W wersji podstawowej, jest to program pośredniczący w ruchu HTTP i HTTPS, pozwalający zatrzymywać, edytować i odrzucać wysyłane żądania z przeglądarki internetowej. Niezwykle przydatny do sprawdzania zachowania web aplikacji, po wysłaniu danych innych, niż pozwala użytkownikowi jej frontend. Można to robić w czasie rzeczywistym (czyli zatrzymać żądanie, zmodyfikować i przesłać…
Czytaj dalej »
Na sekuraku staramy się utrzymywać wysoki poziom merytoryczny i w podobny sposób staramy się prowadzić nasze warsztaty z bezpieczeństwa.
Czytaj dalej »
TL;DR: prawie 6 tysięcy sklepów skimmowanych przez wiele miesięcy. Załatanych obecnie mniej niż 1000. Są domeny z Polski.
Czytaj dalej »
Kto śledzi treści publikowane na sekuraku, ten wie, że Internet of Things (IoT) jest tak skromnie zabezpieczony, iż większość tych urządzeń, może posłużyć jako węzły w botnetach wykonujących ataki DDoS. Niestety, to nie pełny zasób możliwości, jaki niosą ze sobą te urządzenia…
Czytaj dalej »
SHP nawiedziło ~200 osób, rozdaliśmy ok 10 różnych TP-Linków, 20 koszulek i masę gadgetów sekuraka. Część osób była zdziwiona, że gadgety można brać za darmo, a hacking party jest bezpłatne :]
Czytaj dalej »
Trzecia i ostatnia część z serii o deserializacji w Javie i problemów za tym idących. Tym razem dowiemy się jakie mamy strategie zabezpieczenia się przed atakami.
Czytaj dalej »
W artykule znajdziesz odpowiedź na pytanie: dlaczego pozostawianie odsłoniętych publicznie baz – prędzej czy później – kończy się wyciekiem danych? Dowiesz się też o tym, jak łatwo wydobyć dane z serwera ElasticSearch i – wyjątkowych przypadkach – uzyskać dostęp do systemu operacyjnego.
Czytaj dalej »
Chińczycy niecałe 2 miesiące temu opisali podatność w googlowym silniku JavaScript używanym choćby w komponencie WebView czy mobilnej wersji Chrome. Błąd umożliwia przejęcie kontroli nad telefonem.
Czytaj dalej »
Jeśli jesteś (nie)szczęśliwym posiadaczem routera DWR-932 B LTE, powinieneś jak najszybciej pomyśleć nad alternatywą, niż czekać na aktualizację firmware. Chyba, że chcesz dołączyć swój domowy / firmowy styk z Internetem do botnetu. Dlaczego? Jak dowiódł Pierre Kim, DWR-932 B LTE, ma wiele luk oraz realizuje swoje funkcje wbrew podstawowym zasadom bezpieczeństwa, które powinny być…
Czytaj dalej »
Naukowcy z uniwersytetu Washington pokazali realną możliwość transmisji danych, używając zamiast komunikacji radiowej – ludzkiego ciała. W końcu trudniej przechwycić komunikację 'w ciele’ niż bezprzewodową, prawda?
Czytaj dalej »
Z racji, że jestem w Trójmieście z małym LAB-em, routerem TP-Linka do rozdania + paroma T-shirtami sekuraka, postanowiliśmy spróbować przygotować naszą imprezę z praktycznymi hack-pokazami w Sopocie.
Czytaj dalej »
Jak to mawiają – z deszczu pod rynnę. OpenSSL łatając 22 września kilka błędów, opisywanych również przez nas (możliwość realizacji DoS-ów), wprowadził nową podatność – oznaczoną jako Critical.
Czytaj dalej »
Zapisy na październikowe Sekurak Hacking Party, wstęp wolny, hacking gwarantowany ;-)
Czytaj dalej »
Kolejna część cyklu tekstów o deserializacji w Javie. Jak już wiemy, całość może prowadzić do wykonania kodu w OS ale również do zDoS-owania naszej aplikacji…
Czytaj dalej »
Badacze z chińskiego Keen Security Lab opublikowali film pokazujący PoC zdalnego ataku (tj. bez fizycznego kontaktu z samochodem) na elektrycznych samochodach Tesla (Model S).
Czytaj dalej »