Szczegóły podatności można zobaczyć w tym miejscu. Czytamy tutaj: Such conditions can be achieved in a pretty standard Nginx configuration. If one has Nginx config like this: „` location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; … } } „` I dalej: This issue leads to code…
Czytaj dalej »
Kolejna odsłona Firefoksa przede wszystkim stawia na ochronę prywatności. Mamy m.in. dostępne domyślne blokowanie elementów trackujących wykorzystywanych przez serwisy społecznościowe. Dostępny jest również raport mówiący o liczbie oraz typie zablokowanych elementów ingerujących w prywatność: Dla zapisanych loginów i haseł możemy też otrzymywać automatyczne powiadomienia o wycieku (FF korzysta z bazy…
Czytaj dalej »
Pierwszy raz z naszym wydarzeniem zawitamy w Bydgoszczy (7.11.2019r. 18:00 -> 20:30). Dostępne mamy bilety standardowe lub z 500 ml czarnym kubkiem sekuraka. Wydarzenie jest idealne dla programistów / testerów czy wszelakich fanów ITsecurity lub sekuraka :-) Agenda: 1. Dlaczego należy się przejmować XSS-ami – na przykładzie prostego narzędzia excessy [Michał Bentkowski] 2. Dziwne…
Czytaj dalej »
Projekt o którym pisaliśmy niedawno cały czas się rozwija. Obecnie mamy wsparcie do automatycznego wyszukiwania / pobierania rozmaitego rodzaju sekretów (bazy danych, klucze prywatne, klucze API, wrażliwe fragmenty konfiguracji, logi, użytkownicy czy hasła w URL-u – w sumie jest kilkadziesiąt kategorii). Dodano też pobieranie danych z GitLaba oraz Bitbucketa, a wyniki…
Czytaj dalej »
Szkolenie podnoszące świadomość bezpieczeństwa, z licznymi pokazami praktycznymi i wciągającymi przykładami z życia organizujemy 29.10.2019 w Katowicach. Cena to 99PLN za osobę (!). Szkolenie przeznaczone jest dla osób nietechnicznych. Pełna agenda wydarzenia: Podstawy bezpieczeństwa (m.in.: spojrzenie z perspektywy atakującego, filary bezpieczeństwa, bezpieczniejsze oprogramowanie, bezpieczne przechowywanie danych i tworzenie kopii zapasowych i…
Czytaj dalej »
Zaczęło się od pewnych informacji dotyczących kradzieży klucza prywatnego powiązanego z certyfikatem TLS należącym do NordVPN (klucz ten bez problemu można obecnie znaleźć znaleźć w Internecie): So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those…
Czytaj dalej »
Koparka kryptowalut (Monero), ale też reverse shell z Metasploita: Our analysis reveals some of the WAV files contain code associated with the XMRig Monero CPU miner. Others included Metasploit code used to establish a reverse shell. Złapane pliki zawierały normalne dźwięki (ew. nagrany biały szum). Całość oczywiście nie uruchamia się…
Czytaj dalej »
Podatność wykryto w aplikacji Click to Pray sterującej urządzeniem IoT od Watykanu: inteligentnym różańcem: Jak donosi CNET, problem występował w mechanizmie tworzenia konta – należało podać e-mail, na który był wysyłany kod PIN (odpowiednik hasła). Wszystko w porządku, tylko operację można było wykonać ponownie (znając e-mail ofiary), a PIN był…
Czytaj dalej »
Działa? Nie ruszać. Ilu z nas to słyszało? Podobną dewizą kierują się amerykańscy wojskowi, którzy do jeszcze bardzo niedawna używali dyskietek w systemie SACCS (Strategic Automated Command and Control System). Jest on m.in. odpowiedzialny za zmasowane odpalenie rakiet balistycznych z głowicami jądrowymi z terytorium USA – w odpowiedzi na stosowny…
Czytaj dalej »
O amerykańskim Equifax pisaliśmy jakiś czas temu. Wtedy włamano się z wykorzystaniem podatności w Apache Struts (użyto wtedy dość ciekawego XML-a, który był automatycznie deserializowany, dając RCE) i wykradziono wrażliwe dane około 143 milionów klientów. Niedawno doszło do ugody, gdzie firma zobowiązała się rozsądne wynagrodzić straty dotkniętym klientom (może to…
Czytaj dalej »
O temacie pisze Gazeta Wyborcza. Esencję macie tutaj: Przedsiębiorca z Łukowa w województwie lubelskim otrzymał mail z ponaglaniem do dokonania zaległej płatności, która miała dotyczyć jednego z serwisów aukcyjnych. Po tym jak mężczyzna dokonał zapłaty rzekomo zaległej sumy 1,36 zł, z jego kont zniknęło 340 tys. zł. Jak zostały wyciągnięte pieniądze?…
Czytaj dalej »
Opis tutaj – a całość to hacking w czystej postaci :) Najpierw fizyczne podpięcie się do odpowiedniego portu hulajnogi i zdumpowanie firmware. W firmware można było znaleźć taki ciekawy ciąg znaków „Set mode to Free Drive Mode”. Hmmm wystarczy włączyć ten tryb i po zabawie? Niekoniecznie. Nikt przecież nie będzie dłubał…
Czytaj dalej »
Podatność została właśnie zgłoszona i dotyczy sterownika w jądrze Linuksa dla chipów WiFI Realteka (drivers/net/wireless/realtek/rtlwifi/). Przesłanki teoretyczne mówią, że powinno się udać wykorzystać tego buga do otrzymania root shella przez WiFi, w najgorszym przypadku można wykonać atak klasy DoS: I’m still working on exploitation, and it will definitely… take some time…
Czytaj dalej »
Po raz pierwszy historia została opisana tutaj. Kobieta zeskanowała swój palec wbudowanym w ekran czytnikiem, ale później okazało się, że jej inny palec również otwiera telefon. I dalej… telefon otwiera także palec jej męża czy w zasadzie każdej osoby. BBC opisuje temat nieco bardziej dramatycznie…: Samsung: Anyone’s thumbprint can unlock…
Czytaj dalej »
8 terabajtów danych, przeszło 200 000 filmów z seksualnym wykorzystaniem dzieci – taką jaskinię zła zamknęły z hukiem połączone siły policyjne (swoją rolę odegrała tutaj również Polska). Niektórzy twierdzą nawet, że był to największy tego typu serwis w całym Internecie. W jaki sposób namierzono prawdziwy adres/adresy IP serwisu? Otóż były…
Czytaj dalej »
