaj czas na podsumowania. Nie da się ukryć, że w ostatnim czasie temat cyberbezpieczeństwa staje się coraz bardziej popularny, i jest to istotny aspekt życia dla coraz większej liczby ludzi. Są to zarówno prywatni użytkownicy, szukający praktycznych informacji o tym, jak skutecznie chronić…
Czytaj dalej »
Od dłuższego czasu współpracujemy w różnych obszarach z bankiem BGK, a tym razem to oni poszukują pentesterów. Jeśli tylko dobrze czujesz się w ofensywnym testowaniu aplikacji webowych i masz doświadczenie na podobnym stanowisku, czytaj dalej. W trakcie pracy będziesz atakował systemy bankowe, wspierał wdrożenia od strony bezpieczeństwa (więc również testy…
Czytaj dalej »
W czerwcu 2023 r. uruchomiliśmy nowy projekt “Akademia Sekuraka”. Pomysł polegał głównie na tym aby zaproponować Wam regularny dostęp do mega praktycznej wiedzy (jak to zawsze w sekuraku 😊). Co ważne – w cenie, która będzie akceptowalna również dla osób, które same finansują swoją edukację w zakresie bezpieczeństwa IT. Wasze…
Czytaj dalej »
Szkolenia sekuraka do końca roku. Ostatnie miejsca i wyjątkowe okazje! Zapraszamy wszystkich chętnych na nasze flagowe szkolenia, które są jednymi z najwyżej ocenianych przez uczestników w naszym portfolio. Dodatkowo do końca roku odbędą się jeszcze dwa szkolenia z bezpieczeństwa Windows i samego Active Directory. Szkolenia są aktualne, zbudowane na bazie…
Czytaj dalej »