Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 3.

10 marca 2020, 17:37 | Teksty | komentarzy 6
Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 3.

Dzisiaj wchodzimy poziom wyżej. Zobaczysz, jak działają funkcje, poznasz w końcu, co to jest ten stos, no i będzie standardowo mała robota do pyknięcia. Rozpoczynamy od rozwiązania zadania z lekcji 2. Praca domowa Zadanie rozpoczynasz od linii +28: Ładujemy sobie do rejestru $v0 wartość 1. Naszą jedynkę wrzucamy do pamięci…

Czytaj dalej »

Przekładamy Mega Sekurak Hacking Party

09 marca 2020, 14:27 | Aktualności | komentarzy 31
Przekładamy Mega Sekurak Hacking Party

Drodzy, podjęliśmy dzisiaj decyzję o przełożeniu naszego Mega Sekurak Hacking Party na czerwiec tego roku. Decyzja dla nas (czy osobiście dla mnie) była trudna (w końcu zarówno Sekurak jak i sekurak hacking party traktujemy jak nasze dzieci) oraz podjęta w szczególności w oparciu o aktualne (z 8.03.2020r.) rekomendacje GIS. Wprawdzie nasza…

Czytaj dalej »

Zdalne szkolenie od sekuraka – bezpieczeństwo aplikacji WWW – w rewelacyjnej cenie

05 marca 2020, 12:36 | Aktualności | komentarzy 12
Zdalne szkolenie od sekuraka – bezpieczeństwo aplikacji WWW – w rewelacyjnej cenie

Nieco eksperymentalnie uruchomiliśmy nasze topowe szkolenie z bezpieczeństwa aplikacji WWW w wersji zdalnej. Kurs prowadzi Michał Bentkowski. W kontekście jego researchu ostatnio pisał zachodni Forbes; parę miesięcy temu, na What The Hacku, jego prezentacja otrzymała 1 miejsce w ankietach uczestników (wszystkich prelekcji było około 100 – wiec konkurencja zażarta ;-)  Jeśli…

Czytaj dalej »

Można było obejść funkcję „loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

01 marca 2020, 21:10 | Aktualności | komentarzy 11
Można było obejść funkcję „loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…

Czytaj dalej »

Kr00k (CVE-2019-15126) nowa podatność w WPA2 / WPA2 Enterprise umożliwiająca deszyfrowanie ruchu.

26 lutego 2020, 17:39 | Aktualności | komentarzy 5
Kr00k (CVE-2019-15126) nowa podatność w WPA2 / WPA2 Enterprise umożliwiająca deszyfrowanie ruchu.

Pamiętacie KRACK? (podatni byli klienci WiFi – np. laptopy, telefony, urządzenia IoT; całość polegała na tym, że wartość nonce – sprzecznie z definicją – można było używać nie-tylko-raz. Prowadziło to do możliwości deszyfracji ruchu WiFI). Problem załatano (patche po stronie klienckiej, zazwyczaj patche po stronie routerów WiFi nie były potrzebne…

Czytaj dalej »

Jak czasem można łatwo oszukać mechanizm przypominania hasła? #vulnz

21 lutego 2020, 15:52 | Aktualności | komentarzy 6
Jak czasem można łatwo oszukać mechanizm przypominania hasła? #vulnz

Dzisiaj mała rzecz – a cieszy może czasem doprowadzić do poważnych problemów. Zapewne każdy z nas wielokrotnie korzystał z mechanizmu przypominania hasła – wpisujemy tam login lub e-mail i oczekujemy na wiadomość linkiem umożliwiającym reset hasła. Oczywiście link posiada tzw. token (odpowiednio długi losowy ciąg znaków) potwierdzający, że mogę zmienić…

Czytaj dalej »

Bezpłatne sesje szkoleniowe dla osób, które posiadają lub zakupią naszą książkę. Można uczestniczyć zdalnie.

18 lutego 2020, 09:48 | Aktualności | komentarzy 39
Bezpłatne sesje szkoleniowe dla osób, które posiadają lub zakupią naszą książkę. Można uczestniczyć zdalnie.

Proponujemy Wam taki eksperymentalny projekt: Kupujecie naszą książkę (jeśli ktoś już ma – może przejść do punktu 2 ;). Potwierdzenie zakupu macie na fakturze, która jest generowana automatycznie. Wstępnie zapisujecie się na event poniżej & czekacie na dalsze info. Cały cykl szkoleniowy jest bezpłatny. Uwaga, na razie prosimy o przesłanie…

Czytaj dalej »

Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa

14 lutego 2020, 10:29 | Teksty | komentarzy 19
Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa

Cześć. Rozumiem, że trafiłeś na ten mini kurs ponieważ chcesz rozpocząć swoją przygodę z MIPS’em w kontekście bezpieczeństwa, poznać assembly i zagłębić się w proces reverse engineeringu różnych aplikacji opartych o tą właśnie architekturę. No i super, w takim razie czeka Cię trochę wiedzy do przyswojenia i masa ciekawych, nowych…

Czytaj dalej »

Wyniki konkursu na zdjęcie książki sekuraka

08 lutego 2020, 23:30 | Aktualności | komentarze 3
Wyniki konkursu na zdjęcie książki sekuraka

W konkursie wzięły udział 94 osoby, które przesłały blisko 150 zdjęć. Mieliśmy trudny orzech do zgryzienia, bo każde z przesłanych zdjęć było na swój sposób intrygujące, a nagród miało być tylko 15… Uznaliśmy, że nagrodzimy więcej autorów zdjęć, zwiększając pulę nagród za 3 miejsce. Zacznijmy jednak od przesłanych przez Was…

Czytaj dalej »

Całodzienne MEGA sekurak hacking party 2020 – wystartowały zapisy

17 stycznia 2020, 15:56 | Aktualności | komentarze 22
Całodzienne MEGA sekurak hacking party 2020 – wystartowały zapisy

W zeszłym roku zorganizowaliśmy całodniowe wydarzenie związane z bezpieczeństwem (pojawiło się aż 1300 osób!). Krótka relacja filmowa tutaj, dłuższa – w tym miejscu; Po archiwalne prezentacje można sięgnąć tutaj. Cały event podsumował trafnie jeden z uczestników: Merytorycznie, widowiskowo, bez sztampy Kolejna, całodniowa edycja MEGA sekurak hacking party, odbywa się 16 marca 2020 roku w Krakowie. Podobnie jak w poprzednim…

Czytaj dalej »

Krytyczna podatność w Windowsach. Można podrabiać podpis cyfrowy (w tym certyfikaty SSL/TLS).

14 stycznia 2020, 19:39 | Aktualności | komentarze 24
Krytyczna podatność w Windowsach. Można podrabiać podpis cyfrowy (w tym certyfikaty SSL/TLS).

Zaczęło się od niepotwierdzonych przez Microsoft informacji (CVE-2020-0601), mówiących o błędzie w microsoftowym CryptoAPI: the vulnerability in question resides in a Windows component known as crypt32.dll, a Windows module that Microsoft says handles “certificate and cryptographic messaging functions in the CryptoAPI.” W tym samym poście możemy też poczytać, że podatność zgłosiło amerykańskie…

Czytaj dalej »

Konkurs: do wygrania czarne bluzy/t-shirty sekuraka + świąteczny kod rabatowy na naszą książkę

16 grudnia 2019, 10:44 | Aktualności | komentarzy 11
Konkurs: do wygrania czarne bluzy/t-shirty sekuraka + świąteczny kod rabatowy na naszą książkę

Na początek kod rabatowy -6%: swieta-2019 Naszą książkę o bezpieczeństwie aplikacji webowych można zamówić tutaj. Więcej informacji o samej książce – tutaj (od października sprzedaliśmy ~8000 egzemplarzy). Kilka wrażeń czytelników na gorąco: Przyszła wczoraj. Trzy rozdziały pochłonąłem na raz. Świetna treść (dla nowych jak i zaawansowanych w tematyce websec), bardzo…

Czytaj dalej »