Aktualności

Tytuł u nas jak i na stronie badaczy dość mocny. Ale po pierwsze zwróćcie uwagę, że do ataku wymagana jest obecność wsparcia dla protokołu NTLM (jest on dość stary, choć w dużych sieciach może jeszcze działać – kompatybilność wsteczna). Po drugie, trzeba mieć przejęty jeden z serwerów w sieci Windowsowej…

Upload pliku na serwer za pomocą JS inject poprzez podatność XSS w popularnej wtyczce do WordPressa? To możliwe, o czym przekonał się największy katowicki dostawca usług internetowych — Systel. Strona tej firmy jest oparta na najpopularniejszym systemie CMS, czyli WordPress. Zaletą tego rozwiązania jest bardzo łatwe zarządzanie (zwłaszcza blogami) oraz…

Zapraszamy Was na webinar przygotowany przez Canon oraz IDC. Tutaj możecie znaleźć kod dający 21 bezpłatnych dni pełnego dostępu do naszego serwisu rozwal.to. Kod można wykorzystać w dowolnym momencie – maksymalnie do 30 lipca 2019r.

Przeszło 4 miliony publicznych instalacji Exima to jest coś. Tymczasem pokazano w zasadzie pełen opis podatności umożliwiającej zdobycie roota. Podatne są wersje 4.87 do 4.91 (włącznie). Możliwe jest zdalne wykorzystanie podatności (odpalenie polecenia jako root), choć wymaga to trochę zachodu i dosyłania komunikacji przez 7 dni (!) The vulnerability is also remotely…

Sekurak jest patronatem wydarzenia CC4ES odbywającego się już niebawem w Krakowie. Drugiego dnia zapraszamy na naszą prezentację o rekonesansie sieciowym – podczas 45 min sesji pokażemy to na żywo :) Kilka informacji od organizatorów poniżej. Trzy dni szkoleń, wykładów i praktycznych treningów prowadzonych przez eksperci ze Stanów Zjednoczonych i Europy…

O co chodzi w imprezie? Są to nasze praktyczne pokazy hackowania „różnych rzeczy” i całość będzie zapewne przydatna również dla osób, które jeszcze nie mają doświadczenia w bezpieczeństwie (nie są to warsztaty), choć jednak dobrze mieć pojęcie o IT :-) Termin: 14.06.2019 r. Miejsce: Warszawa, Polsko-Japońska Akademia Technik Komputerowych, ul. Koszykowa 86, Duża…

Wszystkie te rzeczy zobaczycie w tym opracowaniu (łącznie z opisem narzędzi działających on-line czy offline – raptem kilka z nich: Impacket, Mimikatz, Rubeus, PsExec). Jeśli ktoś chce zapoznać się z teorią dotyczącą Kerberosa (i toną dodatkowych linków – warto zerknąć tutaj). Zainteresowanych tematyką odsyłam również do naszego nowego szkolenia – praktyczne bezpieczeństwo Windows. –ms…

Mamy nową kampanię mailową, będącą odmianą akcji z podawaniem prawdziwych haseł „ofiar”, do których celowane były maile. Tym razem nie ma hasła, jest za to pełen bełkotu słowotok („podatność na zranienie” – ach!) kończący się próbą wymuszenia okupu za niepublikowanie „kompromitujących informacji” o ofierze. Dla porządku przytaczamy ten ewidentny scam:…

W Rekomendowanych ustawieniach dotyczących bezpieczeństwa Windows 10 i Windows Server 2016: „Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903” Microsoft napisał tak: Dropping the password-expiration policies that require periodic password changes.  Dalej czytamy wyjaśnienie: When humans pick their own passwords, too often they are easy to guess…

Podatność CVE-2018-15664 została upubliczniona przez jednego z inżynierów SUSE Linux. W pewnym uproszczeniu chodzi o podatność klasy race condition z użyciem linków symbolicznych. Z drugiej strony to podatność klasy TOCTOU. Np. jakaś operacja tworzy link symboliczny, jest on rozwiązywany na odpowiednią ścieżkę w kontenerze, w tym momencie go szybko podmieniamy na…

Czy chcielibyście zobaczyć coś praktycznego w kontekście bezpieczeństwa Windows? Nudzą Was przegadane dokumentacje Microsoftu? Wpadnijcie na nasze praktyczne szkolenie.

Kolejna faza batalii Google ze społecznością tworzącą rozszerzenia. Tym razem gigant ogłosił, że w nowej wersji API dostępnej dla rozszerzeń nie będzie w ogóle możliwości blokowania wysyłania żądań HTTP z przeglądarki, chyba że dla wersji enterprise Chrome: Chrome is deprecating the blocking capabilities of the webRequest API in Manifest V3,…

W skrócie, zobaczcie na to szkolenie wprowadzające do tematyki bezpieczeństwa IT (2 dni, praktyczne pokazy). Na najbliższą edycję w tym roku (Warszawa,10-11.06.2019) możecie się zapisać korzystając aż z 50% rabatu (cena to 999 PLN netto), jeśli spełnicie dowolny z trzech warunków poniżej: Skondensowane informacje o szkoleniu można znaleźć tutaj (ulotka…

Często spotykamy się z pytaniem: jak ustalić imię i nazwisko osoby przy pomocy numeru telefonu. Sprawa nie jest taka prosta, ponieważ wraz z wprowadzeniem w życie ustawy o ochronie danych osobowych większość popularnych i sprawdzonych metod umożliwiających to zadanie przestało działać. Co działa? Jedyną wyszukiwarką, która działa sensownie w tym…

O problemie pisaliśmy niedawno – w skrócie, bez uwierzytelnienia można wykonać kod w systemie operacyjnym (uprawnienia SYSTEM) poprzez odpowiednio złośliwą komunikację RDP. Od tego czasu mamy skaner wykrywający podatność (rdpscan), dość szczegółową analizę podatności, a także około miliona maszyn dostępnych bezpośrednio z Internetu, które nie są załatane. Lepiej się pospieszcie z…