Napięcie polityczne w USA – za sprawą ostatnich wyborów prezydenckich – sięga zenitu. W zasadzie przed chwilą doszło do szturmu tłumu na amerykański Kapitol, gdzie włamano się m.in. do gabinetu demokratycznej polityk Nancy Pelosi. Co to ma wspólnego z bezpieczeństwem IT? Ano tyle, że odpowiednie służby zarządziły ewakuację budynku, ale…
Czytaj dalej »
Ta podatność: A blind SQL injection in the user interface of FortiWeb may allow an unauthenticated, remote attacker to execute arbitrary SQL queries or commands by sending a request with a crafted Authorization header containing a malicious SQL statement. jest ciekawa co najmniej z kilku powodów: Walczy z mitem, mówiącym…
Czytaj dalej »
Grzesiek Tworek, 14-krotny MVP, prelegent na BlackHacie czy autor serii rozchwytywanych kursów na sekuraku, przygotował dla Was nowe skondensowane, do granic możliwości praktyczne szkolenie, czyli: Co każdy powinien wiedzieć o włamaniach do systemów Windows? #1 Grzegorz o kursie pisze tak: Dopóki istnieć będą systemy, dopóty znajdą się tacy, którzy zechcą…
Czytaj dalej »
W listopadzie 2020r. jeden z czytelników (nazwijmy go na potrzeby tekstu Pawłem) zgłosił nam problem bezpieczeństwa zlokalizowany w sklepie loveair[.].pl Zaczęło się dość niewinnie – dostępny tam był katalog .git. Czym to grozi? Odpowiedź brzmi zawsze – to zależy. Czasem niczym, czasem czymś poważniejszym. W tym przypadku Paweł poinformował, że…
Czytaj dalej »
W zasadzie wszystko już powiedziano w tytule ;) Ale co np. z zasadami prywatności w samej appce? Te zostały zmienione: A privacy statement on the TraceTogether website had earlier said the data would only be used “for contact tracing purposes”. Teraz wygląda to dość enigmatycznie: „TraceTogether data may be used…
Czytaj dalej »
Mamy dla Was aż trzy możliwości współpracy z nami: opracowywanie newsów i/lub tekstów prowadzenie szkoleń on-line praca jako pentester w topowym teamie Poniżej krótki opis stanowisk. Opracowywanie newsów i/lub tekstów To pomysł na pracę dorywczą. Jeśli interesuje Cię współpraca w jednym lub drugim obszarze napisz na sekurak@sekurak.pl. Rząd wielkości wynagrodzenia,…
Czytaj dalej »
Ostatnio nieco atencji doznały te podatności (są one już dość wiekowe – 2019r. / załatane, ale mają sporą wartość edukacyjną – stąd ten wpis). Jak można było uzyskać dostęp do e-maili innych osób via OWA? W pewnym miejscu ten ostatni generował token JWT, który (uwaga, uwaga) nie był podpisany (więcej…
Czytaj dalej »
Temat niby znany od jakiegoś czasu, ale jakiś czas temu przestały działać PoCe na automatyczne rozwiązywanie reCAPTCHA. Idąc od końca (a może i od początku :) tutaj filmik pokazujący całość w akcji: Skuteczność to wg autora 97% – Google will return the correct answer in over 97% of all cases….
Czytaj dalej »
Zacznijmy od suchych liczb – w 2020r. wg Google Analytics odwiedziło nas 1,687,944 użytkowników (4,622,829 wyświetleń stron). Realnie zapewne sporo więcej. Bo któż – szczególnie w naszej branży – nie blokuje Analyticsów? My blokujemy :-) Przechodząc do części bardziej fabularnej, początek roku rozpoczął się średnio optymistycznie – my chyba jako…
Czytaj dalej »
Sam problem został opisany nieco bardziej ogólnie: Undocumented user account in Zyxel products (CVE-2020-29583) Badacze analizując binarkę zawartą w jednym z firmware-ów zauważyli tam po prostu login i hasło (plaintext), dające dostęp typu administracyjnego. The plaintext password was visible in one of the binaries on the system. I was even…
Czytaj dalej »
Helion ruszył z noworoczną paczką mocnych promocji ebooków – tym razem zerknijcie na wyselekcjonowane pozycje z branży IT (linki + rabaty przy każdej pozycji książkowej poniżej): Kod nieskażony O tym, ile problemów sprawia niedbale napisany kod, wie każdy programista. Nie wszyscy jednak wiedzą, jak napisać ten świetny, czysty kod i…
Czytaj dalej »
Pamiętajcie, że hacki to nie zawsze spektakularne wycieki danych. Czasem sprawa odbywa się „po cichu” – a im więcej dyskrecji tym lepiej. Tak działał Ticketmaster który ma zapłacić gigantyczną karę – bo aż 10 milionów USD. Co się wydarzyło? W zasadzie wszystko wyjaśnia ten cytat (za Dept. of Justice, USA):…
Czytaj dalej »
Microsoft już jakiś czas temu pisał o incydencie związanym ze słynnym hackiem Solarwinds. Czytaliśmy wtedy: We have not found evidence of access to production services or customer data. Our investigations, which are ongoing, have found absolutely no indications that our systems were used to attack others. Mimo, że powyższa informacja…
Czytaj dalej »
W skrócie – wypełnijcie proszę na spokojnie naszą prostą ankietę, na info o ewentualnej wygranej czekajcie do 11.01.2020r. A przy okazji, wszystkiego dobrego, zdrowia a także bezpieczeństwa waszych systemów w Nowym Roku! –ms
Czytaj dalej »
Dobra wiadomość jest taka, że format PDF planowany wstępnie na styczeń, mamy już gotowy, a wysyłka odbędzie się jutro (tj. 24.12.2020r.). Dla osób, które jeszcze nie znają naszej książki – to blisko 800 stron aktualnej wiedzy o bezpieczeństwie aplikacji WWW. Książka podzielona jest na rozdziały wprowadzające Czytelnika w tematykę, prezentując…
Czytaj dalej »
