Zainteresowanym udostępniam sekurakową prezentację z konferencji Secure. Dużo było pokazów praktycznych, film z całą nagraną sesją pokaże się na stronach organizatorów w swoim czasie ;-) Jednocześnie mamy do rozdania pięć, 3 tygodniowych, pełnych licencji na Burp Suite Pro. Licencje można otrzymać pisząc maila na skrzynkę sekurkową. Można w mailu dodać…

W jesienno-zimowym okresie zapraszamy na kilka szkoleń Securitum, organizowanych tym razem w większości w Warszawie: Akredytowane szkolenie przygotowujące do egzaminu CEHv8 (Certified Ethical Hacker). Ostatnie dwie grupy – wrześniowa i październikowa – były pełne :) A formuła zawierająca (poza materiałami EC-Council) masę praktyki – zdecydowanie się sprawdza (opinie uczestników w…

Na polskiej scenie wydarzeń dotyczących bezpieczeństwa teleinformatycznego pojawiła się nowa, warta uwagi pozycja. Mowa o konferencji Advanced Threat Summit. Sami organizatorzy (ISSA Polska oraz Evention) piszą o wydarzeniu tak: To jedyna tego typu konferencja, tak mocno sprofilowana i dotyczącą wyłącznie zagadnień spod znaku APT, DDoS oraz bezpieczeństwa aplikacji webowych. Choć…

Od pewnego czasu pytacie o dział Q&A – działający wg schematu: zadajecie pytanie, my je publikujemy, nasi czytelnicy odpowiadają / doradzają. Dzisiaj czas na pierwszy tego typu eksperyment, a zaczyna go Michał Margula (zresztą autor jednego z pierwszych tekstów na sekuraku), pytaniem: No właśnie czy ktoś z Was ma doświadczenia…

Zapraszamy na 18. edycję konferencji Secure, odbywającą się dniach 22-23.10.2014 w Warszawie. W zeszłym roku sekurak był na niej obecny z prezentacją, która okazała się małą bombą ;-)

Na rynku książek oferujących pomoc osobom zajmującym się monitoringiem bezpieczeństwa coraz lepiej. Niedawno wydana została książka „Applied Network Security Monitoring: Collection, Detection, and Analysis”.

Wykrywanie podatności w aplikacjach internetowych z reguły polega na enumeracji tzw. punktów wejścia, manipulowaniu żądaniami HTTP oraz analizie odpowiedzi. Skuteczność takiego przepływu pracy można zwiększyć dzięki Burp Proxy. Zobaczmy, jak z jego pomocą wykonywać podstawowe testy bezpieczeństwa web aplikacji.

Jakiś czas temu, zainspirowany przez sekuraka, postanowiłem zabawić moich kolegów z zespołu w pracy i zorganizować CTF. Jednym z etapów było rozszyfrowanie tokena zaszyfrowanego przy pomocy AES w trybie CBC. Token można było wprowadzić na stronie podatnej na atak padding oracle.

Jeśli posiadasz doświadczenie w realizacji testów penetracyjnych i podoba Ci się wiedza publikowana na sekuraku, zapraszam do zespołu pentesterów Securitum.pl.

Kilka dni temu Stefan Esser opublikował ciekawy wpis będący Proof of Concept nowej podatności zlokalizowanej w silniku PHP. Stefan pokazał jak w PHP wykorzystać funkcję (czy raczej błąd w funkcji) phpinfo() aby wyciągnąć dane binarne z pamięci serwera. Wykorzystanie podatności wymaga możliwości uruchomienia skryptu z phpinfo() na serwerze. Jeśli to…

Nowy konkurs na najlepszy tekst o bezpieczeństwie – tym razem do wygrania 2x oficjalne materiały przygotowujące do certyfikatu CHFI (Computer Hacking Forensic Investigator) + voucher na egzamin. Trzecia nagroda – bezpłatny udział w szkoleniu Securitum.

Ostatnio pisaliśmy o ciekawym projekcie na kickstarterze (półinteligentny grill)… i od tego czasu opisywany start-up wprowadził do sprzedaży miniaturowe urządzenie tego typu!

Zostało już niewiele czasu do szkolenia przygotowującego do CEHv8 organizowanego przez Securitum. Przez 5 dni (23-27.06) będziemy intensywnie akumulować wiedzę (w zasadzie to już zaczęliśmy – uczestnicy otrzymali pakiet wiedzy do samodzielnej nauki jeszcze przed szkoleniem). Sam kurs, poza materiałem wymaganym na egzaminie, zawiera dużo praktyki a także kilka niespodzianek:…

Na zaproszenie blogerów-prawników, niecały tydzień temu, prezentowałem temat dotyczący bezpieczeństwa systemów mobilnych („ochrona danych na urządzeniach mobilnych”). Prezentacja w PDF do pobrania.

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej. Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops. Wprawdzie po…