Git to bezdyskusyjnie jeden z najpopularniejszych systemów zarządzania wersjami. Zaadoptowany przez wiele organizacji (np. GitHuba) doczekał się wsparcia w postaci różnych narzędzi, takich jak GitHub Desktop czy Git LFS. To z kolei pociągnęło za sobą konieczność współdzielenia poświadczeń użytkownika. Niestety nie wszystkie sprawdzenia dokonywane były z należytą starannością i badacz…

Czy jeden i ten sam QR-kod, skanowany na tym samym urządzeniu i tym samym oprogramowaniem, może prowadzić do różnych stron? Okazuje się, że tak. Christian Walther zaprezentował QR-kod, który może być odczytany jako dwie różne, prawidłowe wartości. Bez żadnych dodatkowych elementów, które zmieniają jego wygląd. TLDR: Wcześniej podobne tricki były…

MasterCard wykorzystuje serwery DNS firmy Akamai. Rozszerzenie adresu domenowego tych serwerów to “akam.net”. Jednak jak zauważył Philippe Caturegli, od czerwca 2020 roku jeden z serwerów wskazanych jako obsługujące domenę az.mastercard.com był wpisany z literówką – akam.ne, czyli zabrakło litery t. TLDR: Krajowa TLD o rozszerzeniu .ne została przypisana do Nigru, kraju…

O niektórych osiągnięciach Sama Curry’ego pisaliśmy niejednokrotnie. Tym razem Curry wspólnie z Shubham Shah zaprezentowali, jak mogli przejąć zdalną kontrolę nad dowolnym samochodem marki Subaru, wyposażonym w system STARLINK, na terenie Japonii, Kanady i Stanów Zjednoczonych.  TLDR: STARLINK to nazwa systemu, który pozwala zarządzać multimediami (np. uruchamiać aplikacje multimedialne, podłączyć…

Badacze z firmy Socket opisali analizę złośliwego pakietu PyPI, który na celownik wziął programistów i twórców botów wykorzystujących Pythona do integracji z Discord. Pakiet o nazwie pycord-self imitował istniejący prawdziwy pakiet discord.py-self. Złośliwy odpowiednik pojawił się w czerwcu 2024 i został od tego czasu pobrany blisko 900 razy. TLDR: Autorzy złośliwego pakietu zadbali…

27 stycznia br. startujemy z nowym semestrem Sekurak.Academy. To już czwarty semestr naszego najpopularniejszego projektu, który do tej pory zgromadził ponad 11 000 osób! W pierwszym półroczu 2025 roku przygotowaliśmy dla naszych uczestników minimum 17 szkoleń, a także szereg zmian, które wychodzą naprzeciw oczekiwaniom kursantów. I. ZMIANY Zanim przejdziemy do…

O tym, że profesjonaliści zajmujący się bezpieczeństwem powinni z należytą dbałością weryfikować wykorzystywane narzędzia pisaliśmy już nie raz. Ostatnio temat ten został przytoczony omawiając przypadek domeny linpeas.sh. Dzisiaj znów wyciągniemy wnioski z cudzych błędów, a laboratoryjnym przykładem nie będą pentesterzy, a czarne kapelusze (ang. black hat). Jednak morał płynący z…

Autor znaleziska (posługujący się nickiem tim.sh) podzielił się swoimi spostrzeżeniami na temat szeroko zakrojonej kampanii fałszywych tutoriali na platformie YouTube (przykładowo: https[:]//youtu[.]be/Jig3Hb-y3yo). Autor “tutoriala” (dołączamy się do ostrzeżenia, aby pod żadnym pozorem nie postępować zgodnie z krokami przedstawionymi na wideo) nakłania ofiary do zasilenia swojego portfela, a następnie sugeruje przeklejenie…

Nuclei to szybki skaner podatności, który pozwala na łatwe rozszerzanie jego możliwości oraz współpracę z innymi użytkownikami za sprawą plików YAML, które definiują tzw. szablony (ang. templates). To przy pomocy szablonów można definiować nowe wzorce podatności. Przykładowy, dobrze prowadzony zbiór takich plików YAML jest utrzymywany przez społeczność i można go…

Jak efektywnie monitorować zdarzenia w sieci, jakiego narzędzia użyć – to kwestie, nad którymi zastanawia się niejeden admin pracujący w firmie lub organizacji rządowej/samorządowej. Szczególnie teraz, wobec rosnących wymagań związanych z bezpieczeństwem cybernetycznym i koniecznością zgodności z dyrektywą NIS2, sprostanie wyzwaniom związanym z monitorowaniem i rozliczaniem infrastruktury IT należy do…

Zaczynają się pojawiać informacje o podatności CVE-2024-8474 dotykającej OpenVPN Connect do wersji 3.5.0 (włącznie)  – darmowego, wieloplatformowego klienta rozwijanego przez OpenVPN Inc. Wedle opublikowanych zgłoszeń, logi aplikacyjne mogą zawierać profil konfiguracyjny oraz przede wszystkim, niezaszyfrowany klucz prywatny użytkownika. Podatność wyceniono na 7.5 w skali CVSS.  Atakujący posiadający dostęp do takowych…

Cyberprzestępcy nieustannie rozwijają swoje metody działania, wykorzystując zaawansowane technologie i socjotechniki, by osiągać swoje cele. W świecie, w którym nasze dane, finanse i działalność zawodowa są coraz bardziej uzależnione od technologii, ignorowanie zagrożeń w sieci to luksus, na który nie możemy sobie pozwolić. Co jednak możemy zrobić, by skutecznie się…

Ataki na łańcuch dostaw nie są nowością w świecie IT security. Od książkowego Solarwinds, przez legendarny backdoor w SSH,  po ataki na infrastrukturę służącą do publikacji paczek Pythona – ten rodzaj zagrożenia wciąż powinien być traktowany poważnie. Zwłaszcza, że wykorzystywane są coraz bardziej pomysłowe sposoby na przemycenie niechcianego kodu do…

W ostatnim Patch Tuesday, Microsoft załatał w sumie 16 krytycznych podatności. Wśród błędów znalazły się trzy krytyczne podatności dotyczące LDAP (Lightweight Directory Access Protocol). Najpoważniejsza (wynik CVSS 9,8) podatność została oznaczona CVE-2024-49112. TLDR: Błąd ten pozwala nieuwierzytelnionemu, zdalnemu atakującemu na wykonanie poleceń w kontekście serwisu LDAP. Atak na podatny serwer…

Przestępcy w dość nietypowy i interesujący sposób zaczęli wykorzystywać podatność w niezbyt popularnej (ponad 10 tys. pobrań) wtyczce WordPressa o nazwie Hunk Companion. Podatność, oznaczona CVE-2024-11972 (wynik CVSS 9,8) pozwala nieautoryzowanemu atakującemu na… instalację i aktywację innych wtyczek z repozytorium WordPress.org. TLDR: Na pierwszy rzut oka nie wygląda to może przerażająco, jednak pobierać, instalować i uruchamiać…