-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: pentest

Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

29 grudnia 2023, 13:47 | Teksty | komentarzy 5
Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

Przeprowadzanie testów penetracyjnych wymaga użycia istniejących rozwiązań, które w sposób znaczący mogą ułatwić pracę audytora. W przypadku aplikacji internetowej cenne jest rozpoznanie struktury katalogów lub odnalezienie plików, które mogą wzbudzić zainteresowanie testera. W tym celu stosuje się takie narzędzia jak: • ffuf,• dirbuster,• gobuster. Podczas omawianego pentestu, użyłem narzędzia ffuf…

Czytaj dalej »

Ekspert bezpieczeństwa sieci w dwóch krokach (uruchamiamy nowe szkolenie: zaawansowane bezpieczeństwo sieci)

08 marca 2023, 15:06 | Aktualności | komentarze 3
Ekspert bezpieczeństwa sieci w dwóch krokach (uruchamiamy nowe szkolenie: zaawansowane bezpieczeństwo sieci)

Mamy dla Was kolejną akcję, która trwa do 20 marca 2023 roku. Na pewno zainteresuje wszystkie osoby odpowiedzialne za bezpieczeństwo (lub wdrażanie zasad bezpieczeństwa) w firmach, administratorów systemów, pracowników działów IT, czy po prostu wszystkich zainteresowanych tematyką IT security 😊 Zostań ekspertem bezpieczeństwa sieci to pakiet dwóch szkoleń (w sumie…

Czytaj dalej »

LIVE demo od sekuraka: zobacz prawdziwy atak na organizację. Exploity używane przez grupy APT, ataki sieciowe i aplikacyjne, recon, czy przenikanie kolejnych zabezpieczeń…

15 września 2020, 15:15 | Aktualności | komentarzy 29
LIVE demo od sekuraka: zobacz prawdziwy atak na organizację. Exploity używane przez grupy APT, ataki sieciowe i aplikacyjne, recon, czy przenikanie kolejnych zabezpieczeń…

To zapowiedź naszego 90-120 minutowego live demo, w którym pokażemy jak rozpoznać a następnie przejąć konkretną infrastrukturę. Będzie sporo ataków sieciowych oraz aplikacyjnych, będzie o systemach mobilnych, będzie o przenikaniu do wnętrza sieci. Będzie w końcu kilka unikalnych technik, które zobaczycie na żywo w trakcie realnego ataku na pewną organizację….

Czytaj dalej »

Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

21 lipca 2020, 15:35 | Aktualności | komentarzy 15
Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

Chyba po raz pierwszy w historii (?) możecie zobaczyć upubliczniony raport z audytu bezpieczeństwa systemu rządowego. Raport z pentestów systemu ProteGo Safe (znanego jako „aplikacja do śledzenia kontaktów w kontekście COVID-19”), dostępny jest tutaj, i obejmuje kilka obszarów: bezpieczeństwo samych aplikacji mobilnych (iOS, Android), bezpieczeństwo API, bezpieczeństwo infrastruktury, bezpieczeństwo webowej…

Czytaj dalej »

Pełen raport z realnych testów bezpieczeństwa aplikacji eventowej – bez żadnej cenzury.

10 marca 2020, 14:00 | W biegu | komentarze 4
Pełen raport z realnych testów bezpieczeństwa aplikacji eventowej – bez żadnej cenzury.

Dzisiaj mamy dla Was naprawdę wyjątkowy odcinek #vulnz. Publikujemy bowiem aż dwanaście realnych, znalezionych przez nas podatności w aplikacji eventory. Systemu używamy do obsługi naszego wydarzenia – Mega Sekurak Hacking Party (które przełożyliśmy właśnie na czerwiec 2020 – konkretna data będzie dostępna niebawem). Jak więc widzicie, zadbaliśmy również o bezpieczeństwo Waszych…

Czytaj dalej »

OpenSSH – enumeracja użytkowników – CVE-2018-15473

22 sierpnia 2018, 12:05 | Teksty | komentarzy 27
OpenSSH – enumeracja użytkowników – CVE-2018-15473

Podczas testów bezpieczeństwa infrastruktury często stajemy przed zadaniem przetestowania bezpieczeństwa serwera SSH. Jednym z podstawowych testów jest sprawdzenie odporności na ataki brute-force. W atakach tego typu znajomość poprawnych nazw użytkowników w znacznym stopniu zwiększa prawdopodobieństwo sukcesu – zamiast sprawdzać wszystkie możliwe kombinacje potencjalnych nazw użytkowników i haseł, sprawdzamy poprawność haseł tylko dla istniejących użytkowników.

Czytaj dalej »

Nmap i 12 przydatnych skryptów NSE

23 kwietnia 2018, 19:54 | Teksty | komentarze 2
Nmap i 12 przydatnych skryptów NSE

Nmap to najbardziej popularny, darmowy skaner bezpieczeństwa, którego autorem jest Gordon Lyon (a.k.a. Fyodor Vaskovich). Pierwsza wersja Nmapa została opublikowana 1. października 1997 roku w internetowym magazynie Phrack. W momencie pisania tego tekstu najnowszą wersją Nmapa jest 7.70. Wersja ta jest wyposażona w 588 skryptów NSE (Nmap Scripting Engine), które…

Czytaj dalej »

PCI-DSS – nowy dokument dotyczący testów penetracyjnych

02 kwietnia 2015, 11:24 | W biegu | 0 komentarzy

Około roku temu ukazała się wersja trzecia standardu PCI-DSS (w skrócie: standard bezpieczeństwa narzucany firmom obsługującym karty płatnicze). Teraz został opublikowany dość szczegółowy dokument opisujący jak powinny wyglądać testy penetracyjne, które opisane są w samym standardzie. Dokładnie chodzi tutaj o wymaganie 11.3: Na czerwono zaznaczyłem przy okazji informację, która mówi…

Czytaj dalej »