W 2014 roku na Sekuraku (oraz w pierwszym e-zinie) pisaliśmy czym jest Content Security Policy. Była to wtedy młoda technologia utrudniająca eksploatację ataków XSS. Od tego czasu standard mocno się rozwinął. Czy obecna wersja CSP 2.0 jest remedium na nieznane luki XSS? Na jakie problemy można natknąć się podczas wdrożeń CSP?
Czytaj dalej »
Najnowszy numer Programisty ponownie wkracza na głębokie wody algorytmiki. Na łamach prezentujemy całkiem nowy cykl zatytułowany “Algorytmy w chmurach”, którego głównym celem jest stopniowe omawianie rozwiązań specyficznych dla aplikacji rozproszonych. W tym numerze pilotażowy artykuł „gossip” – czyli o modelu propagowania informacji wzorowanym na sposobie rozchodzenia się plotek między ludźmi….
Czytaj dalej »
Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.
Czytaj dalej »
Mozilla wydała dzisiaj nową wersje swojej przeglądarki – Firefoksa 42.0. Jakie czekają nas nowości? Wprowadzono nowy tryb ochrony przed śledzeniem w trybie prywatnym, Po raz pierwszy została wydana natywna wersja na 64-bitowe Windowsy, Informacja o tym, która zakładka w przeglądarce wydaje dźwięk wraz z możliwością jego wyciszenia, Naprawiono 18 błędów bezpieczeństwa,…
Czytaj dalej »
CSRF (Cross-Site Request Forgery) to chyba jedna z najmniej rozumianych podatności opisywanych w ramach słynnego projektu OWASP Top Ten. Często mylona jest z podatnością XSS, czasem również prezentowana jednocześnie z innymi podatnościami, co też zaciemnia obraz istoty problemu. Zobaczmy na kilku przykładach czym jest CSRF.
Czytaj dalej »
Kolejna część tekstu o Struts2. Opis bezpośredniego dostępu do atrybutów, który może prowadzić do nieoczekiwanej zmiany działania aplikacji.
Czytaj dalej »
Na naszej platformie hackme mamy już pierwsze zadanie dostępne dla wszystkich (prawidłową odpowiedź przesłało kilka osób). Jednocześnie dzisiaj odpalamy zamknięte beta-testy. Jeśli chciałbyś zostać testerem to napisz maila z tutułem: „rozwal beta” na sekurak@sekurak.pl Betatesterzy którzy zgłoszą nam ciekawe pomysły / bugfixy / usprawnienia dostaną w docelowej platformie osiągnięcie 'beta-rozwalacz’…
Czytaj dalej »
Obfuskacja (ang. obfuscation) to proces celowej modyfikacji kodu źródłowego w taki sposób, aby był on mniej czytelny, a rezultat jego wykonania nie zmienił się. W artykule spróbujemy odwrócić proces obfuskacji i próbować zrozumieć działanie zaciemnionego kodu.
Czytaj dalej »
Tekst, który zajął drugie miejsce w ostatnim konkursie Sekuraka. Zaczniemy od opisu rzeczywistych incydentów w kraju oraz działań przeciwko instytucjom finansowym na całym świecie. Następnie wyjaśniona zostanie idea i krótka historia organizowania ćwiczeń, by przejść do opisów kolejnych ich edycji.
Czytaj dalej »
Ostatnimi czasy Microsoftowi ciężko idzie ze sprawnym wydawaniem poprawek bezpieczeństwa. Tymczasem, dwa dni temu na technecie ukazał się ciekawy opis scenariusza wykorzystania dwóch co dopiero załatanych błędów: MS15-011 (Vulnerability in Group Policy Could Allow Remote Code Execution) oraz MS15-014 (Vulnerability in Group Policy Could Allow Security Feature Bypass). Całość polega…
Czytaj dalej »
Wszystkich czytelników Sekuraka zapraszamy na anglojęzyczne szkolenie warsztatowe „Offensive HTML, SVG, CSS and other Browser-Evil” prowadzone przez znanego badacza bezpieczeństwa aplikacji webowych – Mario Heidericha. Szkolenie organizowane jest przez Securitum.
Czytaj dalej »
Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród „Top 10 bug reporters 2014”. Gratulacje!
Czytaj dalej »
OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.
Czytaj dalej »
Pośrednik HTTP analizujący ruch między przeglądarką a serwerami WWW jest podstawowym narzędziem pracy testera web aplikacji. Burp Suite – popularne akcesorium bezpieczeństwa skonstruowane wokół funkcji lokalnego proxy – jest narzędziem, koło którego żaden inżynier bezpieczeństwa nie może przejść obojętnie.
Czytaj dalej »
Hardening aplikacji w praktyce – tekście przyjrzymy się w jaki sposób użyć: OWASP ESAPI oraz PHPIDS do zabezpieczenia własnej aplikacji napisanej w języku PHP.
Czytaj dalej »