Kilka historii o hackowaniu pub.dev (Marcin „dla zabawy” podziałał w Google bug bounty. Z dobrym efektem.)

08 stycznia 2022, 18:41 | Aktualności | komentarze 3
Kilka historii o hackowaniu pub.dev (Marcin „dla zabawy” podziałał w Google bug bounty. Z dobrym efektem.)

Firma Google stoi za wieloma projektami i produktami. Niektóre są powszechnie znane, a inne nie. Jednymi z takich mniej znanych produktów jest język programowania dart i framework flutter. Krótko po zrobieniu dość długiego tutoriala darta i fluttera wpadłem na kilka pomysłów, jak można by zaatakować komponenty ekosystemu darta. Dla zabawy…

Czytaj dalej »

Współpracuj z sekurakiem od 2022 roku [potrzeba pomocy redakcyjnej]

31 grudnia 2021, 12:50 | Aktualności | komentarzy 9
Współpracuj z sekurakiem od 2022 roku [potrzeba pomocy redakcyjnej]

Dla przypomnienia w Securitum szukamy teraz aż pięciu pentsterów, ale to ogłoszenie dotyczy nieco innego tematu ;) Szukamy osób do stałej lub okazjonalnej współpracy w obszarach: opracowywanie / research newsów (tylko regularna współpraca) i/lub: opracowywanie tekstów / poradników dla osób nietechnicznych (planujemy pewien nowy projekt… :) i/lub: opracowywanie wpisów /…

Czytaj dalej »

Jak wykorzystałem podatność log4shell (CVE-2021-44228) w kontrolerze WiFi od Ubiquiti. PoC:

30 grudnia 2021, 20:58 | Teksty | komentarze 4
Jak wykorzystałem podatność log4shell (CVE-2021-44228) w kontrolerze WiFi od Ubiquiti. PoC:

Naszym dzisiejszym bohaterem jest to urządzenie: Cloud Key Gen2 Plus. Nazwa trochę dziwna, ale jest to znany wszystkim użytkownikom rozwiązań firmy Ubiquiti kontroler WiFi (ma również funkcję zapisu feedów z kamer). Całość w eleganckiej formule sprzętowej, z 1TB dyskiem oraz podtrzymywaniem bateryjnym (tj. „na czysto” się wyłącza w momencie ewentualnego…

Czytaj dalej »

Angażujące, aktualne i pełne pokazów praktycznych szkolenie cyberawareness od Sekuraka. Nie przegap -50% rabatu!

22 grudnia 2021, 13:47 | Aktualności | 0 komentarzy
Angażujące, aktualne i pełne pokazów praktycznych szkolenie cyberawareness od Sekuraka. Nie przegap -50% rabatu!

Masz dość słuchania nudnych pogadanek o cyber-bezpieczeństwie, z których niewiele wynika? Chciałbyś spędzić z nami 4 godziny, które upłyną szybko jak 5 minut? Chciałbyś nauczyć chronić się przed najczęstszymi cyberatakami? A może od razu po szkoleniu chciałbyś wdrożyć mechanizmy uodparniające Cię na ewentualne przyszłe ataki? Czytaj dalej :-) Po dwóch…

Czytaj dalej »

Chcesz z nami legalnie pohackować Protonmaila/banki/e-commerce (i inne ciekawe systemy)? Zapraszamy! [praca dla pentestera w Sekurak/Securitum]

20 grudnia 2021, 16:37 | Aktualności | komentarzy 6
Chcesz z nami legalnie pohackować Protonmaila/banki/e-commerce (i inne ciekawe systemy)? Zapraszamy! [praca dla pentestera w Sekurak/Securitum]

Rok 2021 jest przełomowy dla nas, przyjęliśmy ponad 10 osób, zrobiliśmy ponad 550 komercyjnych testów penetracyjnych. Między innymi wykonaliśmy testy bezpieczeństwa Protonmaila (tutaj zobacz raport, który za zgodą zamawiających te pentesty – został upubliczniony). Jeśli chciałbyś uczestniczyć w tego typu ofensywnych projektach? czytaj dalej :-) TLDR: w pierwszym kwartale 2022…

Czytaj dalej »

Krytyczna podatność w Apache Log4j. Co wiemy, jak wyglądają ataki? Jak się chronić? CVE-2021-44228 RCE

11 grudnia 2021, 13:51 | Aktualności | komentarzy 28
Krytyczna podatność w Apache Log4j. Co wiemy, jak wyglądają ataki? Jak się chronić? CVE-2021-44228 RCE

Apache Log4j to bardzo popularna biblioteka javowa służąca do… logowania rozmaitych zdarzeń. Podatność, możliwe skutki wykorzystania. Luka CVE-2021-44228 (inna nazwa: log4shell) to tzw. RCE (Remote Code Execution) – czyli wykonanie dowolnego (wrogiego) kodu po stronie serwerowej. Napastnik może uzyskać dostęp do wykonywania dowolnych poleceń na serwerze (z uprawnieniami, z którymi…

Czytaj dalej »

Sprytny sposób na kopanie kryptowalut (+infekcja) na gamingowych komputerach osób, wystawiających sprzęt na polskich aukcjach

06 grudnia 2021, 10:38 | Aktualności | komentarzy 7
Sprytny sposób na kopanie kryptowalut (+infekcja) na gamingowych komputerach osób, wystawiających sprzęt na polskich aukcjach

Jeden z czytelników (dzięki!) doniósł nam o takiej akcji: Wystawiłem laptopa gamingowego na kilku portalach i na jednym z nich otrzymałem taką oto wiadomość: Otóż rzeczywiście istnieje takie oprogramowanie jak OCCT – tutaj: https://ocbase.com/ Ale zaraz, niedoszły kupujący (aka przestępca) kieruje na stronę occt[.]pro która wygląda podobnie do tej oryginalnej:…

Czytaj dalej »

Używają applowych AirTags do znakowania wypasionych aut, które następnie są kradzione. Kanadyjska policja ostrzega.

04 grudnia 2021, 09:35 | Aktualności | komentarzy 10
Używają applowych AirTags do znakowania wypasionych aut, które następnie są kradzione. Kanadyjska policja ostrzega.

Idzie nowe. Przestępcy typują odpowiednio dobre samochody, które znajdują się np. na publicznym parkingu, przyczepiają do nich swojego AirTaga, a następnie obserwują gdzie mieszka właściciel – bo zapewne stamtąd będzie można auto na spokojnie ukraść: since September 2021, officers have investigated five incidents where suspects have placed small tracking devices…

Czytaj dalej »

„Zabierz kumpla” na Mega Sekurak Hacking Party i dołączcie do 1300 zapisanych już uczestników!

02 grudnia 2021, 21:05 | Aktualności | komentarze 2
„Zabierz kumpla” na Mega Sekurak Hacking Party i dołączcie do 1300 zapisanych już uczestników!

Jak już pewnie słyszeliście 6 grudnia będzie MEGA bo mamy Mega Sekurak Hacking Party. Ponad 9 godzin super merytorycznej wiedzy, pokazy hackingu na żywo, świeża wiedza od najlepszych. Mamy już 1 300 zapisanych osób! Jesteś uczestnikiem? Sprawdź swoją skrzynkę pocztową – wysłaliśmy już do Ciebie informacje organizacyjne. Chcesz być uczestnikiem?…

Czytaj dalej »

Sekurak Black Friday – tutaj najlepsze rabaty na szkolenia Sekuraka/Securitum. Akcja do 30.11.2021

26 listopada 2021, 11:52 | Aktualności | komentarze 2
Sekurak Black Friday – tutaj najlepsze rabaty na szkolenia Sekuraka/Securitum. Akcja do 30.11.2021

BLACK WEEK – szkolenia od Securitum/Sekuraka nawet z 70% rabatem, nie przegap tej okazji! Tylko dla zamówień w terminie 24.11 do 30.11! Taniej nie będzie, śpiesz się, na niektóre z szkoleń liczba miejsc ograniczona! Nasze szkolenia to świetny pomysł na prezent mikołajkowy, dla siebie samego albo rodziny/znajomych :-)) Promocją objęte są następujące…

Czytaj dalej »

Capture The Flag „153+1” – konkurs dla uczniów szkół ponadpodstawowych! Do zgarnięcia 23000zł!

22 listopada 2021, 14:31 | Aktualności | komentarze 3
Capture The Flag „153+1” – konkurs dla uczniów szkół ponadpodstawowych! Do zgarnięcia 23000zł!

Konkurs CTF powstał z myślą o młodych pasjonatach informatyki, którzy chcieliby rozwijać swoje umiejętności i lepiej poznać zagadnienia związane z cyberbezpieczeństwem. Rozwijanie umiejętności swoją drogą, ale organizatorzy przewidzieli naprawdę ciekawe nagrody: 1. miejsce: 10 000 PLN 2. miejsce: 8 000 PLN 3. miejsce: 5 000 PLN Kolejne miejsca – nagrody…

Czytaj dalej »

OWASP Top Ten 2021: A04: Insecure Design. Przegląd przypadków.

15 listopada 2021, 10:05 | Aktualności | komentarze 4
OWASP Top Ten 2021: A04: Insecure Design. Przegląd przypadków.

OWASP TOP 10 to popularny standard, na który składa się lista dziesięciu najistotniejszych ryzyk bezpieczeństwa w aplikacjach webowych (zdaniem fundacji OWASP). W najnowszej wersji tego standardu, wydanej w październiku 2021, pojawił się nowy punkt: A04: Insecure Design. Czym on dokładnie jest i jakie typy błędów się pod nim kryją? Na to postaramy się odpowiedzieć w tym krótkim tekście.

Czytaj dalej »