Aktualności

Niedawno uruchomiliśmy nieco eksperymentalny wątek proszący Was o wskazanie jakie wiedzieliście w swojej karierze duże problemy bezpieczeństwa w architekturze sieci.

Poranna gimnastyka umysłowa. Długie wyjaśnienie w linkowanym tekście, krótkie tutaj: [’1′, '7′, ’11’].map(parseInt) doesn’t work as intended because mappasses three arguments into parseInt() on each iteration. Żeby jeszcze bardziej zachęcić do przejrzenia cytowanego opisu, polecam zacząć od tego wpisu (o co chodzi z: if(!!x === !!yy) ?!?). A chcącym rozwijać się dalej – nasze opracowanie: XSS –…

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

W najnowszej wersji Burp Suite 2.1.01 pojawiła się obsługa WebSocket w Burp Repeater! Wykorzystajmy testową aplikację, aby zobaczyć nową funkcjonalność w akcji.

Pierwszy z trzech artykułów, który pokazuje świeże podatności u trzech znanych producentów VPN-ów. Żadna z luk nie wymaga posiadania konta i umożliwia wykonanie kodu w systemie operacyjnym, na którym pracuje VPN (podatność klasy RCE). Lukę można wykryć dość prosto (uwaga, nie róbcie tego na systemach produkcyjnych, bo zabija to usługę!)…

Reuters donosi o włamaniu na serwery bułgarskiego urzędu skarbowego: hackers had stolen millions of taxpayers’ financial data in an attack that one researcher said may have compromised nearly every adult’s personal records. Włamanie nastąpiło w okolicach końca czerwca 2019r. Atakujący twierdzi, że uzyskał dostęp do 110 baz danych zawierających „ściśle…

Wskazane zostały głównie dwa problemy: Brak odpowiedniej rozliczalności dotyczącej danych medycznych pacjentów (kto, kiedy, jaki dostęp uzyskiwał do danych) Brak wdrożonego dwuczynnikowego uwierzytelnienia przy dostępie do danych medycznych Nieco głębiej zakopana jest chyba ważniejsza przyczyna całej kontroli w szpitalu oraz nałożonej kary: On April 4, 2018, the Haga Hospital reported a…

Jeden obraz wart więcej niż tysiąc słów: Tak, rzeczywiście kolega siedzi i analizuje co pokazał mu nmap w dostępnej w mieszkaniu sieci WiFI: Running nmap on your @Airbnb network is a great way to find hidden cameras and remind yourself you need to improve your posture. Dla śmiałków – radę…

Dość agresywna akcja Amazonu kierowana do amerykańskich klientów. Mogą oni otrzymać $10 kredytu na zakupy jeśli… zgodzą się zainstalować specjalny dodatek do przeglądarki. Opis działania tego sypware-u (tzn. pluginu) może mrozić krew żyłach: For example, we collect and process the URL, page metadata, and limited page content of the website…

Co robi dobry badacz bezpieczeństwa po zakupie nowego samochodu, dajmy na to Tesli model 3? Oczywiście zaczyna niezwłocznie szukać podatności. Tak też stało się i w tym przypadku. Szło jednak kiepsko – żadnych format stringów poprzez podłączanie telefonu o nazwie %x%x%x%x, a nazwanie samochodu w dość specyficzny sposób też niewiele…

Kolejny scenariusz z administracji publicznej USA – tym razem na celowniku ransomware wylądowało amerykańskie hrabstwo LaPorte (nieopodal Chicago). No dobrze, są zaszyfrowane dyski [link via google.com w celu ominięcia restrykcji GDPR – przyp. sekurak], ale na szczęście był dostępny świeży backup. Tylko, że … serwer backupu również został zaszyfrowany przez ransomware (tym…

Co może być podejrzanego w Microsoft Office 365? Wymieniane są głównie trzy rzeczy: Zapisywanie danych w chmurze, która fizycznie znajduje się poza terytorium UE (choć wg RODO czy GDPR wcale tak nie musi być) – w tym chodzi tu o takie „kwiatki” (wysyłka dokumentów Worda, które są konwertowane na PDF…

Media rozpisują się o rzekomo dużym problemie w WhatsAppie i Telegramie. Tytuł: WhatsApp, Telegram had security flaws that let hackers change what you see. [WhatsApp i Telegram miał podatności umożliwiające hackerom zmianę tego co widzisz] brzmi dość groźnie, prawda? Spróbuję wyjaśnić całe zamieszanie w jak największym skrócie: WhatsApp zapisuje pliki…

Dzisiejsze przeglądarki i technologie webowe nie są już takie same jak kiedyś. Znacznie wzrosła też prędkość ładowania stron. Niestety, z nowoczesnymi witrynami pojawiły się również zagrożenia prywatności. Jakie to informacje? (prawie ;) Wszystkie znajdują się na stronie browserleaks.com. Oprócz podstawowych typu adresy IP komputera (w tym adres w sieci lokalnej),…

Dzisiaj nasi czytelnicy poinformowali nas o potencjalnym problemie z systemami Allegro. Otóż otrzymali maila z tytułem: Twoja sprzedaż może zostać tymczasowo wstrzymana ! Zaakceptuj zmiany w regulaminie! Co więcej, można było w pierwszym momencie odnieść wrażenie, że Allegro wysłało maila, dodając dziesiątki czy setki innych osób na CC(!) Wystarczy jednak…