Sekurak Hacking Party Wrocław – 20 maja 2019
Kolejne sekurak hacking party zaplanowaliśmy we Wrocławiu. Termin: 20.05.2019 r. Miejsce: Wrocław, Multikino, Pasaż Grunwaldzki, plac Grunwaldzki 22, 50-363 Wrocław
Czytaj dalej »
W biegu
- Wiecie dlaczego wysyłanie emailem waszego hasła w plaintext jest OK? Bo otwieranie cudzej korespondencji jest nielegalnie :P Tak przynajmniej twierdzi pewna znana firma
- Hasłowator - wygeneruj praktycznie niełamalne, łatwe do zapamiętania hasło :-)
- Pod biurkiem masz ciekawostkę. Jej bezpieczeństwo zatrzymało się 15 lat temu...
- Kasper-Spy - dziura w antywirusie Kasperskiego, która umożliwiała trackowanie użytkowników
- VPNMentor: wyciek z firmy zajmującej się m.in. biometryką. Milion wzorów odcisków palców, wzory twarzy, zdjęcia ludzi, hasła w plaintext, ...
W Polsce również bezprzewodowo kradną auta. Całość trwa ~1 minutę. Audi A5 & film z akcji.
Jakiś czas temu pisaliśmy o takiej technice w kontekście Tesli. Kradzież wykorzystuje fakt, że w nowoczesnych autach często wystarczy w pobliżu samochodu sygnał z kluczyka – wtedy samochód można otworzyć i uruchomić. Ale przecież kluczyk jest w kieszeni spodni właściciela! To nic, można wzmocnić sygnał odpowiednim urządzeniem i przesłać go…
Czytaj dalej »Praca dla pentestera z sekurakiem
Możesz pohackować z nami realne banki, sklepy internetowe, urządzenia IoT, wykonywać ataki socjotechniczne. Szukamy osób do pracy przede wszystkim w Warszawie (ale możliwe również inne miasta).
Czytaj dalej »Second Order SQL Injection
Podczas pracy pentestera aplikacji internetowych można spotkać się z wieloma ciekawymi przypadkami błędów popełnianych przez twórców oprogramowania. Kategorie wykrywanych błędów są bardzo różne, począwszy od brakujących nagłówków bezpieczeństwa, aż po dramatyczne dla właściciela usługi zdalne wykonanie kodu.
Czytaj dalej »Trzy szkolenia od sekuraka w cenie dwóch
W największym skrócie, możecie zamówić wejścia na trzy nasze szkolenia otwarte (lista szkoleń objętych promocją poniżej) – płacąc cenę dwóch . Voucher szkoleniowy można wykorzystać aż do końca marca 2020 roku, a wykupione vouchery nie są imienne.
Czytaj dalej »Flaga cookies SameSite – jak działa i przed czym zapewnia ochronę?
Rozwiązania z dziedziny bezpieczeństwa starają mitygować zagrożenia, które pojawiają się w świecie aplikacji internetowych. Jednym z przykładów takich działań jest możliwość dodania do ciasteczek HTTP flagi SameSite. Sprawdźmy, jak działa SameSite oraz przed jakimi niebezpieczeństwami może nas ochronić.
Czytaj dalej »Duży wyciek z popularnego sklepu Gearbest – mamy kilka unikalnych informacji z samego źródła
Gearbest to jeden z największych sklepów w Internecie (ma też polską wersję strony) – dokładniej jest na 255 miejscu wśród najbardziej popularnych globalnie witryn (odliczając serwisy newsowe, Google, inne wyszukiwarki, czy Wikipedię – to naprawdę wysoka pozycja).
Czytaj dalej »Odzyskiwanie klucza szyfrującego do Bitlockera (TPM 1.2 / 2.0) – potrzebna lutownica, kable i parę drobiazgów
Pewnie wielu z Was korzysta z takiego rozwiązania: szyfrowanie dysku Bitlockerem z kluczem zaszytym w TPM. Jest to wygodne, bo przy starcie systemu nie trzeba wpisywać dodatkowego hasła, a jeśli ktoś ukradnie sprzęt to po wyciągnięciu dysku widzi tylko zaszyfrowane dane – klucz jest w TPM i nie da się go wyciągnąć. No właśnie – czy to ostatnie jest prawdą?
Czytaj dalej »Reagowanie na incydenty bezpieczeństwa IT – bezpłatna dokumentacja
Duże firmy zapewne taką dokumentację już mają. Małe – na pewno nie, średnie – różnie z tym bywa. W każdym razie udostępniamy zupełnie bezpłatnie dokumentację: Reagowanie na incydenty bezpieczeństwa IT. W założeniach dokumentacja miała być maksymalnie kompaktowa i możliwa do szybkiego wdrożenia (w tym modyfikacji oraz rozbudowy) w małej/średniej firmie….
Czytaj dalej »Poprosili freelancerów o zakodowanie prostej aplikacji przechowujących hasła użytkowników. Plaintext rządzi…
Badanie polegające na zatrudnianie realnych programistów do realnej pracy (nie pod pozorem „badania”). Prosta aplikacja miała m.in. przechowywać hasła użytkowników. Wypłata – do 200 EUR.
Czytaj dalej »S-SDLC – czyli jak realnie zwiększyć bezpieczeństwo procesu wytwarzania aplikacji webowych?
Modelowanie zagrożeń, dokumentacje przydatne programistom w kontekście bezpieczeństwa, włączanie automatycznych narzędzi wspierających bezpieczeństwo w cykl tworzenia oprogramowania oraz typowe problemy bezpieczeństwa w procesie…
Czytaj dalej »Protokół http – podstawy
Nagłówki HTTP, URL, URI, żądania, odpowiedzi, kodowanie procentowe, formularze HTML, parametry przesyłane protokołem HTTP, różne implementacje serwerów HTTP skutkujące problemami bezpieczeństwa – to tylko kilka elementów, którymi zajmę się w tym tekście.
Czytaj dalej »OWASP ASVS 4.0 – czyli jak w uporządkowany sposób sprawdzić bezpieczeństwo aplikacji?
Najnowszy dokument dostępny jest tutaj. W największym skrócie jest to duża checklista podzielona na obszary (architektura, walidacja wejścia, uwierzytelnienie, obsługa błędów, …). W każdej z nich znajdziecie masę zaleceń służących zwiększeniu bezpieczeństwa aplikacji webowej. Co zmieniło się w porównaniu do poprzednich wersji? Jak sami autorzy dość górnolotnie piszą: New in…
Czytaj dalej »Za bezcen można kupić urządzenie do hackowania telefonów (normalna cena: $6000+). I później je zhackować…
Mowa o sprzęcie izraelskiej firmy Cellebrite. Tego typu urządzenia są sprzedawane w cenie $6 000+ i służą do zapewnienia dostępu do telefonów, które zostały odebrane np. osobom podejrzanych o przestępstwa. Ale jeśli powiedzmy odpowiednim służbom znudzi się używanie sprzętu – sprzedają je na eBay…
Czytaj dalej »Ładowarka zagłady – wpinasz ją i masz roota (ataki Thunderclap)
TLDR: podłączasz urządzenie do portu USB-C… ktoś może mieć roota (admina) na Twoim systemie. A to tylko przykład – możliwe jest czytanie ruchu VPN (w plaintext) czy dostęp do naciskanych na komputerze klawiszy. Mimo łat producentów OS (problematyczne okazały się w zasadzie wszystkie systemy: Windows, Linux, OS X, FreeBSD), autorzy badania dają tylko jedną radę na najlepsze zabezpieczenie…
Czytaj dalej »