Aktualności

Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy…

W oryginalnej wersji wyglądało to tak: for ( ; ; ) { window.alert(„　∧_∧　ババババ\n（ ・ω・)=つ≡つ\n（っ ≡つ=つ\n`/　　)\n(ノΠＵ\n何回閉じても無駄ですよ～ww\nm9（＾Д＾）プギャー！！\n　byソル (@0_Infinity_)”) } Policja przesłuchała młodą dziewczynę – w tle dość poważne zarzuty, gdzie pojawiają się takie frazy jak „unauthorized malicious program” czy „criminal act”. Nie skończyło się tylko na problemach 13-latki – policja postanowiła też…

Może takie miejsce się przyda? Planujemy tam publikować tematy, które normalnie nie pojawią się na sekuraku, czasem AMA,  prosimy też o podrzucanie Waszych ciekawych tematów do dyskusji. To ostatnie jest głównym celem istnienia grupy – mamy całkiem sporo doświadczonych w interesującym nas temacie czytelników. A co tysiące głów to nie…

Jeśli ktoś porusza się w świecie korporacyjnym, zapewne słyszał o firmie Citrix. Donosi ona o włamaniu do swojej wewnętrznej sieci – o czym zostali poinformował przez FBI. Co dokładnie się stało? Pełnych informacji jeszcze nie ma, choć jest mowa o kradzieży wewnętrznych dokumentów. Niektórzy potwierdzają ilość na 6-10 TB poufnych informacji,…

Najpierw 0-day na Chrome, teraz 0-day na Windows. Google pisze, że błąd jest wykorzystywalny na Windows 7 (najprawdopodobniej nie da się go użyć na Windows 10). Problem polega na możliwości eskalacji uprawnień do SYSTEM z poziomu zwykłego użytkownika. Połączenie powyższych dwóch bugów może dać taki efekt: ofiara klika na linka…

Ot dzień jak co dzień. 150 GB baza Mongo wystawiona bez uwierzytelnienia do Internetu. Ktoś ją pobrał, a w środku mamy 763 milionów unikalnych maili. Jako bonus pojawiają się też takie elementy jak telefony, adresy. Jest też osobny, dość enigmatyczny zbiór o nazwie businessLeads, który prawdopodobnie zawiera m.in. informacje o…

Badanie polegające na zatrudnianie realnych programistów do realnej pracy (nie pod pozorem „badania”). Prosta aplikacja miała m.in. przechowywać hasła użytkowników. Wypłata – do 200 EUR.

Chodzi o dwie bardzo popularne firmy (+ te same rozwiązania, tylko subbrandowane): Viper oraz Pandora Viper is the world’s best selling vehicle security and remote start brand. We use cutting-edge technology to make sure you are in control, providing range and features you can count on every time. Jak przystało na…

Modelowanie zagrożeń, dokumentacje przydatne programistom w kontekście bezpieczeństwa, włączanie automatycznych narzędzi wspierających bezpieczeństwo w cykl tworzenia oprogramowania oraz typowe problemy bezpieczeństwa w procesie…

Cisco załatało krytyczny bug (9.8/10 w skali CVSS) w kilku urządzeniach. Jest to seria urządzeń dla małych biur (small office), która ma jednak oferować wysokie bezpieczeństwo: Highly Secure Connectivity for Small Offices Jeśli posiadacie takie urządzenie, zaaplikujcie łatę wydana przez producenta. Podatność istnieje w panelu webowym do zarządzania urządzeniem i…

Piorunujące info tu. Repozytorium na GitHubie – tutaj. Przypominajka poniżej: Po co Microsoft wykonuje taki krok? Może to balon próbny przed większymi inicjatywami tego typu? Sami piszą tak: Our goal is to build an even better user experience in partnership with the community. Dla pewności – kalkulator będzie przechodził testy…

Szczegóły tutaj: Google is aware of reports that an exploit for CVE-2019-5786 exists in the wild. Można przejąć konto użytkownika, który korzysta z niezaktualizowanej przeglądarki (prawdopodobnie wystarczy wejść na spreparowaną stronę – w systemie operacyjnym wykona się kod z naszymi uprawnieniami). Podatne są wersje Chrome na Windows, Linux, OS X…

O co chodzi w tym nieco dramatycznym tytule? O WPAD, na temat którego pierwsze wzmianki pojawiają się przy okazji przeglądarki Netscape (1996 rok), a wprowadzony został do IE 5.0 w 1999 roku. Jak wykorzystać ten mechanizm do ataku? Możliwości jest wiele, ale jedna z prostszych jest taka: Odpalam w LAN narzędzie…

Najnowszy dokument dostępny jest tutaj. W największym skrócie jest to duża checklista podzielona na obszary (architektura, walidacja wejścia, uwierzytelnienie, obsługa błędów, …). W każdej z nich znajdziecie masę zaleceń służących zwiększeniu bezpieczeństwa aplikacji webowej. Co zmieniło się w porównaniu do poprzednich wersji? Jak sami autorzy dość górnolotnie piszą: New in…

WooCommerce z 22% światowego rynku e-commerce (pod względem liczby „dostarczanych” sklepów) – brzmi nieźle: WooCommerce is a free eCommerce plugin that allows you to sell anything, beautifully. Built to integrate seamlessly with WordPress, WooCommerce is the world’s favorite eCommerce solution that gives both store owners and developers complete control. W…