-20% z kodem swieta-2021 -> Książka sekuraka o bezpieczeństwie aplikacji webowych (idealna również dla początkujących).

Aktualności

Wyciek z devil-torrents[.]pl – ktoś udostępnia około 120 000 rekordów o użytkownikach oraz 17 GB bazę.

05 stycznia 2022, 16:29 | W biegu | komentarze 2
Wyciek z devil-torrents[.]pl – ktoś udostępnia około 120 000 rekordów o użytkownikach oraz 17 GB bazę.

O ogłoszeniu na jednym z forów powiadomił nas czytelnik. Do wycieku doszło prawdopodobnie z całego serwisu (m.in. wpisy z forum – całość wg ogłoszenia mówi o 17 GB), ale najciekawsza dla przestępców może okazać się tabela z użytkownikami. Doniesienia mówią o wycieku z początku 2021 roku: Co więcej, dostępna jest…

Czytaj dalej »

Problemy bezpieczeństwa z cache w aplikacjach webowych. Kompleksowy poradnik od sekuraka.

05 stycznia 2022, 12:51 | W biegu | komentarze 3
Problemy bezpieczeństwa z cache w aplikacjach webowych.  Kompleksowy poradnik od sekuraka.

Tym razem trochę nietypowy wpis. Nieco bardziej rozbudowane materiały umieszczamy najczęściej w sekcji teksty (w formie tekstowej ;), ale tym razem udostępniamy do pobrania w formie PDFa zupełnie nowy rozdział z książki sekuraka o bezpieczeństwie aplikacji webowych. Rozdział dostępny do pobrania jest tutaj i możecie się nim dzielić dalej :-)…

Czytaj dalej »

Przypatrzcie się temu SMS-owi. Czy ktoś bezczelnie podszywa się pod Orange?! Okazuje się, że…

04 stycznia 2022, 16:45 | W biegu | komentarzy 5
Przypatrzcie się temu SMS-owi. Czy ktoś bezczelnie podszywa się pod Orange?! Okazuje się, że…

Jakiś czas temu zaalarmowany treścią wiadomości czytelnik, wysłał nam zrzut takiego SMSa: Domena page[.]link, nieco dziwny cały link, skrótowiec oraz namawianie na zainstalowanie zewnętrznej „jakiejś appki”. Po wstępnej analizie (zastanawiając się gdzie tak naprawdę jest scam) skontaktowaliśmy się z CERT Orange Polska (kontakt jest tutaj zawsze bardzo szybki i zawsze…

Czytaj dalej »

„Wyciek” haseł głównych LastPass okazał się błędem oprogramowania

04 stycznia 2022, 16:18 | W biegu | komentarze 3
„Wyciek” haseł głównych LastPass okazał się błędem oprogramowania

Użytkownicy menedżera haseł LastPass mogli w ostatnim czasie otrzymać alerty informujące, że ktoś z nieznanej lokalizacji próbował zalogować się na ich konto z użyciem hasła głównego. Komunikat wyglądał w ten sposób: Informacje od zaniepokojonych użytkowników pojawiły się w dość dużych ilościach; najistotniejsze opisy i wczesne przypuszczenia zgromadzono w tym wątku…

Czytaj dalej »

Kiedy pliki jednego z rządowych intranetów stają się dostępne dla wszystkich…

04 stycznia 2022, 11:06 | W biegu | komentarze 3
Kiedy pliki jednego z rządowych intranetów  stają się dostępne dla wszystkich…

Jakiś czas temu otrzymaliśmy informację o dość ciekawym przypadku: intranet Wojewódzkiego Inspektoratu Ochrony Środowiska we Wrocławiu udostępniony w Internecie. Czy nie było tam logowania? – zapytacie. Było – odpowiemy. Więc w czym problem? – będziecie dociekać. Ano w tym, że pliki – dostępne normalnie po logowaniu – były również możliwe…

Czytaj dalej »

Pasywny rekonesans kont Google i Microsoft [OSINT hints]

04 stycznia 2022, 10:48 | W biegu | 0 komentarzy
Pasywny rekonesans kont Google i Microsoft [OSINT hints]

Jedną z szybkich i efektywnych technik rekonesansu OSINT-owego jest zdobywanie szczegółowych informacji o osobie i jej zdjęciu profilowym na podstawie adresu e-mail. Jeśli jest to konto Google, można skorzystać z takich narzędzi jak opisywany już przeze mnie w tej serii GHunt. Można też użyć narzędzia, którego nie trzeba instalować, czyli…

Czytaj dalej »

10 sposobów na zdobycie podwyżki w IT

03 stycznia 2022, 10:24 | W biegu | komentarzy 7
10 sposobów na zdobycie podwyżki w IT

Nie ukrywajmy tego: programistą, testerem oprogramowania, specjalistą od administrowania siecią zostaje się z pasji i… dla pieniędzy. Branża IT płaci dobrze, ale wiesz – zawsze może być lepiej. A my znamy co najmniej 10 sposobów na to, jak to zrobić, by faktycznie było „lepiej” 😉 Specjalista w branży IT –…

Czytaj dalej »

Problem roku 2022 – użytkownicy Microsoft Exchange zgłaszają problemy działaniem poczty. Winna wartość: 2147483647…

01 stycznia 2022, 19:00 | W biegu | komentarzy 10
Problem roku 2022 – użytkownicy Microsoft Exchange zgłaszają problemy działaniem poczty. Winna wartość: 2147483647…

Mogłoby się wydawać, że błędy w systemach informatycznych związane ze zmianą roku to domena przeszłości (np. znany problem roku 2000). Tymczasem nie do końca, bo użytkownicy Microsoft Exchange, czyli rozwiązania pocztowego stosowanego głównie w firmach, zgłaszają dziś takie błędy: The FIP-FS „Microsoft” Scan Engine failed to load. PID: ХХХХХ, Error…

Czytaj dalej »

Współpracuj z sekurakiem od 2022 roku [potrzeba pomocy redakcyjnej]

31 grudnia 2021, 12:50 | Aktualności | komentarzy 9
Współpracuj z sekurakiem od 2022 roku [potrzeba pomocy redakcyjnej]

Dla przypomnienia w Securitum szukamy teraz aż pięciu pentsterów, ale to ogłoszenie dotyczy nieco innego tematu ;) Szukamy osób do stałej lub okazjonalnej współpracy w obszarach: opracowywanie / research newsów (tylko regularna współpraca) i/lub: opracowywanie tekstów / poradników dla osób nietechnicznych (planujemy pewien nowy projekt… :) i/lub: opracowywanie wpisów /…

Czytaj dalej »

Właściciel lokalu wynajmowanego na Airbnb śledził AirTagiem najemców… Po co? Spał w mieszkaniu kiedy najemcy byli w terenie

30 grudnia 2021, 21:41 | W biegu | 0 komentarzy
Właściciel lokalu wynajmowanego na Airbnb śledził AirTagiem najemców…  Po co? Spał w mieszkaniu kiedy najemcy byli w terenie

Historia opisywana jest przez jednego z komentatorów Reddita przy okazji kolejnego znaleziska o śledzeniu AirTagiem samochodu. Jest to jeden z nowych sposobów na typowanie auta do ew. późniejszej kradzieży – pisaliśmy o tym niedawno. Wracając do tytułu, przetłumaczmy większy fragment komentarza zamieszczonego przez jednego z użytkowników: Po wynajęciu lokalu przez…

Czytaj dalej »

Jacek Kurski przypadkowo opublikował swój numer telefonu / adres

30 grudnia 2021, 09:10 | W biegu | komentarzy 5
Jacek Kurski przypadkowo opublikował swój numer telefonu / adres

Dzięki naszym nieocenionym czytelnikom o wpadce dowiedzieliśmy się dość szybko. Po wystąpieniu tego typu incydentu, można się spodziewać co się dzieje na telefonie pana Jacka… więc żeby jeszcze bardziej nie podgrzewać atmosfery (każdemu może zdarzyć się wpadka), nieco wstrzymaliśmy się z publikacją. Obecnie jednak sporo mediów już rozpyliło wieści, mleko…

Czytaj dalej »

System do płatności używał podatnej biblioteki log4j. Dostali się więc na serwer dużej giełdy kryptowalut [Wietnam]

29 grudnia 2021, 22:19 | W biegu | 0 komentarzy
System do płatności używał podatnej biblioteki log4j. Dostali się więc na serwer dużej giełdy kryptowalut [Wietnam]

Jeśli ktoś potrzebuje przykładu większego włamania z wykorzystaniem luki w Log4j – bardzo proszę. Celem była wietnamska giełda kryptowalut Onus (około 1.5-2 milionów użytkowników), która używała podatnego rozwiązania firmy Cyclos: Wprawdzie Cyclos szybko wypuścił łatkę na swoje rozwiązanie, jednak przed jej aplikacją przez giełdę, atakujący zdążyli uzyskać dostęp na stosowny…

Czytaj dalej »

Podrobiona strona bankowości PKO BP – czy dostrzeżesz drobną zmianę w adresie?

29 grudnia 2021, 15:07 | W biegu | 1 komentarz
Podrobiona strona bankowości PKO BP – czy dostrzeżesz drobną zmianę w adresie?

O temacie ostrzega CSIRT KNF. Jak widzicie poniżej, jeśli ktoś w ferworze świąt potrzebowałby szybko zalogować się do bankowości, być może nie zauważy niepozornej zmiany widocznej w pasku adresu przeglądarki: Jak też widzicie powyżej, w przeglądarce jest kłódka, co oznacza bezpieczne połączenie https. No ale co najwyżej w bezpieczny sposób…

Czytaj dalej »

Log4j: wykryto kolejny RCE w 2.17.0. Ale nie ma powodów do paniki (CVE-2021-44832)

28 grudnia 2021, 23:05 | W biegu | 0 komentarzy
Log4j: wykryto kolejny RCE w 2.17.0. Ale nie ma powodów do paniki (CVE-2021-44832)

Opis podatności jest dość enigmatyczny: Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration. Z jednej strony jest to RCE (remote code execution), czyli możliwość wykonania kodu po stronie serwera, z drugiej strony powaga podatności (skala CVSS) została oszacowana na 6.6/10. Dlaczego nie 10/10 jak w przypadku…

Czytaj dalej »