Aktualności

Ciekawy wątek na Reddicie, dotyczący URL-a z koszmarów: Tu w zasadzie nie ma żadnej „podpuchy”. Link jest w prawidłowej domenie adobe.com, która zawiera jednak podatność Open Redirect. Kliknijcie np. tutaj: https://t-info.mail.adobe.com/r/?id=hc43f43t4a,afd67070,affc7349&p1=sekurak.pl Oj. Jesteście nie na serwerze Adobe, ale na sekuraku! Wcześniejszy link zawiera aż trzy przekierowania – jedno ze strony Adobe…

Zasób udostępnia Port Swigger, reklamując listę jako idealny zasób do nauki, a także pomagający w omijaniu rozmaitych filtrów czy WAF-ów. Oczywiście wszystko w kontekście podatności XSS. Mamy tutaj wygodny filtr po przeglądarkach, w których dana metoda zadziała czy konkretny tag HTML, który chcemy wykorzystać do wstrzyknięcia JavaScriptu. W każdym razie jest…

Protokołu HTTP/1.x używa każdy. Jednak tworzony był on lata temu, momentami nie jest więc zbyt optymalny jeśli chodzi o prędkość (delikatnie rzecz ujmując). Jako odpowiedź na ten problem powstał HTTP/2 – tak, też w tym przypadku mamy na sekuraku dostępny dość rozbudowany poradnik :) W dużym skrócie – mamy tutaj…

Wiecie jak to jest z tymi szkoleniami cyberawareness (dla pracowników nietechnicznych) – ludzie siedzą, po paru minutach zasypiają i nic z tego nie wynika ;-) poza odhaczeniem, że szkolenie się odbyło i mamy spokój z naszym compliance. Od dłuższego czasu to zmieniamy. Na podstawie naszych wielu doświadczeń, mamy dostępne w…

Hasła, klucze API, pliki konfiguracyjne, pliki z hasłami i innymi poufnymi danymi.  W sumie około 120 tego typu 'źródeł’. Czy te dane rzeczywiście są poufne? Wg ich właścicieli nie, bo udostępnili je publicznie na GitHub-ie (pozostaje pytanie czy w sposób świadomy). 'Filmik’ z wycieków, realizowany w czasie rzeczywistym dostępny jest…

Zwięzła informacja dostępna jest tutaj. Rok pracy, realni aktorzy i… tysiące wynikowych, fejkowych filmów: To make this dataset, over the past year we worked with paid and consenting actors to record hundreds of videos. Using publicly available deepfake generation methods, we then created thousands of deepfakes from these videos. The resulting…

Zobaczcie tylko na to dość oryginalne pismo przesłane pocztą tradycyjną: Wiecie, rozumiecie, brexit, płacić trzeba, patriotyzm, i tak dalej. Ważne że królowa potrzebuje Bitcoinów :-) Ciekawe czy ktokolwiek się złapał na taki dość nietypowy phishing? –ms

Rosjanin, który przyznał się do winy naprawdę nieźle poszalał. Skala i sposób działania były zorganizowane na tyle z rozmachem, że podejrzewano ingerencję rosyjskiego rządu (w sumie nie jest to wykluczone): Andrei Tyurin, 35, whose last name is also spelled Tiurin, also pleaded guilty to hacks against other US financial institutions,…

Afera dotyczy najnowszego systemu iOS 13, gdzie umożliwiono instalację zewnętrznych (programowych ;) klawiatur. W opisie problemu Apple pisze dość enigmatycznie: Third-party keyboard extensions in iOS can be designed to run entirely standalone, without access to external services, or they can request “full access” to provide additional features through network access….

Dość kuriozalny błąd wykorzystywany jest przez tego exploita. Forum po prostu bierze jeden z parametrów przesyłany bez uwierzytelnienia i jego wartość traktuje jako polecenie w OS do wykonania… Podatność występuje od wersji 5.0.0 aż do ostatniej – 5.5.4. Na razie jeszcze nie wydano łatki i jak można się spodziewać exploit…

Podatność występuje w Internet Explorerze 9, 10, 11 i dotyka wszystkich Windowsów (od 7-ki do 10-tki, w tym serwerowe). Luka umożliwia wykonanie złośliwego kodu w systemie operacyjnym ofiary, po wejściu na odpowiednio przygotowaną stronę. Problem jest na tyle duży, że Microsoft przygotował łatę, poza standardowym cyklem aktualizacji. Łatajcie się (i…

Właśnie opublikowaliśmy obejście ochrony przed XSS dostarczanej przez DOMPurify (podatność właśnie została załatana). Całość to kolejna publikacja na naszym anglojęzycznym research blogu – poprzednie unikalne wpisy dotyczyły paru bugów w Chrome dotyczących elementu <portal>, oraz tematyki SSTI (Server-Side Template Injection) w systemie szablonów Pebble. Kolejne publikacje niebawem, śledźcie bezpośrednio research.securitum.com i/lub konto…

Możesz pohackować z nami realne banki, sklepy internetowe, urządzenia IoT, wykonywać ataki socjotechniczne. Szukamy osób do pracy przede wszystkim w Warszawie (ale możliwe również inne miasta).

Zerknijcie tutaj. Zdjęcia można pobierać losowo, w trakcie tworzenia jest również API (gdzie będzie można przefiltrować wyniki, po pochodzeniu etnicznym (są też Słowianie), wieku, płci czy nastroju czy kolorze skóry). Twórcy projektu piszą tak: Every image was generated by our internal AI systems as it continually improves. Use them in…

Zapraszamy Was na całodzienne wydarzenie tym razem kierowane do osób nietechnicznych. Całodniowe szkolenie Sekurak Awareness Party prowadzone jest w konwencji widowiskowych pokazów praktycznych.