Szybka sztuczka jak ominąć niemożność zmiany tablicy routingu w Cisco AnyConnect VPN.

Opis aplikacji utworzonej przez Google – Safen Me Up, która prezentuje nowe, ciekawe podejście do ochrony przed skutkami ataków XSS.

Artykuł poświęcony rekompilacji aplikacji na Androida. Poradnik w jaki sposób odnaleźć funkcję, której działanie chcemy zmienić, w jaki sposób podmienić jej kod i zbudować poprawny plik APK, który będzie można zainstalować na urządzeniu mobilnym.

Kolejna część tekstu o Struts2. Opis bezpośredniego dostępu do atrybutów, który może prowadzić do nieoczekiwanej zmiany działania aplikacji.

Kilka tygodni temu z ekipą Securitum zgłosiliśmy błędy bezpieczeństwa, które znaleźliśmy w opensource’owym frameworku Nuxeo. Chodziło konkretniej o trzy problemy: Path traversal w części dla niezalogowanych użytkowników, Błąd pozwalający w pewnych warunkach na wykonywanie dowolnego kodu, XXE w miejscach, gdzie parsowano XML-e. Trochę więcej informacji o błędach w oficjalnym advisory….

Malware, który ostatnio masowo przychodzi jako scam mailowy jest często niewykrywalny przez silniki antywirusów w pierwszym etapie. Nawet jeśli nasz skaner mailowy zablokował podejrzany załącznik dobrze jest przeanalizować tego typu oprogramowanie, co może dać nam odpowiedź na pytanie, czy nasza sieć była specyficznym celem danego wirusa?

Opis wykorzystania zeszłorocznej podatności z frameworku Struts: CVE-2014-0112.

Opis kolejnego XSS-a znalezionego w domenie www.google.com. Tym razem reflected XSS, który da się wykorzystać wyłącznie w Internet Explorerze.

W dniach 27 lutego – 1 marca odbył się jeden z najbardziej znanych turniejów w kalendarzu CTF – Boston Key Party Capture The Flag 2015. W tekście zaprezentowane zostaną poszczególne wyzwania z kategorii dla początkujących „School Bus” wraz z rozwiązaniami – jak się okaże, ten poziom trudności jest jak najbardziej osiągalny dla każdego z nawet niewielkim doświadczeniem programistycznym.

Obfuskacja (ang. obfuscation) to proces celowej modyfikacji kodu źródłowego w taki sposób, aby był on mniej czytelny, a rezultat jego wykonania nie zmienił się. W artykule spróbujemy odwrócić proces obfuskacji i próbować zrozumieć działanie zaciemnionego kodu.

Wszystkich czytelników Sekuraka zapraszamy na anglojęzyczne szkolenie warsztatowe „Offensive HTML, SVG, CSS and other Browser-Evil” prowadzone przez znanego badacza bezpieczeństwa aplikacji webowych – Mario Heidericha. Szkolenie organizowane jest przez Securitum.

Kilka dni temu na liście dyskusyjnej full disclosure został opublikowany błąd pozwalający na wykonanie XSS-a w kontekście dowolnej domeny w najnowszych wersjach Internet Explorera. Odkrywca błędu, David Leo, zgłosił ten błąd do Microsoftu 13 października 2014, jednak błąd nie jest wciąż poprawiony. Oryginalny PoC (proof of concept) nie był zbyt czytelny,…

Opis błędu XSS w domenie www.google.com. Historia omijania kolejnych przeszkód, by napisać kod wykorzystujący podatność, nie wymagający interakcji użytkownika.

Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród „Top 10 bug reporters 2014”. Gratulacje!

Mechanizm wyszukiwania serwera proxy (domyślnie włączony w systemie Windows) umożliwia łatwe przeprowadzenie ataku polegającego na przechwyceniu ruchu http(s) w sieci lokalnej. W artykule wyjaśnienie jak działa ten mechanizm oraz praktyczna prezentacja przeprowadzenia ataku.