Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Gmail i Google+ – czyli opowieść o dwóch XSS-ach

30 kwietnia 2014, 11:03 | Teksty | 1 komentarz
Gmail i Google+ – czyli opowieść o dwóch XSS-ach

Poszukiwanie XSS-ów w ciasteczkach http jest równie uzasadnione, jak w parametrach GET czy POST. Na takie podatności szczególnie narażone są firmy, które korzystają z wielu subdomen do hostowania swoich stron, wówczas XSS z jednej domeny może być eskalowany do innej (potencjalnie o wyższej istotności). Takie poszukiwania to także świetna okazja do rozwinięcia swoich umiejętności.

Czytaj dalej »

Bezpłatne smycze i naklejki sekuraka! – update

16 kwietnia 2014, 22:18 | W biegu | komentarzy 7

Postanowiłam napisać do Wszystkich, którzy już do nas zgłosili swoje zapotrzebowanie na gadgety sekuraka. Przerosło mnie zainteresowanie akcją i odzew sympatyków portalu (1240 smyczy i 1751 naklejek). Obiecuję odpisać na każdego e-maila i własnoręcznie zaadresować każdą kopertę (choć może ograniczę się do naciskania „print” w narzędziu do korespondencji seryjnej). Musieliśmy…

Czytaj dalej »

Problemy z XXE (XML eXternal Entity)

28 marca 2014, 09:25 | Teksty | komentarzy 12
Problemy z XXE (XML eXternal Entity)

Podatności związane z XXE (XML eXternal Entity) ostatnimi czasy zdobywają coraz większą „popularność” w aplikacjach internetowych. Najczęściej wykorzystanie XXE jest sposobem na wykonanie ataku Path Traversal, czasem może jednak dawać większe możliwości. Przyjrzyjmy się tematowi z bliska.

Czytaj dalej »

Analiza kodu stron internetowych w Chrome DevTools (część 1. – wstęp)

26 marca 2014, 21:10 | Teksty | komentarzy 15
Analiza kodu stron internetowych w Chrome DevTools (część 1. – wstęp)

Analiza kodu stron internetowych może być koszmarem – mieszanina HTML/JS/CSS jest często plątaniną wielu bibliotek, kontekstów, zdarzeń oraz zmiennych, w których łatwo się pogubić. Zniechęca to nie tylko web developerów, ale również inżynierów bezpieczeństwa, do przeprowadzania szczegółowej inspekcji kodu, który zostaje zwracany przez serwer web aplikacji. Poznajmy kilka sztuczek, które ułatwią analizę elementów budujących współczesne strony internetowe.

Czytaj dalej »

Czym jest atak DDoS (cz. 3) — obrona

10 marca 2014, 19:02 | Teksty | komentarzy 6
Czym jest atak DDoS (cz. 3) — obrona

Ze względu na niezwykle dużą skalę niektórych rozproszonych ataków odmowy dostępu do usługi ochrona przeciwko nim jest bardzo trudna. Zapobieganie atakom DDoS wymaga wiele pracy administratorów, inwestycji w sprzęt i oprogramowanie, a nawet współpracę z dostawcami internetowymi oraz organami ścigania. Jest to bardzo duży koszt, na który nie mogą pozwolić sobie wszystkie firmy, a w szczególności osoby prywatne. Jak radzić sobie z takim problem?

Czytaj dalej »

Śledzenie otwierania dokumentów MS Office

27 lutego 2014, 13:32 | Teksty | komentarze 34
Śledzenie otwierania dokumentów MS Office

Wyobraźmy sobie sytuację, w której podejrzewamy, że dokumenty z firmy są wykradane, ale brak nam na to dowodów. Przygotowujemy zatem plik Worda z odniesieniem do zewnętrznego obrazka na naszym serwerze, licząc na to, że włamywacze spróbują otworzyć ten dokument. Jeżeli haczyk zostanie połknięty, otrzymamy cenną informację, że rzeczywiście plik został otwarty, dodatkowo poznając adres IP owego niepożądanego czytelnika…

Czytaj dalej »

Quick Tip – Modyfikacja ruchu sieciowego urządzeń mobilnych

26 lutego 2014, 22:30 | Teksty | komentarzy 5
Quick Tip – Modyfikacja ruchu sieciowego urządzeń mobilnych

Testując bezpieczeństwo aplikacji – w szczególności webowych – jesteśmy przyzwyczajeni do używania różnej maści monitorów sieci oraz proxy, z których pomocą analizujemy i modyfikujemy ruch sieciowy. W jaki sposób przenieść te przyzwyczajenia na grunt aplikacji mobilnych uruchamianych na urządzeniach pracujących w całkowicie innej architekturze? Bardzo prosto…

Czytaj dalej »

Python w służbie pentestera

24 lutego 2014, 21:28 | Teksty | komentarze 22
Python w służbie pentestera

Język Python to interpretowany język skryptowy obecny praktycznie we wszystkich liczących się dzisiaj systemach operacyjnych. Jego uniwersalność sprawia, że jest także jednym z częściej wybieranych przez specjalistów od bezpieczeństwa języków służących do pisania narzędzi przydatnych w tej dziedzinie.

Czytaj dalej »

Czym jest atak DDoS (cz. 2) — techniki i narzędzia

13 lutego 2014, 10:22 | Teksty | komentarzy 20
Czym jest atak DDoS (cz. 2) — techniki i narzędzia

Analiza technik ataków odmowy dostępu jest niezwykle ciekawa — z jednej strony kilka metod jest bardzo pomysłowych i skomplikowanych, z drugiej strony niezwykłą moc mają techniki bardzo prymitywne. W tej części cyklu dotyczącego ataków DDoS, poznamy podstawowe wektory ataku oraz narzędzia do testowania własnej infrastruktury przeciwko tego typu zagrożeniom.

Czytaj dalej »