Już dziś zaczyna się HackYeah, w ramach którego Michał Bentkowski poprowadzi webinar na temat atrybutu SameSite w ciasteczkach. Dowiemy się, czym ten atrybut jest, przed jakimi atakami chroni i jak powinno się go używać. Webinar zaczyna się w sobotę (4 kwietnia) o 16:00 i potrwa ok. 45 minut. Materiał będzie…

Jak szybko zarobić 75 000 dolarów? Wystarczy znaleźć błąd pozwalający na nieautoryzowany dostęp do kamerki w Safari (zarówno na macOS, jak i iOS)! A właściwie nie jeden błąd, a serię siedmiu błędów, takich jak znalazł Ryan Pickren podczas analizy bezpieczeństwa modelu uprawnień do kamery. Trzy z tych błędów były potrzebne…

Sieć hotelowa Marriott w oficjalnym oświadczeniu prasowym poinformowała wczoraj (31 marca) o wycieku danych 5,2 milionów osób. Wśród danych, które wyciekły znajdują się m.in. dane osobowe (imię, nazwisko, mail, numer telefonu) czy dane dotyczące programów lojalnościowych. Według informacji, na obecnym etapie śledztwa nie ma podstaw, by uważać, że wyciekły hasła,…

Szukanie błędów bezpieczeństwa w aplikacjach i analiza tych, które znaleźli inni, to zdecydowanie rzeczy, które lubię robić najbardziej. Na Sekuraku (i nie tylko) wiele takich błędów miałem okazję już opisywać. Stąd narodził się pomysł, by zamienić to w cyklicznego streama w ramach Sekurak.tv: bug of the week! Począwszy od 9…

Kilka tygodni temu było głośno o podatności CVE-2020-0796 (pisaliśmy też o niej na Sekuraku), ze względu na to, że Microsoft ogłosił informację o podatności, ale… początkowo zapomniał wydać łatkę (i zrobił to dopiero kilka dni później)! Dzisiaj na GitHubie pojawił się exploit, wykorzystujący tę podatność do lokalnej eskalacji uprawnień. Innymi…

„Dziękujemy za bycie lojalnym klientem Best Buy. W nagrodę wysyłamy kartę prezentową na 50$. Te pieniądze możesz wydać na dowolny produkt z listy przesłanej na pendrive” – taką wiadomość w skrzynce pocztowej znaleźli pracownicy pewnej firmy, razem ze wspomnianą kartą prezentową i pendrivem, jak podaje TrustWave. W rzeczywistości pendrive był…

Kilka dni temu zostało wydane narzędzie Runtime Mobile Security (RMS), wspomagające testy bezpieczeństwa aplikacji mobilnych na Androida. Lista jego funkcjonalności: Możliwość śledzenia wywoływania metod Javy, Możliwość podpinania się pod wykonywane metody Javy, Logowanie argumentów i zwracanych wartości, Wykonywanie własnego kodu JS, Śledzenie nowych klas, załadowanych przez aplikacje. Narzędzie opiera się…

OpenWRT to popularne otwartoźródłowe oprogramowanie, używane często w miejsce oryginalnego oprogramowania na routerach różnych producentów. Wczoraj Guido Vranken opublikował opis błędu, który zidentyfikował w procesie instalacji oprogramowania, który może skutkować możliwością wykonania dowolnego kodu po stronie urządzenia (CVE-2020-7982). Praktyczny atak będzie jednak wymagał wcześniejszego przeprowadzenia Man-in-the-middle co nieco zmniejsza krytyczność…

Wczoraj poprowadziłem na YouTube stream na temat rozpoczęcia przygody z bezpieczeństwem IT. Nagranie ze streamu jest już dostępne. W trakcie streamu tworzyłem na bieżąco mapę myśli z różnymi możliwymi ścieżkami w bezpieczeństwie IT, którą załączam poniżej. Jeśli macie jakieś dodatkowe pytania lub uwagi dotyczące tematyki ze streamu, piszcie komentarze :)…

Dzisiaj w serii #vulnz, ciekawy błąd (CVE-2020-10558) znaleziony ostatnio przez @Nuzzl2 w samochodzie Tesla Model 3. Krótko mówiąc: z poziomu ekranu w samochodzie można uruchomić przeglądarkę webową, którą podatna jest błąd typu DoS. W wyniku przejścia na specjalnie spreparowaną stronę internetową, możliwe było całkowite zajęcie zasobów procesora, w wyniku czego zablokowane były wszystkie…

Dzisiaj w serii #vulnz: bruteforce hasła to jeden z najprostszych ataków, jakie można przeprowadzać na aplikacje webowe, a zarazem nadal zadziwiająco skuteczny. Polega w największym skrócie na tym, że dla zadanej nazwy użytkownika próbujemy masowo zgadywać jego hasło. Przykładowo, jeśli strzelimy, że nazwą użytkownika jest admin, możemy następnie próbować zgadywać…

W dzisiejszym odcinku z serii #vulnz omówimy ciekawy błąd znaleziony przez @xdavidhu (David Schütz) w pewnym wyrażeniu regularnym, które weryfikowało poprawność nazwy domeny w wielu usługach Google. Wszystko zaczęło się od tego, że David natrafił na stronę pod następującym adresem URL: https://console.developers.google.com/henhouse/?pb=[„hh-0″,”gmail”,null,[],”https://developers.google.com”,null,[],null,”Create API key”,0,null,[],false,false,null,null,null,null,false,null,false,false,null,null,null,null,null,”Quickstart”,true,”Quickstart”,null,null,false] Dalej będziemy tę stronę nazywać henhouse (jak…

Kilka miesięcy temu zgłosiłem błąd bezpieczeństwa w Firefoksie związany z przetwarzaniem CSS-ów, który dostał identyfikator CVE-2019-17016. W trakcie pracy nad tym błędem, udało mi się wymyślić nową technikę eksfiltracji danych w Firefoksie przez jeden punkt wstrzyknięcia, którym podzielę się w tym poście.

W tym tekście opisuję XSS, który znalazłem w sierpniu 2019 w usłudze AMP4Email udostępnianej przez Google od jakiegoś czasu w GMailu. Ten XSS jest ciekawym przykładem wykorzystania techniki znanej jako Dom Clobbering

Podstawowym mechanizmem obronnym nowoczesnych przeglądarek jest Same-Origin Policy. Z reguły jego istnienie jest dla nas bardzo ważne, gdyż eliminuje ono szereg potencjalnych problemów bezpieczeństwa. Czasem jednak chcielibyśmy delikatnie rozluźnić tą politykę. Jednym ze sposobów na to jest mechanizm Cross-Origin Resource Sharing (zwany zwyczajowo po prostu CORS) – zapewnia nam on możliwość bezpiecznej…