Ta podatność w GitHub-ie warta jest wspomnienia ze względu na kilka różnych ciekawostek. Całość dotyczy wydawałoby się bezpiecznego mechanizmu OAuth. Ale od początku, GitHub definiuje taki URL: https://github.com/login/oauth/authorize Realizuje on dwie funkcje – jeśli dostaniemy się tam GET-em otrzymujemy ekran logowania, z kolei POST wysyłany jest w momencie kiedy użytkownik…
Czytaj dalej »
Finalny już spis treści i parametry książki dostępne są tutaj. W skrócie to grubo ponad 700 stron treści (zdecydowaliśmy się na jeden duży tom zamiast dwóch). Książka za rękę prowadzi bardziej początkujących czytelników (zobacz przykładowy rozdział o protokole HTTP), przechodząc później do bardziej zaawansowanych tematów (przegląd rozmaitych podatności, rekonesans aplikacji,…
Czytaj dalej »
Z jednej strony zeszłorocznych rewelacji Bloomberga dotyczących implantów sprzętowych nikt nie potwierdził, a wręcz było to przedmiotem pobłażliwych uśmiechów, z drugiej – mamy tanią, do wykonania nawet domowymi metodami procedurę instalacji tego typu backdoora. Od strony technicznej badacz użył taniego urządzenia Cisco ASA 5505 (oferującego funkcje: firewalla, IPSa, VPNa) kupionego na…
Czytaj dalej »
Krótką informację o pojawieniu się tego eksploita opublikowaliśmy niedawno. Obecnie pojawił się ciekawy wywiad z samym autorem, ujawniającym więcej szczegółów działania. Podsumowując: Exploit umożliwia wykonanie dowolnego kodu atakującego na poziomie BootROM-u, zawiera on w zasadzie pierwszy kod który uruchamia się po włączeniu telefonu. Wygląda to niezbyt optymistycznie, bo jak widać kontrolujemy…
Czytaj dalej »
Możesz pohackować z nami realne banki, sklepy internetowe, urządzenia IoT, wykonywać ataki socjotechniczne. Szukamy osób do pracy przede wszystkim w Warszawie (ale możliwe również inne miasta).
Czytaj dalej »
Zapraszamy Was na całodzienne wydarzenie tym razem kierowane do osób nietechnicznych. Całodniowe szkolenie Sekurak Awareness Party prowadzone jest w konwencji widowiskowych pokazów praktycznych.
Czytaj dalej »
Pełna treść decyzji dostępna jest tutaj. Całość to kopalnia interesujących informacji, skomentujemy kilka wątków. Bardzo istotnym elementem w kontekście nałożonej kary wydaje się ten fragment: Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez Spółę [UODO, poprawcie literówkę – przyp. sekurak] doraźnie dla poszczególnych procesów, w sposób…
Czytaj dalej »
Nikt wysokiej rozdzielczości zdjęć z badań nie będzie trzymał pod biurkiem. Raczej korzysta się z centralnych systemów, a centralne systemy dostępne są z Internetu (przecież jakoś trzeba te dane tam wgrać ;-). W tym badaniu pokazano podatne systemy PACS (Picture Archiving and Communication Systems) rozsiane po całym świecie. Wyniki są…
Czytaj dalej »
Dla wszystkich planujących budżet szkoleniowy na ten lub przyszły rok – zestawienie naszych szkoleń poniżej. Jako bonus – super promocja dla administracji publicznej / instytucji edukacyjnych.
Czytaj dalej »
Może ktoś jeszcze pamięta rosyjski cyber-atak na Ukrainę sprzed paru lat? (nastąpił wtedy godzinny blackout) Najnowsze doniesienia wskazują na to, że był to tylko wypadek przy pracy. Cała operacja miała na celu wyłącznie prądu na kilka tygodni czy nawet miesięcy, aktywowane w momencie przywrócenia sieci po początkowej małej awarii: In an insidious…
Czytaj dalej »
Tak twierdzi firma AdaptiveMobile Security, a atak opiera się na specjalnym oprogramowaniu wgranym na pewne karty SIM. Jak może niektórzy wiedzą, karta SIM to nie takie całkiem głupie urządzenie – posiada bowiem całkiem sporo pamięci i prosty procesor. Można tam wgrać zatem oprogramowanie – np. S@T Browser, który jest (był/jest)…
Czytaj dalej »
Dzisiaj ogłosiliśmy kolejne szkolenie przeznaczone dla programistów aplikacji webowych / testerów / wszystkich zainteresowanych bezpieczeństwem: Zaawansowane bezpieczeństwo frontendu aplikacji WWW. To kontynuacja kursu: Bezpieczeństwo frontendu aplikacji webowych. Oba szkolenia prowadzi Michał Bentkowski, badacz bezpieczeństwa, pentester w Securitum, współautor książki sekuraka o bezpieczeństwie aplikacji webowych, obecnie na pozycji 9 na googlowej liście…
Czytaj dalej »
Niewielkie GPS trackery są często wykorzystywane do śledzenia lokalizacji dzieci, zwierząt czy przedmiotów. Takie urządzenia z jednej strony mają odbiornik sygnału GPS, z drugiej strony modem GSM (+ karta SIM), który umożliwia śledzenie lokalizacji w czasie rzeczywistym. Architektura takiego rozwiązania wygląda mniej więcej tak: Jak widać producenci trackerów często udostępniają…
Czytaj dalej »
Docierają do nas pewne informacje o infekcjach RYUK-iem z polskiego podwórka. Ostatnio aktywność infekcji wzrosła też globalnie. Co jest nietypowego w tym ransomware? Najczęściej nie atakuje on na prawo i lewo tylko jest ręcznie wprowadzany do zaatakowanej organizacji: Unlike the common ransomware, systematically distributed via massive spam campaigns and exploit…
Czytaj dalej »
W tym dość ciekawym (i chyba pierwszym w swoim rodzaju) przypadku wymienia się firmę z sektora energetycznego w UK. Zwykła rozmowa telefoniczna brytyjskiego CEO, z uber-prezesem z Niemiec.
Czytaj dalej »
