W artykule opisane są trzy błędy typu XSS znalezione w ramach bug bounty firmy Google. Wszystkie błędy były możliwe dzięki wykorzystaniu nowych cech standardu ECMAScript.
Czytaj dalej »
Na Black Friday mamy dla Was kilka ciekawych promocji, a na deser – info o Sekurak Hacking Party.
Czytaj dalej »
… najczęstsze problemy bezpieczeństwa występujące w aplikacjach mobilnych; do tego narzędzia umożliwiające zmiany aplikacji „w locie”, dostęp do wrażliwych danych na telefonach i wiele, wiele więcej. Takie rzeczy prezentuje Michał Bentkowski na naszym szkoleniu warsztatowym z bezpieczeństwa aplikacji mobilnych. Szkolenie odbywa się pod koniec listopada w Warszawie, a podając hasło…
Czytaj dalej »
W tym artykule dowiemy się na przykładzie aplikacji na systemy macOS – BetterZip – jak XSS może posłużyć do wykonania dowolnego kodu na komputerze.
Czytaj dalej »
W tekście pokazane są dwa sposoby na wykradanie danych za pomocą wstrzyknięć CSS-ów: jeden z nich pozwala na wydobywanie danych zaszytych w atrybutach elementów HTML, drugi zaś pozwala wyciągnąć praktycznie dowolną treść ze strony.
Czytaj dalej »
Właśnie odświeżyliśmy nasze warsztaty z bezpieczeństwa aplikacji webowych i mamy tu dla Was najbardziej rozbudowaną ścieżkę szkoleniową, dostępną w Polsce :-) Z tej okacji proponujemy promocję – uczestnictwo we wszystkich trzech szkoleniach, w cenie dwóch. Jeszcze inaczej – to połowa ceny szkolenia u jednej z naszych konkurencji.
Czytaj dalej »
Opis frameworku Frida, pozwalającej wstrzykiwać się w istniejące procesy na urządzeniach mobilnych, a następnie śledzić lub zmieniać ich działanie. W artykule pokazano to na przykładzie podmiany działania metody sprawdzającej poprawność certyfikatu SSL.
Czytaj dalej »
W tym artykule pokazuję sposób, w jaki jeszcze niedawno można było przeprowadzić „spoofing” paska adresu w przeglądarkach Chrome i Firefox. Innymi słowy – sprawić, by domena wyświetlana w pasku adresu przeglądarki nie była tą, na której użytkownik rzeczywiście się znajduje. W konsekwencji atak można wykorzystać do phishingu, np. w celu kradzieży danych użytkownika.
Czytaj dalej »
Analiza incydentów bezpieczeństwa, jak sensownie podejść do GDPR/RODO, bezpieczeństwo aplikacji webowych, praktyczne wprowadzenie do bezpieczeństwa, czy budowanie świadomości dla pracowników nietechnicznych…
Czytaj dalej »
CONFidence 2017 tuż, tuż…:-) Już jutro czeka nas spotkanie pełne hakerskich wyzwań, rozmów o tym co nowego w świecie security, czego baliśmy się ostatnio, czego bać się będziemy niedługo :P W tym roku będziemy szczególnie licznie reprezentowani na tym wydarzeniu bo: 1. W czwartek o 10.55 pokażę na żywo jak dostać admina na 3 kamerach…
Czytaj dalej »
Na tegoroczny Confidence w Krakowie szykujemy dla Was prawdziwą serię niespodzianek. Zacznie się od prezentacji na żywo 3 różnych kamer CCTV (w tym np. znanej marki – Bosch) – podatności są jeszcze świeże, a producenci wykonują właśnie ostatnie szlify z patchami. Tytuł prezentacji: „Historia 3 kamer – historia 3 adminów”….
Czytaj dalej »
Amerykański programista, Jamie Zawinski, napisał kiedyś słynne słowa o wyrażeniach regularnych: “Niektórzy ludzie, gdy napotykają na problem, myślą sobie: »Wiem! Użyję wyrażeń regularnych«. I teraz mają dwa problemy”. W tym artykule przekonamy się jak prawdziwe są to słowa, jeżeli wyrażenie regularne zostało napisane w sposób niewłaściwy, umożliwiając tym samym przeprowadzenie…
Czytaj dalej »
W artykule: poznacie ciekawy sposób na odczytywanie tokenów z innej domeny,
dowiecie się jak zrobić XSS-a za pomocą jQuery, zobaczycie, w jaki sposób złamać Same-Origin Policy za pomocą Flasha.
Czytaj dalej »
Zapraszam na kolejne hacking party – tym razem po raz pierwszy odwiedzamy Częstochowę. Zapisy tutaj. Wstęp bezpłatny. Program: Michał Sajdak – hackowanie IoT na żywo – trochę zupełnie świeżych rzeczy Michał Bentkowski – o hackowaniu Google – pokazy konkretnych bugów i zaprezentowanie warsztatu bug bountera Zaczynamy o 13:00, 8 kwietnia…
Czytaj dalej »
Czas na świeże mięso ;) tym razem planujemy hacking party na 31 marca w Trójmieście. Prawdopodobnie znowu całe wydarzenie będzie w kinie. W menu mamy m.in. hackowanie profesjonalnej kamery kopułowej firmy Ganz (wartość ~5kpln). We wdrożeniach swoich produktów firma chwali się takimi klientami jak: FBI, NYPD, The White House, US Coast Guard,…
Czytaj dalej »