Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Aktualności

„Pomożemy Panu wypłacić bitcoiny” – mamy filmik z nagraniem oszustwa:

17 września 2021, 11:33 | W biegu | komentarzy 6

Na Sekuraku zazwyczaj publikujemy artykuły, w których opisujemy mniej lub bardziej skomplikowane błędy bezpieczeństwa i ostrzegamy przed nimi. Tym razem, dzięki życzliwości naszego czytelnika i zarazem szkoleniowca, Grzegorza Tworka, możemy przedstawić Wam nietypowy wariant popularnego oszustwa „na AnyDesk”. W omawianym przez nas przypadku przestępca dzwoni do ofiary, informując ją o…

Czytaj dalej »

Zapraszamy na szkolenie omawiające najnowszy dokument OWASP Top Ten. Masa praktyki i tylko świeża wiedza :-)

17 września 2021, 09:48 | Aktualności | 1 komentarz
Zapraszamy na szkolenie omawiające najnowszy dokument OWASP Top Ten. Masa praktyki i tylko świeża wiedza :-)

Jeśli już po tytule uznaliście, że jest to coś dla Was – do 22.09.2021r. można zapisać się na to szkolenie bezpłatnie! Wystarczy, że przy wyborze biletu standard użyjecie kodu rabatowego: sekurak-owasp Jeśli potrzebujecie dużo bezpłatnych biletów (z certyfikatem uczestnictwa) dla Waszej firmy – poproście Waszego przełożonego lub dział HR o…

Czytaj dalej »

Udało im się wstrzyknąć fejkowego newsa o współpracy Walmarta z Litecoin. Kurs LTC poszybował o 20%

17 września 2021, 08:50 | W biegu | 0 komentarzy
Udało im się wstrzyknąć fejkowego newsa o współpracy Walmarta z Litecoin. Kurs LTC poszybował o 20%

Temat relacjonuje Bitdefender. Najpierw komuś udało się przemycić fejkowego newsa do serwisu GlobalNewsWire. Stamtąd podchwycił temat CNBC czy nawet Reuters. O dziwo informację zretweetował nawet sam Litecoin: Jak można się domyślić, od dużych serwisów newsowych, dużo innych serwisów newsowych zaczęło kopiować informację, co spowodowało skokowy wzrost wartości LTC o około…

Czytaj dalej »

Bitdefender opublikował dekryptor ransomware’a REvil

17 września 2021, 08:38 | W biegu | 0 komentarzy
Bitdefender opublikował dekryptor ransomware’a REvil

Szantażowanie firmy Apple, atak na największego dostawcę mięsa na świecie (JBS) czy incydent z Acerem – REvil z pewnością można zaliczyć do jednej z najskuteczniejszych grup ransomware’owych ostatnich lat. Dobra passa grupy została jednak przerwana za sprawą głośnego wydarzenia związanego z oprogramowaniem Kaseya, w wyniku którego dane 200 firm zostały…

Czytaj dalej »

Snapchat: można było się zalogować na dowolnego użytkownika, znając jedynie jego user_id (podatność warta ~100000 zł)

16 września 2021, 19:55 | W biegu | 0 komentarzy
Snapchat: można było się zalogować na dowolnego użytkownika, znając jedynie jego user_id (podatność warta ~100000 zł)

Szczegóły możecie zobaczyć tutaj. Samo wykorzystanie podatności było banalne: najpierw wylogowujemy się (z listingu usunięto nieistotne w kontekście tekstu nagłówki), podmieniając user_id na ten ofiary. W odpowiedzi HTTP otrzymujemy token. POST /scauth/otp/droid/logout HTTP/1.1Host: gcp.api.snapchat.com {„user_id”:”████”,”device_id”:”███████”,”device_name”:”███████”} HTTP/1.1 200 OK {„status”:”SUCCESS”,”user_id”:”█████████”,”token”:”█████”,”expiry_hint”:████} Teraz wystarczyło zalogować się, podając dodatkowo w żądaniu zdobyty token i…

Czytaj dalej »

OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux

16 września 2021, 19:18 | W biegu | 0 komentarzy
OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux

W ciągu ostatnich kilku lat sporo mówi się o szeroko rozumianym cloud security (bezpieczeństwo w chmurze). Metodyka ta z pewnością niesie za sobą wiele zalet – wszak ochronę naszych danych powierzamy firmom z wielomilionowymi budżetami. Problem pojawia się wtedy, gdy ci, którzy się tego podjęli, nie do końca radzą sobie…

Czytaj dalej »

Microsoft udostępnił łatkę krytycznej podatności w Microsoft Office (CVE-2021-40444)

15 września 2021, 18:46 | W biegu | 1 komentarz
Microsoft udostępnił łatkę krytycznej podatności w Microsoft Office (CVE-2021-40444)

Tydzień temu informowaliśmy Was o krytycznej podatności w Microsoft Office (CVE-2021-40444), która umożliwia zdalne wykonanie kodu na urządzeniu ofiary: Co prawda domyślny tryb Protected View w MS Office jest w stanie skutecznie ochronić nasze urządzenie przed atakiem, lecz, zdaniem badaczy bezpieczeństwa, mechanizm ten można obejść na co najmniej kilka sposobów…

Czytaj dalej »

Najnowszy iOS łata podatność 0day wykorzystywaną przez Pegasusa. Łatajcie.

14 września 2021, 08:23 | W biegu | komentarzy 14
Najnowszy iOS łata podatność 0day wykorzystywaną przez Pegasusa. Łatajcie.

W sierpniu informowaliśmy Was o exploicie FORCEDENTRY, który umożliwiał operatorom Pegasusa zdalne zainfekowanie urządzenia ofiary przy użyciu spreparowanej wiadomości iMessage: Wyżej wymieniona podatność została załatana w najnowszej aktualizacji iPhone’a (iOS 14.8) oraz iPada (iPadOS 14.8): Oprócz luki FORCEDENTRY naprawiono również błąd typu use after free w WebKit, pozwalający na zdalne…

Czytaj dalej »

Europejski Miesiąc Cyberbezpieczeństwa – mamy dla Was garść propozycji

13 września 2021, 19:11 | Aktualności | komentarze 3
Europejski Miesiąc Cyberbezpieczeństwa – mamy dla Was garść propozycji

Jeśli nie słyszeliście jeszcze o Europejskim Miesiącu Cyberbezpieczeństwa – tutaj nieco więcej szczegółów. W ramach akcji proponujemy Wam kilka wydarzeń kierowanych zarówno do osób technicznych (IT) jak i pracowników biurowych. Część wydarzeń dostępna jest w formie otwartej (tj. możecie zapisać się sami), a wszystkie w formie zamkniętej (realizacja dla zamkniętych…

Czytaj dalej »

„30% Twoich środków na rachunku ROR zostanie upaństwowionych”. Nowe oszustwo.

10 września 2021, 10:26 | W biegu | komentarzy 5
„30% Twoich środków na rachunku ROR zostanie upaństwowionych”. Nowe oszustwo.

Pełna treść SMSa rozsyłanego przez oszustów wygląda tak: Nowy Ład, centralizacja, „ratowanie gospodarki narodowej” i na koniec upaństwowienie 30% wartości konta. Przedsiębiorca torpedowany z każdej strony takimi informacjami może w pierwszym odruchu bezsilności przelać pieniądze, na co liczą przestępcy. Zauważcie, że SMS wygląda jak wysłany z banku ING, jest też…

Czytaj dalej »

Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili w imieniu ofiary duplikat karty SIM…

10 września 2021, 09:33 | W biegu | komentarze 34
Mieszkance powiatu lubartowskiego skradziono z konta 300 000 zł. Wyrobili  w imieniu ofiary duplikat karty SIM…

O akcji donosi Policja, uzupełniając materiał o filmik, ukazujący wypłatę części skradzionych środków przez osobę zamieszaną w przestępstwo. Jak do tego doszło? Zacznijmy od końca. Powiedzmy, że ktoś posiada dane logowania do bankowości ofiary – nazwijmy ją roboczo panią Matyldą. Czy przestępca może przelać wszystkie pieniądze na swoje konta? No…

Czytaj dalej »

Zdalne wykonanie kodu w Burp Suite, czyli jak zhakować hakera

09 września 2021, 10:28 | W biegu | komentarze 3
Zdalne wykonanie kodu w Burp Suite, czyli jak zhakować hakera

Burp Suite to popularne narzędzie pozwalające na przeprowadzanie testów bezpieczeństwa aplikacji internetowych. Więcej na temat tego oprogramowania pisaliśmy w artykule z 2014 roku. Tymczasem badacze bezpieczeństwa z Noah Lab odkryli podatność, która pozwala na zdalne wykonanie kodu na urządzeniu użytkownika Burp Suite: Luka dotyczy wykorzystywania przez oprogramowanie bezokienkowej wersji przeglądarki…

Czytaj dalej »

OWASP Top 10 – edycja 2021. Idą duże zmiany.

09 września 2021, 09:39 | Aktualności | 0 komentarzy
OWASP Top 10 – edycja 2021. Idą duże zmiany.

OWASP Top Ten to często pierwszy dokument polecany osobom, które chcą bezboleśnie rozpocząć swoją przygodę z bezpieczeństwem aplikacji webowych. To 10 najistotniejszych kategorii problemów bezpieczeństwa w aplikacjach webowych: The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the…

Czytaj dalej »

McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

08 września 2021, 18:51 | W biegu | 0 komentarzy
McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

Monopoly VIP to gra udostępniana klientom McDonalda w Wielkiej Brytanii. W skrócie można wpisać tam kod dostępny po zakupie produktów i dzięki temu wygrać nagrody. Część osób, która rzeczywiście je wygrała, dostała w informującym o fakcie e-mailu pewien bonus: dane logowania do produkcyjnej/stagingowej bazy danych: Hasło do bazy w treści…

Czytaj dalej »

Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

08 września 2021, 17:00 | W biegu | 0 komentarzy
Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

Jeśli interesują Was szkolenia dedykowane programistom/testerom/pentesterom to zapraszamy do odwiedzenia naszego nowego projektu: Securitum Web Lab (https://weblab.securitum.pl/). Bezpieczeństwo frontendu aplikacji webowych to jedno ze szkoleń, które tam Wam proponujemy. Prowadzi je Michał Bentkowski, topowy pentester i badacz bezpieczeństwa – który do samego Google zgłosił przeszło 20 podatności, za które otrzymał…

Czytaj dalej »