Zgłoszenie możecie znaleźć tutaj. Problem występował przy przenoszeniu zgłoszenia (issue) z jednego projektu do drugiego. Kiedy w oryginalnym zgłoszeniu mieliśmy wskazaną ścieżkę do pliku na serwerze, podczas kopiowania był on przenoszony do docelowego projektu. Wystarczyło więc przygotować zgłoszenie i w jego opisie dać np. taką zawartość:  Po przeniesieniu zgłoszenia,…
Czytaj dalej »
Wystarczyło wysłać odpowiedni obrazek ofierze na chacie aby finalnie zdobyć jej token do API. Sam token umożliwia z kolei na takie operacje: lets you send messages, read messages, create groups, add new users or remove users from groups, change permissions in groups, etc. W skrócie masakra, w szczególności że operacja…
Czytaj dalej »
WP relacjonuje: W ramach akcji sieć obiecywała, że przy zakupie 20 produktów trzy można dostać gratis. Jednak prawdopodobnie przez błąd systemu kasowego z paragonu znikały… trzy najdroższe produkty. (…)Rekordziści płacili 20 zł za towary warte ponad 1000 zł. (…) jeśli ktoś kupił więc 20 lizaków po 99 groszy i np. elektronikę…
Czytaj dalej »
Tym razem działamy 8 maja (o 20:00). Pełna agenda poniżej. Na Waszą prośbę dodaliśmy również możliwość zakupów biletów abonamentowych – na wszystkie wydarzenia rSHP do końca lipca 2020r. Cena to 99 PLN netto – i wychodzi taniej niż byście zawsze kupowali bilet nawet po najniższej cenie (early bird). Dodatkowo w…
Czytaj dalej »
Ta krótka historia zaczyna się tak: Sophos received a report on April 22, 2020, at 20:29 UTC regarding an XG Firewall with a suspicious field value visible in the management interface. (…) The attack affected systems configured with either the administration (HTTPS service) or the User Portal exposed on the…
Czytaj dalej »
Ostatnio w sieci można było przeczytać sporo doniesień takich jak ta: Podejrzewam że Nintendo mogło zostać zhackowane. Ktoś logował się na moje konto kilka razy w nocy. Moje hasło jest unikalne i nie mam na komputerze żadnego malware. I suspect Nintendo may have had a major security breach. My account…
Czytaj dalej »
Hackasat to oficjalny program US Airforce: The United States Air Force, in conjunction with the Defense Digital Service, presents this year’s Space Security Challenge, Hack-A-Sat. This challenge asks hackers from around the world to focus their skills and creativity on solving cybersecurity challenges on space systems. Operacja składa się z…
Czytaj dalej »
A feralnym mailu pisało już sporo osób. Nie będziemy wnikać tutaj w podstawę prawną wniosku przesłanego do samorządowców przez Pocztę Polską, zobaczmy jak to wygląda od strony bezpieczeństwa: 1. E-mail wysłany został w formie jawnej, oraz bez podpisu elektronicznego (sam napis „Poczta Polska” raczej nie można traktować nawet jako zwykły…
Czytaj dalej »
Podatność CVE-2020-0022 została załatana w lutym 2020 roku, natomiast teraz pojawiło się więcej informacji + PoC exploit. W skrócie – całość można wykonać bez uwierzytelnienia (ba, nawet bez parowania z ofiarą) – jedyne co potrzeba to jej fizyczny adres radiowy Bluetooth: One feature that is available on most classic Bluetooth…
Czytaj dalej »
Dla przypomnienia – zapisy mamy tutaj. Startujemy 23.04.2020 o 20:00 (przez około tydzień dostępne będzie też nagranie). Ty razem mamy dwie prezentacje: 1. Grzegorz Tworek: Hackowanie Windows – przywileje systemowe. Jak pozornie niewinne ustawienia prowadzą do przejęcia uprawnień administratora (~60 minut) Niezależnie od uprawnień na różnych obiektach, takich jak pliki czy…
Czytaj dalej »
Nowa paczka łatek przynosi nam korektę paru podatności zaklasyfikowanych jako Critical RCE. Jeden z nich to wykonanie kodu na urządzeniu (Android 8,9,10) poprzez NFC: If succesfuly exploited, an attacker within NFC range could obtain remote code execution on android device’s NFC daemon. Badacz do testów wykorzystał telefon Pixel3a oraz Proxmark…
Czytaj dalej »
Ze szczegółami można zapoznać się na blogu Zecops. W najnowszym systemie iOS (13.x) exploitacja następuje nawet wtedy gdy aktywnie nie używamy wbudowanej aplikacji do poczty elektronicznej – wystarczy że jest ona uruchomiona w tle. W poprzedniej wersji systemu (12.x) – wystarczy zaledwie otworzyć odpowiednio spreparowanego maila (choć też nie ma…
Czytaj dalej »
Zapraszamy Was na kolejny live stream prowadzony przez Grześka Wypycha: bezpośredni link tutaj, startujemy 22.04.2020, 20:00. Temat: Wykorzystanie symbolicznej analizy do wyszukiwania błędów bezpieczeństwa w binarkach i tworzenia exploitów na bazie autorskiego plugina do Binary Ninja. Opis: Czytelniku, udało ci się przejść kursy exploitacji binarek ? Jeśli tak gratuluje, pewnie nabity…
Czytaj dalej »
Można powiedzieć stare ale jare i co może ważniejsze, działające w obecnych czasach. Żeby zrozumieć temat potrzebujemy wiedzieć co nieco o podatności XXE: tutaj zerknijcie na naszą interaktywną animację (działają przyciski ;) Jak zawrzeć plik XML w zwykłym .JPG ? Na przykład jako XMP. Czyli w metadanych jpega umieszczamy (w odpowiedni…
Czytaj dalej »
Prokuratura donosi o zatrzymaniu jednego z pracowników firmy zewnętrznej zajmującej się wdrożeniem nowej platformy szkoleniowej przeznaczonej dla pracowników wymiaru sprawiedliwości. Niedawno doszło do wycieku (imiona, nazwiska, e-maile, telefony, hasła – choć najprawdopodobniej nie będzie można ich złamać). Powód jest dość prozaiczny: w trakcie testowego migrowania danych szkoły na nowo utworzoną…
Czytaj dalej »
