TL;DR – jesteś programistą i chciałbyś nauczyć się atakować aplikacje webowe? To świetnie trafiłeś :) Poszukujemy junior pentesterów / osób na staż. Nie wymagamy doświadczenia, ale potrzebujemy solidności i sporych zdolności uczenia się. Pisz na praca@securitum.pl – przesyłając swoje CV. Gdzie? Co? Jak? W Securitum realizujemy około 300 testów bezpieczeństwa…
Czytaj dalej »
W skrócie – jedna z japońskich giełd kryptowalutowych posiadała błąd, umożliwiający kupienie bitcoinów za darmo. Mimo że problem istniał tylko 18 minut, ktoś spróbował go wykorzystać. Swoją drogą prawdopodobnie podatność usunięto właśnie dzięki osobie, która chciała wykorzystać owego „exploita życia”, czyli sprzedać za darmo nabyte bitcoiny…: As at least one…
Czytaj dalej »
W skrócie – w poniższym artykule chcę kompleksowo opisać podstawowe mechanizmy bezpieczeństwa, które powinny być świadomie zaimplementowane przez developerów w każdym projekcie webowym zrealizowanym w technologii .Net.
Czytaj dalej »
Trochę sensacyjny tytuł, ale popatrzcie tylko na ten film… pomieszanie nowoczesnej technologii (ułożone w rządki GPU) z tradycją (pozbijane z deszczółek stelaże) z domieszką chaosu – to palętające się kable i urządzenia niewiadomego przeznaczenia: Akcja likwidacji „tego miejsca” została zorganizowana przez Ukraińską cyberpolicję. Zarzutem jest tutaj wykorzystanie środków uniwersytetu (m.in. prądu)…
Czytaj dalej »
Dokładnie 5 lat temu pojawił się pierwszy tekst na sekuraku: „Łamanie haseł z wykorzystaniem CPU/GPU” uzupełniony szybko tematyką konfiguracji OpenVPN-a oraz monstrualną serią: Kompendium bezpieczeństwa haseł.
Czytaj dalej »
Wczoraj wieczorem (17:30 – 21:00) mieliśmy przyjemność organizować już ósmą edycję Sekurak Hacking Party. Byliśmy już w Krakowie (aż 3 razy), Wrocławiu, Poznaniu, Częstochowie i Trójmieście. Tym razem przybyło przeszło 400 osób: Wsparcie zapewniało nam Ocado Technology i Securitum i zgodnie z planem udało nam się w sumie poruszyć 5 tematów: hackowanie…
Czytaj dalej »
Jakiś czas temu w sieci mogliśmy szerzej usłyszeć o mniej znanym mechanizmie „DDE”. Wykorzystanie „Dynamic Data Exchange” pozwala na stworzenie „formuły”, która umożliwi komunikację, np. z innymi aplikacjami, tak, abyśmy mogli np. aktualizować informacje dostępne w sieci (w naszym skoroszycie) lub innym arkuszu. W prawie każdej aplikacji pakietu Office możemy…
Czytaj dalej »
W artykule opisane są trzy błędy typu XSS znalezione w ramach bug bounty firmy Google. Wszystkie błędy były możliwe dzięki wykorzystaniu nowych cech standardu ECMAScript.
Czytaj dalej »
Dla branży e-commerce okres świąteczny jest bardzo istotny. Wiele organizacji funkcjonujących na tym rynku duży procent przychodów zdobywa właśnie w tym czasie. Oprócz wielu szans czyhają również zagrożenia, związane głównie z dostępnością systemów transakcyjnych. W tym artykule – bazując na rodzimej usłudze chmury obliczeniowej Oktawave – powiemy Ci, co każdy…
Czytaj dalej »
Większość z Was kojarzy zapewne ostatnią rozległą awarię w OVH – nie działało kompletnie bardzo dużo serwisów z Polski, nie działał Sekurak ani status.ovh.com. Problem na szczęście został rozwiązany w przeciągu paru godzin, a niedawno klienci OVH dostali maila z informacją o możliwym przyznaniu odszkodowania. Miło, prawda? Każdy też chciałby uzyskać…
Czytaj dalej »
Wylęgarnia nowego ransomware to „Europa Wschodnia” – obecnie wśród krajów gdzie zanotowano zainfekowane komputery jest również Polska.
Czytaj dalej »
Co dopiero pisaliśmy o bardzo podobnym problemie dotykającym świata IoT (i pośrednio Linuksa), a wczoraj Microsoft opublikował informację o krytycznej podatności w swojej bibliotece obsługującej zapytania/odpowiedzi DNS (podatne są co najmniej: Windows 8.1, 10, oraz wersje serwerowe od 2012 w górę). O co chodzi w podatności? W skrócie, wysyłając do ofiary odpowiednio…
Czytaj dalej »
Niedawno zrezygnowałem z fizycznego serwera na rzecz systemu opartego na chmurze. Proces rejestracji przebiegł bezboleśnie – może poza koniecznością podania danych karty kredytowej – i po chwili mogłem się cieszyć nowym serwerem z Debianem 8.1 Jessie ze statycznym adresem IPv4.
Czytaj dalej »
Przypominamy WannaCry to głośny ransomware, który szarżował dość skutecznie w tym roku. Wiele serwisów donosi, że Marcus Hutchins – człowiek, który zlokalizował i wykupił domenę będącą kill switchem, blokującym ten malware – został aresztowany zaraz po konferencji Defcon (tuż przed odlotem do rodzimego Londynu). Zarzuca mu się stworzenie malware bankowego Kronos, choć pojawiają…
Czytaj dalej »
Organom ścigania udało się ostatnio przejąć dwa bazary narkotykowe, działające w przyciemnionym Internecie, przy czym jeden z nich – Hansa Market – mimo przejęcia był pozostawiony przez miesiąc jako podpucha. Klienci nie wiedzieli, że coś jest nie tak… W między czasie policja umieściła do pobrania logi transakcji, które okresowo są ściągane i analizowane…
Czytaj dalej »