Win10 – nowe zagrożenie – pliki wykonujące kod bez ostrzeżenia / potwierdzenia i blokowania przez microsoftowy AV

04 lipca 2018, 10:34 | Aktualności | komentarzy 7
Win10 – nowe zagrożenie – pliki wykonujące kod bez ostrzeżenia / potwierdzenia i blokowania przez microsoftowy AV

Na pewno nie raz widzieliście ostrzeżenie po kliknięciu na plik pobrany z Internetu (niezaufany), Microsoft też często ostrzega przed uruchomieniem linku / kodu zawartego w MS Office.  Nowe wersje MS Office wprowadzają też parę dodatkowych metod ochrony, np. uniemożliwienie uruchamiania nowych podprocesów (choćby cmd).

Czytaj dalej »

Dodawanie dowolnych nagłówków zapytania w Chrome – opis podatności CVE-2018-6148

27 czerwca 2018, 19:03 | Teksty | 1 komentarz
Dodawanie dowolnych nagłówków zapytania w Chrome – opis podatności CVE-2018-6148

W artykule opisany jest błąd CVE-2018-6148, naprawiony w Chrome 67 w wersji z dnia 6 czerwca 2018. Błąd ten pozwalał na dodawanie dowolnych nagłówków zapytania HTTP w zapytaniach cross-domenowych. Oznaczało to, że dowolna strona webowa mogła ustawić treść takich nagłówków jak np. X-CSRF-Token, Referer, User-Agent, Host czy Cookie. Inne strony webowe, z kolei, przyjmują za pewnik, że nikt nie może w przeglądarce sobie sam tych nagłówków ustawiać – co może prowadzić do problemów bezpieczeństwa.

Czytaj dalej »

Hackują elektroniczne nianie – omijanie firewalla „to nie bug – to ficzer”

22 czerwca 2018, 10:34 | Aktualności | komentarzy 5
Hackują elektroniczne nianie – omijanie firewalla „to nie bug – to ficzer”

Zaczęło się od ciekawego badania opisanego tutaj. Otóż wielu producentów urządzeń IoT (choćby kamer) daje opcję, która umożliwia bezpośrednie połączenie z Internetu (z serwera backend producenta) bezpośrednio do LAN-u klienta. Nie pomoże firewall blokujący nawiązanie połączenia z zewnątrz, bo odpowiednie pakiety przychodzą komunikacją zwrotną.

Czytaj dalej »

XSS w Google Colaboratory + obejście Content-Security-Policy

19 czerwca 2018, 22:00 | Teksty | komentarzy 6
XSS w Google Colaboratory + obejście Content-Security-Policy

W tekście opisany jest ciekawy XSS znaleziony w lutym 2018 w aplikacji Google Colaboratory. Pokazane jest nie tylko bezpośrednio, gdzie był ten XSS, ale również jakie zostały poczynione próby, by tego XSS-a znaleźć i jakie po drodze były ślepe zaułki. Ponadto, pokazany jest przykład obejścia Content-Security-Policy z użyciem tzw. script gadgets.

Czytaj dalej »
Strona 1 z 4712345...102030...Ostatnia »