13 stycznia 2017r. mieliśmy pierwsze Sekurak Hacking Party we Wrocławiu, które wzbudziło wyjątkowe zainteresowanie uczestników. W imprezie uczestniczyło około 540 osób!
Czytaj dalej »
Startujemy z sekurak hacking party 13 stycznia 2017 r. we Wrocławiu. Miejsce: sala nr 9 w Multikinie – Pasaż Grunwaldzki, plac Grunwaldzki 22, 50-363 Wrocław. Godziny: 17:45 – 20:45 Wstęp: bezpłatny. Rejestracja poniżej (rejestruj się tylko wiesz, że będziesz – jeśli coś Ci wypadnie koniecznie daj znać). Prezentacje na pierwszej edycji wrocławskiej będą podobne tych…
Czytaj dalej »
Startujemy z sekurak hacking party 20 grudnia w Poznaniu. Można się już finalnie zapisać. Wstęp wolny.
Czytaj dalej »
W 2017 roku dodamy do zadań labowych 3 profesjonalne kamery CCTV (jedna z nich kosztuje ~5000 PLN) – wykorzystywane są choćby chętnie w instytucjach rządowych. Do kamer można uzyskać dostęp zdalny bez uwierzytelnienia (OS root), a wszystko będziecie mogli przećwiczyć samodzielnie w LAB-ie (łącznie ze zdalnym obracaniem kamerą na żywo…).
Czytaj dalej »
Zapisy na październikowe Sekurak Hacking Party, wstęp wolny, hacking gwarantowany ;-)
Czytaj dalej »
W artykule przedstawiamy kilka podstawowych zasad, których stosowanie pozwala niskim kosztem zwiększyć ogólny poziom bezpieczeństwa aplikacji webowej.
Czytaj dalej »
W tym numerze, z naszej strony Michał Bentkowski dzieli się tekstem o tym, jak w prosty i niedrogi sposób szybko zwiększyć bezpieczeństwo swojej aplikacji webowej. Sami wydawcy z kolei piszą tak: Jubileuszowe pięćdziesiąte wydanie „Programisty” jest wydaniem rozszerzonym, co oznacza, że w tym miesiącu znajdziecie w nim jeszcze więcej artykułów…
Czytaj dalej »
W tekście wyjaśniono ogólną zasadę działania generatorów liczb pseudolosowych na przykładzie algorytmu XorShift128+, używanego w implementacji funkcji Math.random() we wszystkich najpopularniejszych przeglądarkach. Następnie pokazano, w jaki sposób, używając do tego narzędzie Z3Prover, ustalić stan generatora, znając tylko trzy kolejne liczby zwrócone przez Math.random().
Czytaj dalej »
Spora część aplikacji webowych umożliwia wgranie własnego pliku na serwer poprzez podanie adresu URL, skąd zostanie on automatycznie pobrany na serwer. W tym artykule omówimy jakie problemy mogą wynikać z takiego rozwiązania – innymi słowy poznamy podatność Server-Side Request Forgery (SSRF).
Czytaj dalej »
W trzecim kwartale zeszłego roku zgłosiłem do Mozilli błąd bezpieczeństwa, który pozwalał na ominięcie Same Origin Policy (SOP) w przeglądarce Firefox. Dzięki temu, możliwe było przeprowadzanie ataków polegających na wykradaniu danych należących do innych domen. Źródłem problemu był pewien pozornie mało istotny detal przy parsowaniu adresów IP.
Czytaj dalej »
W tym numerze coś specjalnego – Michał Bentkowski pokazuje na podstawie swoich badań kilka hacków, które doprowadziły do ominięcia Same Origin Policy w Firefoksie (błąd sfixowany ze statusem sec-high). Z kolei od Wydawców: Najnowsze wydanie „Programisty” traktuje o rozwiązywaniu problemów wieloplatformowości w kontekście tworzenia aplikacji na urządzenia mobilne (i nie tylko)….
Czytaj dalej »
W niniejszym artykule opiszę trzy XSS-y, które zgłaszałem do Google w tym roku w ramach ich programu bug bounty. Wszystkie z nich miały swoje źródło w możliwości wyjścia z sandboksa w narzędziu Google Caja.
Czytaj dalej »
Mechanizm Service Workers został wprowadzony w najnowszych wersjach przeglądarek internetowych, by rozwiązać problem, z którym świat aplikacji webowych boryka się od dawna – mianowicie: jak aplikacja powinna się zachowywać w przypadku utraty połączenia z Internetem. Niniejszy artykuł ma na celu przybliżenie zasad działania Service Workers oraz wskazanie największych zagrożeń związanych z tym mechanizmem, którymi w szczególności powinni być zainteresowani twórcy stron internetowych.
Czytaj dalej »
Padding Oracle to atak pozwalający na wyłuskanie tekstu jawnego z zaszyfrowanych danych bez znajomości klucza szyfrującego, a także – bez konieczności wyszukiwania błędów w samym algorytmie szyfrującym. W artykule metody ataku i ochrony przed problemem.
Czytaj dalej »
W ramach już stałego patronatu polecamy zerknięcie na nowy numer magazynu „Programista„, gdzie mamy też swój akcent – w tym numerze Michał Bentkowski pisze o o podatności Server-Side Request Forgery. Od wydawcy: W nowym wydaniu magazynu „Programista” po raz kolejny pojawił się wywiad z nieregularnego cyklu rozmów z istotnymi osobami ze…
Czytaj dalej »