Jeszcze są ostatnie chwile na zapisanie się na nasze dzisiejsze zdalne wydarzenie: remote Sekurak Hacking Party. Co w planach? Dwie prezentacje, które przedstawialiśmy na koniec 2019 roku na konferencjach PWNing oraz What the Hack. Obie prezentacje dostały #1 w ankietach od uczestników :-) Agenda poniżej, a zapisy tutaj. Start 19:00,…
Czytaj dalej »
25 marca 2020, 21:48 | | Możliwość komentowania TV została wyłączona
Nadchodzące wydarzenia na sekurak.tv 05.06.2020: Zbuduj swój honeypot i łap w czasie rzeczywistym ataki przez RDP. W PowerShellu. 16.06.2020, 20:00 – remote Sekurak Hacking Party 18.06.2020, 19:00 – Bug Of The Week #10 Archiwum: 04.06.2020, 12:00 – Wprowadzenie do bezpieczeństwa IT 04.06.2020, 19:00 – Bug Of The Week #9 28.05.2020, 20:00 – bezpieczeństwo…
Czytaj dalej »
W skrócie rSHP to ~2,5 godziny praktycznej wiedzy od sekuraka. A wszystko na żywo, w rewelacyjnej cenie (19pln netto), w spokojnej wieczornej porze (19:00), 26 marca. Na 99% będziemy dostępni na zamkniętym kanale na Youtube, w jakości HD. Czyli sprawnie oglądacie całość na komputerze, tablecie, telefonie czy telewizorze (stosowne info…
Czytaj dalej »
Jak wiecie, prawie wszystkie większe wydarzenia w Polsce zostały odwołane – proponujemy Wam więc coś zupełnie nowego: wydarzenie w pełni zdalne nawiązujące do naszych klasycznych spotkań sekurak hacking party (w których do tej pory wzięło udział ~5000 osób). Pierwszą edycję rSHP zaczynamy od zaprezentowania naszych dwóch hitów, czyli prezentacji które…
Czytaj dalej »
Dwa słowa przypomnienia o naszej książce: „Bezpieczeństwo aplikacji WWW„. Obecnie sprzedaliśmy ~10 000 egzemplarzy, co czyni ją chyba najlepiej sprzedającą się książką IT w ostatnich latach w Polsce! Przykładowe rozdziały do bezpłatnego pobrania: Podatność XSS, Podstawy protokołu HTTP. Kilka Waszych recenzji: A teraz promocja – pierwsze 100 zamówionych książek (kup…
Czytaj dalej »
O kursie pisaliśmy niedawno – a zapisy trwają jeszcze do 20 kwietnia 2020. Całość zrealizujemy w formie czterech godzinnych sesji on-line (będą też warsztaty). Tematyka to bezpieczeństwo aplikacji webowych (idealne dla programistów / testerów czy wszystkich którzy chcą wejść w temat). Jesteś początkujący? Spokojnie, jeśli masz tylko chęci – z…
Czytaj dalej »
Jeśli w tytule widzisz subtelną różnicę pomiędzy dwoma znakami mniejszości – będziesz dobrym pentesterem ;-) Dla pewności znajdźcie różnicę pomiędzy: <script> oraz <script> Właśnie, dla filtrów próbujących zabezpieczyć aplikację przed podatnością XSS <script> wygląda mocno podejrzanie – do usunięcia! Natomiast <script> wygląda całkiem OK (nie ma tu prawidłowego otwarcia tagu…
Czytaj dalej »
Pierwszy raz z naszym wydarzeniem zawitamy w Bydgoszczy (7.11.2019r. 18:00 -> 20:30). Dostępne mamy bilety standardowe lub z 500 ml czarnym kubkiem sekuraka. Wydarzenie jest idealne dla programistów / testerów czy wszelakich fanów ITsecurity lub sekuraka :-) Agenda: 1. Dlaczego należy się przejmować XSS-ami – na przykładzie prostego narzędzia excessy [Michał Bentkowski] 2. Dziwne…
Czytaj dalej »
Cały, rozdział naszej książki o bezpieczeństwie aplikacji webowych dostępny jest tutaj: Podstawy protokołu HTTP (pdf). To jeden ze wstępnych rozdziałów przygotowujących czytelnika do analizy meandrów różnych podatności. Przeczytacie tutaj o zupełnych podstawach, ale jest też nieco smaczków dla bardziej zaawansowanych czytelników jak np. świeża tematyka HTTP request smuggling czy zupełnie…
Czytaj dalej »
Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia: A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior…
Czytaj dalej »
Temat zaprezentuje Michał Bentkowski (obecnie na 9. pozycji na globalnej liście najlepszych bughunterów Google), autor kilku rozdziałów naszej książki, badacz (ostatnich kilka opracowań: ominięcie zabezpieczeń oferowanych przez DOMPurify, SSTI w systemie szablonów Pebble, analiza ekstremalnie niebezpiecznego elementu <portal>). Na tegorocznym Secure Michał pokaże dwie garści hacków, którym nie opierają się teoretycznie…
Czytaj dalej »
Jeśli ktoś chce zobaczyć trochę realnych, świeżych podatności w IoT, zachęcam do lektury wyników badania projektu SOHOpelessly Broken 2.0. Na celownik wzięto 13 urządzeń, w których każde miało minimum jedną podatność webowo-aplikacyjną (co nie dziwi…): All 13 of the devices we evaluated had at least one web application vulnerability such…
Czytaj dalej »
Poranna gimnastyka umysłowa. Długie wyjaśnienie w linkowanym tekście, krótkie tutaj: [’1′, '7′, ’11’].map(parseInt) doesn’t work as intended because mappasses three arguments into parseInt() on each iteration. Żeby jeszcze bardziej zachęcić do przejrzenia cytowanego opisu, polecam zacząć od tego wpisu (o co chodzi z: if(!!x === !!yy) ?!?). A chcącym rozwijać się dalej – nasze opracowanie: XSS –…
Czytaj dalej »
Co robi dobry badacz bezpieczeństwa po zakupie nowego samochodu, dajmy na to Tesli model 3? Oczywiście zaczyna niezwłocznie szukać podatności. Tak też stało się i w tym przypadku. Szło jednak kiepsko – żadnych format stringów poprzez podłączanie telefonu o nazwie %x%x%x%x, a nazwanie samochodu w dość specyficzny sposób też niewiele…
Czytaj dalej »
Mobilny klient poczty od Microsoft posiadał lukę (CVE-2019-1105, bardzo skromny opis na stronie firmy) umożliwiającą zdalne wykonanie kodu na Androidzie. Sprawa zaczęła się, kiedy Bryan Appleby z F5 Networks otrzymał od znajomego bezpieczny kod JavaScript w wiadomości. Ekspert zauważył, że e-mail został dziwnie sformatowany. Wyglądał następująco: Natomiast po otwarciu…
Czytaj dalej »