Sekurak - piszemy o bezpieczeństwie

FAQ: 1. Czy jestem podatny? Najprawdopodobniej tak. To tłumaczenie pierwszego często zadawanego pytania dotyczącego podatności Meltdown & Spectre. Do sprawy przygotowali się panowie z Google, zgodnie z założeniami – „pokaż exploit to ci uwierzę”.

Jakiś czas temu w sieci mogliśmy szerzej usłyszeć o mniej znanym mechanizmie „DDE”. Wykorzystanie „Dynamic Data Exchange” pozwala na stworzenie „formuły”, która umożliwi komunikację, np. z innymi aplikacjami, tak, abyśmy mogli np. aktualizować informacje dostępne w sieci (w naszym skoroszycie) lub innym arkuszu. W prawie każdej aplikacji pakietu Office możemy…

CNN donosi o przejęciu przez dwóch rumuńskich obywateli 123 (z wszystkich 187) kamer monitoringu miejskiego, obsługiwanych przez waszyngtońską policję (Metropolitan Police Department of the District of Columbia).

Czy wiesz jak możesz wyszukać osobę jedynie po numerze telefonu? Czy handel kryptowalutami jest na pewno zawsze anonimowy? A może chciałbyś się znaleźć kilka historycznych, teoretycznie usuniętych już informacji o firmie X, albo spróbować poznać geolokalizację danej osoby na podstawie jej wpisów na Twitterze?

W artykule opisane są trzy błędy typu XSS znalezione w ramach bug bounty firmy Google. Wszystkie błędy były możliwe dzięki wykorzystaniu nowych cech standardu ECMAScript.

Monitoring infrastruktury IT jest w dzisiejszych czasach dużym wyzwaniem. Od takich oczywistości, jak dostępność serwerów czy infrastruktury sieciowej, a kończąc na  poziomie naładowania UPS lub czy drzwi są otwarte w szafach rackowych. Mnogość urządzeń i sposobów ich monitorowania często prowadzi do sytuacji, że wdrażamy kilka niezależnych rozwiązań monitoringu, co po…

Na Black Friday mamy dla Was kilka ciekawych promocji, a na deser – info o Sekurak Hacking Party.

Zaczęło się od przygotowania przez marketing HP dramatycznego filmu,  pokazującego w sugestywnym, pełnym mroku scenariuszu, jak to używanie niebezpiecznej drukarki może skończyć się tragicznie… i puentując całość informacją o produktach HP: ” the world’s most secure printers and PCs”. Zaintrygowało to załogę z FoxGlove Security – to ci sami od…

Po czterech latach dostępna jest nowa wersja dokumentu OWASP Top Ten – opisująca 10 największych ryzyk dotyczących bezpieczeństwa aplikacji webowych. Edycja 2017 wprowadza sporo rewolucji, jest to m.in. pojawienie się kilku zupełnie nowych kategorii ryzyk: XXE (na wysokiej pozycji czwartej), – o którym mamy już od dawana sporo informacji na…

Dla branży e-commerce okres świąteczny jest bardzo istotny. Wiele organizacji funkcjonujących na tym rynku duży procent przychodów zdobywa właśnie w tym czasie. Oprócz wielu szans czyhają również zagrożenia, związane głównie z dostępnością systemów transakcyjnych. W tym artykule – bazując na rodzimej usłudze chmury obliczeniowej Oktawave – powiemy Ci, co każdy…

Systemy informatyczne gromadzą i przetwarzają coraz więcej danych. Utrzymujący się tej w dziedzinie trend powoduje, że z czasem w złożoności struktur danych oraz możliwości wiązania danych relacjami w bazach SQL, zaczęto upatrywać niepotrzebny narzut wydajnościowy. Wprost przełożyło się to na wzrost popularności baz typu NoSQL. Prosta struktura danych, brak relacji,…

Jednym z celów prowadzenia działań wywiadowczych jest pozyskanie ściśle chronionych informacji. Zdarzają się zapewne przypadki, gdy planując akcje wykradania danych, nie uwzględnia się konieczności okresowego ponawiania takiego zadania celem ustalenia, czy zebrane informacje nie straciły na aktualności. Bardziej rozsądne wydaje się jednak podejście, które polega na utrzymaniu stałego dostępu do…

Wczoraj udostępniona została aktualizacja Wordpressa (4.8.3), która po raz drugi łata problemy z SQL injection (poprzednia nieudana – jak się okazało – próba była w 4.8.2).

Pouczająca historia żmudnego dekodowania kodu QR zamazanego w programie telewizyjnym. TL;DR: 1) nie zamazuj, tylko zaczerniaj poufne informacje. 2) jeśli zamazujesz informacje na filmie, sprawdź czy pewne klatki nie powodują 'wycieku’ niektórych zamazanych treści (inaczej – zamazuj, a raczej – zaczerniaj –  z dużym marginesem). 3) jeśli zamazana informacja ma znaną strukturę – będzie łatwiej ją odmazać.

Checkpoint pokazuje jak przejąć inteligentny odkurzacz  firmy LG (Hom-Bot robotic vacuum cleaner) – dostęp na żywo do feedu video z odkurzacza, ale także możliwość sterowania nim.