W dobie zalewającej nas co chwilę fali fake newsów, często trudno jest odróżnić prawdę od prawie prawdy i zupełnych idiotyzmów (czyli od półprawdy i od… fekalioprawdy). Tym bardziej, że w Internecie coraz więcej jest treści, które bazują na prawdziwych danych, a jednocześnie przeinaczają je w tak diametralny sposób, że dotarcie…
Czytaj dalej »
Wstęp: Jedna z najpopularniejszych platform Bug Bounty, Hackerone – w ramach promocji swojego wirtualnego eventu H12006 – uruchomiła konkurs w formule Capture The Flag. Nagrodą było zaproszenie na wspomniany ekskluzywny event oraz zaproszenia do prywatnych programów bug bounty. Co ciekawe, główną nagrodę otrzymywało się nie za najszybsze rozwiązanie zadania, a…
Czytaj dalej »
Ten artykuł jest podsumowaniem moich badań związanych z problemami bezpieczeństwa w obsłudze mechanizmu kopiuj-wklej w: przeglądarkach, popularnych edytorach WYSIWYG i aplikacjach webowych. Moim głównym celem jest pokazanie, że poniższy scenariusz ataku może sprawić, że będziemy narażeni na atak: Odwiedzamy złośliwie przygotowaną stronę. Kopiujemy coś z tej strony do schowka. Przechodzimy…
Czytaj dalej »
Jest jakiś środek tygodnia, godzina 23.30. Siedzę z kubkiem herbaty wpatrując się w ekrany monitorów. Mój skrypt w Pythonie, który zbiera coś z Internetu nagle przestaje działać. Cóż, problem trzeba jakoś rozwiązać. W zasadzie możliwości są dwie: albo jest to skutek zmęczenia materiału w postaci jakiegoś niezamówionego buga w kodzie…
Czytaj dalej »
Nasze nowe wydarzenie składało się będzie z samych lightning talków – tj. skondensowanych prezentacji na konkretny temat. Planujemy około 15 lightning talków (każdy po około 7-10 minut). Jakie są plusy takiej formy? Po prostu nie ma czasu na jakieś lanie wody :) A różnych tematów i osobowości trenerów jest na…
Czytaj dalej »
remote Sekurak Hacking Party – to nasze regularne spotkania (2 raz w miesiącu, każde po 2h), które są dość tanie (od 19 pln netto za udział). Najbliższe już 16. czerwca, podczas którego Grzesiek Tworek zaprezentuje kilka ciekawych tricków w temacie hackowania Windows, a Piotr Wojciechowski opowie o bezpieczeństwie protokołu BGP. O…
Czytaj dalej »
„Sign in with Apple” to funkcja na urządzeniach Apple, która pozwala wykorzystać konto iCloud do uwierzytelnienia w innych aplikacjach. Od strony użytkownika działa na podobnej zasadzie jak – bardziej powszechne – „Zaloguj z kontem Google” czy „Zaloguj z Facebookiem”. Od strony technicznej, rozwiązanie opiera się o wygenerowanie tokenu JWT przez…
Czytaj dalej »
4-godzinny, zdalny kurs prowadzony jest w formie pokazów praktycznych i przeznaczony jest dla osób znających tematykę IT. Zapisy oraz agenda poniżej, uwaga – możliwy jest zapis tylko z konta firmowego (nie akceptujemy domen gmail.com, o2.pl i innych tego typu). Szkolenie prowadzi Michał Sajdak, założyciel sekuraka. Uwaga: nie ma limitu na liczbę…
Czytaj dalej »
Nie zdążyłeś na nasze ostatnie szkolenie on-line z wprowadzenia do bezpieczeństwa IT? Jeśli jesteś z administracji publicznej/samorządu/jednostki edukacyjnej czy zajmującej się ochroną zdrowia? – możesz otrzymać bezpłatnie dostęp do filmu. Oglądasz kiedy chcesz, ile razy chcesz, w swoim tempie. Szkolenie przeznaczone jest dla osób znających tematykę IT. Jeśli ktoś jest nietechniczny,…
Czytaj dalej »
Zobaczcie tutaj: Today I’m happy to release new research I’ve been working on for a while: 0-click RCE via MMS in all modern Samsung phones (released 2015+), due to numerous bugs in a little-known custom „Qmage” image codec supported by Skia on Samsung devices. Exploita nie wymagającego żadnej interakcji ofiary…
Czytaj dalej »
Dla przypomnienia – nasza książka o bezpieczeństwie aplikacji webowych to świeże, blisko 800-stronicowe kompendium w temacie. Zdecydowanie nadaje się ona również do rozpoczęcia swojej przygody z bezpieczeństwem aplikacji (około 200 stron stanowią rozdziały wprowadzające). Udostępniamy też darmowe dwa rozdziały: wprowadzenie do protokołu HTTP oraz podatność XSS. Do tej pory sprzedało się…
Czytaj dalej »
Chciałbyś się dowiedzieć jak wygląda temat prywatności korzystających z aplikacji do monitorowania koronawirusa w różnych krajach? Kto stosuje zasadę privacy-first? Czy były jakieś problemy z bezpieczeństwem? Czy ktoś w ogóle pochylił się nad analizą ryzyka kontekście tematu?
Czytaj dalej »
Niedawno w formie zdalnej udostępniliśmy szkolenie z bezpieczeństwa aplikacji WWW. Kurs prowadzi Michał Bentkowski, którego znacie z sekuraka, a być może również z bestsellerowej książki o bezpieczeństwie aplikacji webowych. W każdym razie proponujemy Wam: rozbudowaną agendę (znajdziecie tu elementy przydatne zarówno dla programistów, testerów, pentesterów a nawet adminów) masę ćwiczeń…
Czytaj dalej »
Tym razem działamy 8 maja (o 20:00). Pełna agenda poniżej. Na Waszą prośbę dodaliśmy również możliwość zakupów biletów abonamentowych – na wszystkie wydarzenia rSHP do końca lipca 2020r. Cena to 99 PLN netto – i wychodzi taniej niż byście zawsze kupowali bilet nawet po najniższej cenie (early bird). Dodatkowo w…
Czytaj dalej »
A feralnym mailu pisało już sporo osób. Nie będziemy wnikać tutaj w podstawę prawną wniosku przesłanego do samorządowców przez Pocztę Polską, zobaczmy jak to wygląda od strony bezpieczeństwa: 1. E-mail wysłany został w formie jawnej, oraz bez podpisu elektronicznego (sam napis „Poczta Polska” raczej nie można traktować nawet jako zwykły…
Czytaj dalej »