Aktualności

Jak sprawdzić czy ktoś się włamał do Twojego Windowsa? Jak przeanalizować włamanie? Tona wiedzy od sekuraka:

05 stycznia 2021, 17:38 | Aktualności | komentarzy 10
Jak sprawdzić czy ktoś się włamał do Twojego Windowsa? Jak przeanalizować włamanie? Tona wiedzy od sekuraka:

Grzesiek Tworek, 14-krotny MVP, prelegent na BlackHacie czy autor serii rozchwytywanych kursów na sekuraku, przygotował dla Was nowe skondensowane, do granic możliwości praktyczne szkolenie, czyli: Co każdy powinien wiedzieć o włamaniach do systemów Windows? #1 Grzegorz o kursie pisze tak: Dopóki istnieć będą systemy, dopóty znajdą się tacy, którzy zechcą…

Czytaj dalej »

Od .git do panelu administracyjnego systemu z fakturami/paragonami. Historia pewnej podatności w jednej z polskich firm.

05 stycznia 2021, 13:44 | W biegu | komentarzy 17
Od .git do panelu administracyjnego systemu z fakturami/paragonami. Historia pewnej podatności w jednej z polskich firm.

W listopadzie 2020r. jeden z czytelników (nazwijmy go na potrzeby tekstu Pawłem) zgłosił nam problem bezpieczeństwa zlokalizowany w sklepie loveair[.].pl Zaczęło się dość niewinnie – dostępny tam był katalog .git. Czym to grozi? Odpowiedź brzmi zawsze – to zależy. Czasem niczym, czasem czymś poważniejszym. W tym przypadku Paweł poinformował, że…

Czytaj dalej »

Singapur: znienacka policja może uzyskiwać dostęp do danych gromadzonych przez appkę COVIDową (śledzenie kontaktów). Na potrzeby prowadzonych dochodzeń kryminalnych.

04 stycznia 2021, 19:25 | W biegu | komentarzy 6
Singapur: znienacka policja może uzyskiwać dostęp do danych gromadzonych przez appkę COVIDową (śledzenie kontaktów). Na potrzeby prowadzonych dochodzeń kryminalnych.

W zasadzie wszystko już powiedziano w tytule ;) Ale co np. z zasadami prywatności w samej appce? Te zostały zmienione: A privacy statement on the TraceTogether website had earlier said the data would only be used “for contact tracing purposes”.  Teraz wygląda to dość enigmatycznie: „TraceTogether data may be used…

Czytaj dalej »

Współpracuj z sekurakiem – komercyjnie lub niekomercyjnie – aż trzy różne możliwości/stanowiska

04 stycznia 2021, 15:02 | W biegu | komentarzy 18
Współpracuj z sekurakiem – komercyjnie lub niekomercyjnie – aż trzy różne możliwości/stanowiska

Mamy dla Was aż trzy możliwości współpracy z nami: opracowywanie newsów i/lub tekstów prowadzenie szkoleń on-line praca jako pentester w topowym teamie Poniżej krótki opis stanowisk. Opracowywanie newsów i/lub tekstów To pomysł na pracę dorywczą. Jeśli interesuje Cię współpraca w jednym lub drugim obszarze napisz na sekurak@sekurak.pl. Rząd wielkości wynagrodzenia,…

Czytaj dalej »

Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

04 stycznia 2021, 13:24 | W biegu | 0 komentarzy
Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

Ostatnio nieco atencji doznały te podatności (są one już dość wiekowe – 2019r. / załatane, ale mają sporą wartość edukacyjną – stąd ten wpis). Jak można było uzyskać dostęp do e-maili innych osób via OWA? W pewnym miejscu ten ostatni generował token JWT, który (uwaga, uwaga) nie był podpisany (więcej…

Czytaj dalej »

sekurak.pl – podsumowanie 2020r. i ambitne plany na bieżący rok ;-)

02 stycznia 2021, 13:47 | Aktualności | komentarzy 9
sekurak.pl – podsumowanie 2020r. i ambitne plany na bieżący rok ;-)

Zacznijmy od suchych liczb – w 2020r. wg Google Analytics odwiedziło nas 1,687,944 użytkowników (4,622,829 wyświetleń stron). Realnie zapewne sporo więcej. Bo któż – szczególnie w naszej branży – nie blokuje Analyticsów? My blokujemy :-) Przechodząc do części bardziej fabularnej, początek roku rozpoczął się średnio optymistycznie – my chyba jako…

Czytaj dalej »

Super promocja ebooków od Helion

02 stycznia 2021, 08:55 | Aktualności | komentarze 3
Super promocja ebooków od Helion

Helion ruszył z noworoczną paczką mocnych promocji ebooków – tym razem zerknijcie na wyselekcjonowane pozycje z branży IT (linki + rabaty przy każdej pozycji książkowej poniżej): Kod nieskażony O tym, ile problemów sprawia niedbale napisany kod, wie każdy programista. Nie wszyscy jednak wiedzą, jak napisać ten świetny, czysty kod i…

Czytaj dalej »

Ticketmaster hackował konkurencję pozyskując poufne informacje i przejmując klientów. Kara: $10 000 000.

31 grudnia 2020, 21:27 | W biegu | komentarze 4
Ticketmaster hackował konkurencję pozyskując poufne informacje i przejmując klientów. Kara: $10 000 000.

Pamiętajcie, że hacki to nie zawsze spektakularne wycieki danych. Czasem sprawa odbywa się „po cichu” – a im więcej dyskrecji tym lepiej. Tak działał Ticketmaster który ma zapłacić gigantyczną karę – bo aż 10 milionów USD. Co się wydarzyło? W zasadzie wszystko wyjaśnia ten cytat (za Dept. of Justice, USA):…

Czytaj dalej »

Microsoft: w wyniku hacku naszej instancji Solarwinds Orion, napastnicy uzyskali dostęp do kodu źródłowego

31 grudnia 2020, 19:49 | W biegu | 0 komentarzy
Microsoft: w wyniku hacku naszej instancji Solarwinds Orion, napastnicy uzyskali dostęp do kodu źródłowego

Microsoft już jakiś czas temu pisał o incydencie związanym ze słynnym hackiem Solarwinds. Czytaliśmy wtedy: We have not found evidence of access to production services or customer data. Our investigations, which are ongoing, have found absolutely no indications that our systems were used to attack others. Mimo, że powyższa informacja…

Czytaj dalej »

Książka sekuraka: „bezpieczeństwo aplikacji WWW” w wersji elektronicznej dostępna od Wigilii :)

23 grudnia 2020, 14:47 | Aktualności | 0 komentarzy
Książka sekuraka: „bezpieczeństwo aplikacji WWW” w wersji elektronicznej dostępna od Wigilii :)

Dobra wiadomość jest taka, że format PDF planowany wstępnie na styczeń, mamy już gotowy, a wysyłka odbędzie się jutro (tj. 24.12.2020r.). Dla osób, które jeszcze nie znają naszej książki – to blisko 800 stron aktualnej wiedzy o bezpieczeństwie aplikacji WWW. Książka podzielona jest na rozdziały wprowadzające Czytelnika w tematykę, prezentując…

Czytaj dalej »

Zostań specem od rekonesansu sieciowego. Zapraszamy na skondensowany kurs recon master od sekuraka (nmap&masscan)

21 grudnia 2020, 19:07 | Aktualności | komentarze 2
Zostań specem od rekonesansu sieciowego. Zapraszamy na skondensowany kurs recon master od sekuraka (nmap&masscan)

Tym razem mamy dla Was ciekawą opcję last minute – kurs: Recon master. Rekonesans sieciowy: nmap&masscan z 40% rabatem. Wystarczy zapisać się tutaj (https://recon2.sekurak.pl/) wpisując kod rabatowy: recon-lastminute-40 (dla biletu Standard lub biletu z certyfikatem uczestnictwa). Szkolenie odbywa się 22.12.2020 (13:00) – jeśli nie odpowiada Ci termin – otrzymasz film…

Czytaj dalej »

Kardynalny błąd w popularnej javowej bibliotece kryptograficznej Bouncy Castle – można omijać logowanie, jeśli użyto bcrypt-a

20 grudnia 2020, 16:09 | Aktualności | komentarze 3
Kardynalny błąd w popularnej javowej bibliotece kryptograficznej Bouncy Castle – można omijać logowanie, jeśli użyto bcrypt-a

Sami badacze piszą tak: CVE-2020-28052 is an authentication bypass vulnerability discovered in Bouncy Castle’s OpenBSDBcrypt class. It allows attackers to bypass password checks. O co dokładnie chodzi? Zerknijcie tutaj. Użytkownik loguje się, podając hasło. Aplikacja liczy hash hasła i porównuje go z wartością w bazie. W jaki sposób porównuje? Mniej…

Czytaj dalej »