Podstawy obrony przed atakami socjotechnicznymi

03 października 2018, 17:33 | Teksty | komentarzy 12
Podstawy obrony przed atakami socjotechnicznymi

Budując naszą obronę przed tego typu atakami, powinniśmy przede wszystkim poznać i, co najważniejsze (a jednocześnie najtrudniejsze), nauczyć się kilku podstawowych technik wpływu na zachowanie drugiego człowieka, aby w momencie kiedy zostaniemy zaatakowani zauważyć ten fakt i zdążyć się przed nim obronić.

Czytaj dalej »

Wprowadzenie do logiki systemów WAF (Web Application Firewall)

27 września 2018, 12:55 | Teksty | 1 komentarz
Wprowadzenie do logiki systemów WAF (Web Application Firewall)

Systemy Web Application Firewall (WAF) stały się integralną częścią infrastruktury znakomitej większości wykorzystywanych komercyjnie aplikacji internetowych. Pomysł na zbliżone podejście do problemu niebezpiecznych danych wejściowych, jak w przypadku niechcianych pakietów sieciowych, okazał się skuteczną ochroną przed typowymi klasami błędów trapiących aplikacje webowe.

Czytaj dalej »

WASM – czym jest WebAssembly?

24 września 2018, 10:15 | Teksty | komentarzy 5
WASM – czym jest WebAssembly?

WebAssembly (WASM) jest odpowiedzią na rosnące zapotrzebowanie użytkowników (i deweloperów oczywiście) na bogate, funkcjonalnie i szybkie aplikacje webowe. Problemem w takich scenariuszach wykorzystania jest najczęściej wydajność całego środowiska, a do tej pory nie udało się w pełni poprawić wszystkich bolączek JavaScript.

Czytaj dalej »

OpenSSH – enumeracja użytkowników – CVE-2018-15473

22 sierpnia 2018, 12:05 | Teksty | komentarzy 27
OpenSSH – enumeracja użytkowników – CVE-2018-15473

Podczas testów bezpieczeństwa infrastruktury często stajemy przed zadaniem przetestowania bezpieczeństwa serwera SSH. Jednym z podstawowych testów jest sprawdzenie odporności na ataki brute-force. W atakach tego typu znajomość poprawnych nazw użytkowników w znacznym stopniu zwiększa prawdopodobieństwo sukcesu – zamiast sprawdzać wszystkie możliwe kombinacje potencjalnych nazw użytkowników i haseł, sprawdzamy poprawność haseł tylko dla istniejących użytkowników.

Czytaj dalej »

Błąd bezpieczeństwa w aplikacji desktopowej Google Hangouts Chat – czyli jak uczynić Open Redirect znów wielkim

23 lipca 2018, 08:15 | Teksty | komentarzy 13
Błąd bezpieczeństwa w aplikacji desktopowej Google Hangouts Chat – czyli jak uczynić Open Redirect znów wielkim

W artykule opisany jest błąd bezpieczeństwa, który znalazłem na początku czerwca 2018 w aplikacji desktopowej Google Hangouts Chat. Jest przykładem na to, jak aplikacje napisane w Electronie mogą sprawić, by pewnie mniej istotne podatności (jak np. open redirect) stały się nagle poważnymi błędami w aplikacjach.

Czytaj dalej »