Jeszcze nie przycichła afera z backdoorem w Juniperach, a tym czasem odkryto zahardkodowane hasło do ssh na urządzeniach Fortineta.

Wykorzystanie błędów w oprogramowaniu antywirusowym nie musi być wcale trudne. Tavis Ormandy pokazał tym razem krytyczny błąd w antywirusie TrendMicro. Oprogramowanie to domyślnie instaluje komponent Password Manager. Ten z kolei otwiera na localhost, port 49155. Jednak usługa działająca na tym porcie jest podatna na zdalne wykonanie kodu. Proof of Concept: Wystarczy…

Właściciele wielu serwisów proszą o wyłączenie rozmaitych adblockerów, ale jednocześnie starają się odpowiednio cenzurować hasło: malvertising. Niedawno tego typu historia przydarzyła się na serwisie Forbes: On arrival, like a growing number of websites, Forbes asked readers to turn off ad blockers in order to view the article. After doing so, visitors…

O bezpieczeństwie node.js pisaliśmy jakiś czas temu. Zainteresowanych tematem polecam projekt: DVNA (Damn Vulnerable Node Application) – czyli specjalnie podatną aplikacją przygotowaną w node.js (oczywiście na potrzeby ćwiczenia poszukiwania podatności – na realnym celu…). –ms

IESG (The Internet Engineering Steering Group) zaakceptowało kod odpowiedzi serwera HTTP – 451 i przekazało do dalszej standaryzacji. Warto jednak zaznaczyć, że nazwa kodu została opisana w bardziej eufemistyczny sposób niż w tytule naszego posta, tj.: „451 unavailable”: Error 451 is a new error code that we want ISPs to show when people visit…

Ukazało się kolejne wydanie “Programisty”, które tym razem w dużej mierze poświęcone jest tematyce systemów operacyjnych. Tytułowy artykuł wydania “Piszemy własny RTOS” porusza specyficzną tematykę tworzenia nietypowych systemów embedded. Samolot czy nawet łazik marsjański to urządzenia, które nie mogą zawieść. Systemy operacyjne kontrolujące tego typu urządzenia muszą być z definicji…

(podatny) Flash wciska się wszędzie… Tym razem okazuje się że Outlook automatycznie uruchamia  Flasha w przypadku kiedy użytkownik użyje podglądu e-maila lub otworzy odpowiednio spreparowaną wiadomość (ale nie ma konieczności otwierania żadnych załączników!). Co więcej istnieje możliwość ominięcia mechanizmu Sandbox, w którym Outlook stara się otwierać zewnętrzne zasoby. Korzystając zatem…

Kerberos jest niełamalny? To często powtarzany mit, a autor tego poradnika skutecznie go obala. –ms  

Wydawcy piszą o nim tak: Wiodące artykuły grudniowego wydania „Linux Magazine” poświęcone są usługom chmurowym – zawierają porównanie dostępnych na rynku usług chmurowych, wprowadzenie do Apache CloudStacka i propozycję darmowego oprogramowanie do przechowywania plików w chmurze Pydio; na DVD znajduje się Tails – dystrybucja utrudniająca śledzenie użytkowników w internecie. Wewnątrz…

Developerzy (i użytkownicy) Joomli nie mają ostatnimi czasy lekko, tym razem pokazał się 0-day (a w zasadzie był takim przez ostatnie parę dni) umożliwiający zdalne wykonanie kodu na serwerze. Podatność co ciekawe była wykorzystywana przez odpowiednie ustawienie nagłówka User-Agent w przeglądarce (czy skrypcie) atakującego. Luka została oczywiście oznaczona jako Critical, a…

Zapraszamy na IX edycję konferencji SEMAFOR2016 – Forum Bezpieczeństwa i Audytu IT, organizowaną przez: ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld.

Tym razem trochę hackowania na żywo będzie można zobaczyć 8 grudnia, w siedzibie firmy Cognifide (w ramach spotkania grupy testerskiej ptaq). Jesteśmy tam z praktyczną prezentacją o testach penetracyjnych, gdzie będzie można zobaczyć na żywo (i to na realnych aplikacjach, a jak) kilka nieszablonowych podatności. Nieszablonowych, ale… jestem niemal pewny, że…

W ramach już stałego patronatu polecamy zerknięcie na nowy numer magazynu „Programista„, gdzie mamy też swój akcent – w tym numerze  Michał Bentkowski pisze o o podatności Server-Side Request Forgery. Od wydawcy: W nowym wydaniu magazynu „Programista” po raz kolejny pojawił się wywiad z nieregularnego cyklu rozmów z istotnymi osobami ze…

Jak donosi Guardian i inne serwisy nowa generacja lalek Barbie, może zostać shackowana. Produkt Hello Barbie z wykorzystaniem wbudowanego interfejsu WiFi wysyła głos z mikrofonu na serwery, gdzie zostaje on poddany procesowi rozpoznania i generowana jest 'adekwatna’ odpowiedź. Problem w tym, że jak mówi badacz o przyjaźnie brzmiącym nazwisku –…

Microsoft i Nokia włożyły dużo wysiłku w zabezpieczenie swoich smartfonów Lumia przez rootowaniem. Jednak nici z tego. Narzędzie Windows Phone Internals umożliwia niskopoziomowy dostęp do telefonu na poziomie root czy wręcz sflaszowanie całości urządzenia zupełnie innym obrazem systemu operacyjnego – Android na Lumii – czemu nie? ;-). W oryginale: This tool…