-20% z kodem swieta-2021 -> Książka sekuraka o bezpieczeństwie aplikacji webowych (idealna również dla początkujących).

Aktualności

Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

04 stycznia 2021, 13:24 | W biegu | 0 komentarzy
Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

Ostatnio nieco atencji doznały te podatności (są one już dość wiekowe – 2019r. / załatane, ale mają sporą wartość edukacyjną – stąd ten wpis). Jak można było uzyskać dostęp do e-maili innych osób via OWA? W pewnym miejscu ten ostatni generował token JWT, który (uwaga, uwaga) nie był podpisany (więcej…

Czytaj dalej »

sekurak.pl – podsumowanie 2020r. i ambitne plany na bieżący rok ;-)

02 stycznia 2021, 13:47 | Aktualności | komentarzy 9
sekurak.pl – podsumowanie 2020r. i ambitne plany na bieżący rok ;-)

Zacznijmy od suchych liczb – w 2020r. wg Google Analytics odwiedziło nas 1,687,944 użytkowników (4,622,829 wyświetleń stron). Realnie zapewne sporo więcej. Bo któż – szczególnie w naszej branży – nie blokuje Analyticsów? My blokujemy :-) Przechodząc do części bardziej fabularnej, początek roku rozpoczął się średnio optymistycznie – my chyba jako…

Czytaj dalej »

Super promocja ebooków od Helion

02 stycznia 2021, 08:55 | Aktualności | komentarze 3
Super promocja ebooków od Helion

Helion ruszył z noworoczną paczką mocnych promocji ebooków – tym razem zerknijcie na wyselekcjonowane pozycje z branży IT (linki + rabaty przy każdej pozycji książkowej poniżej): Kod nieskażony O tym, ile problemów sprawia niedbale napisany kod, wie każdy programista. Nie wszyscy jednak wiedzą, jak napisać ten świetny, czysty kod i…

Czytaj dalej »

Ticketmaster hackował konkurencję pozyskując poufne informacje i przejmując klientów. Kara: $10 000 000.

31 grudnia 2020, 21:27 | W biegu | komentarze 4
Ticketmaster hackował konkurencję pozyskując poufne informacje i przejmując klientów. Kara: $10 000 000.

Pamiętajcie, że hacki to nie zawsze spektakularne wycieki danych. Czasem sprawa odbywa się „po cichu” – a im więcej dyskrecji tym lepiej. Tak działał Ticketmaster który ma zapłacić gigantyczną karę – bo aż 10 milionów USD. Co się wydarzyło? W zasadzie wszystko wyjaśnia ten cytat (za Dept. of Justice, USA):…

Czytaj dalej »

Microsoft: w wyniku hacku naszej instancji Solarwinds Orion, napastnicy uzyskali dostęp do kodu źródłowego

31 grudnia 2020, 19:49 | W biegu | 0 komentarzy
Microsoft: w wyniku hacku naszej instancji Solarwinds Orion, napastnicy uzyskali dostęp do kodu źródłowego

Microsoft już jakiś czas temu pisał o incydencie związanym ze słynnym hackiem Solarwinds. Czytaliśmy wtedy: We have not found evidence of access to production services or customer data. Our investigations, which are ongoing, have found absolutely no indications that our systems were used to attack others. Mimo, że powyższa informacja…

Czytaj dalej »

Książka sekuraka: „bezpieczeństwo aplikacji WWW” w wersji elektronicznej dostępna od Wigilii :)

23 grudnia 2020, 14:47 | Aktualności | 0 komentarzy
Książka sekuraka: „bezpieczeństwo aplikacji WWW” w wersji elektronicznej dostępna od Wigilii :)

Dobra wiadomość jest taka, że format PDF planowany wstępnie na styczeń, mamy już gotowy, a wysyłka odbędzie się jutro (tj. 24.12.2020r.). Dla osób, które jeszcze nie znają naszej książki – to blisko 800 stron aktualnej wiedzy o bezpieczeństwie aplikacji WWW. Książka podzielona jest na rozdziały wprowadzające Czytelnika w tematykę, prezentując…

Czytaj dalej »

Zostań specem od rekonesansu sieciowego. Zapraszamy na skondensowany kurs recon master od sekuraka (nmap&masscan)

21 grudnia 2020, 19:07 | Aktualności | komentarze 2
Zostań specem od rekonesansu sieciowego. Zapraszamy na skondensowany kurs recon master od sekuraka (nmap&masscan)

Tym razem mamy dla Was ciekawą opcję last minute – kurs: Recon master. Rekonesans sieciowy: nmap&masscan z 40% rabatem. Wystarczy zapisać się tutaj (https://recon2.sekurak.pl/) wpisując kod rabatowy: recon-lastminute-40 (dla biletu Standard lub biletu z certyfikatem uczestnictwa). Szkolenie odbywa się 22.12.2020 (13:00) – jeśli nie odpowiada Ci termin – otrzymasz film…

Czytaj dalej »

Kardynalny błąd w popularnej javowej bibliotece kryptograficznej Bouncy Castle – można omijać logowanie, jeśli użyto bcrypt-a

20 grudnia 2020, 16:09 | Aktualności | komentarze 4
Kardynalny błąd w popularnej javowej bibliotece kryptograficznej Bouncy Castle – można omijać logowanie, jeśli użyto bcrypt-a

Sami badacze piszą tak: CVE-2020-28052 is an authentication bypass vulnerability discovered in Bouncy Castle’s OpenBSDBcrypt class. It allows attackers to bypass password checks. O co dokładnie chodzi? Zerknijcie tutaj. Użytkownik loguje się, podając hasło. Aplikacja liczy hash hasła i porównuje go z wartością w bazie. W jaki sposób porównuje? Mniej…

Czytaj dalej »

Bieżące trendy w phishingu – raport od Barracudy

20 grudnia 2020, 14:01 | W biegu | komentarze 2
Bieżące trendy w phishingu – raport od Barracudy

Najnowszy raport firmy Barracuda opisuje trendy w spearphishingu, z uwzględnieniem nowych koronawirusowych maili. Pierwsze pojedyncze koronawirusowe phishingi zostały zidentyfikowane przez Barracudę już w styczniu, a gwałtowny wzrost odnotowano w pierwszych tygodniach marca. Nie jest zaskoczeniem, że phishingi koronawirusowe dotyczą głównie wyłudzeń środków pod pretekstem datków na walkę z pandemią. Światowa…

Czytaj dalej »

Michał Bentkowski znowu niszczy jedną z topowych bibliotek chroniących m.in. przed podatnościami XSS – zobacz stream na żywo

18 grudnia 2020, 23:11 | W biegu | komentarzy 12
Michał Bentkowski znowu niszczy jedną z topowych bibliotek chroniących m.in. przed podatnościami XSS – zobacz stream na żywo

Restartujemy nasze ~regularne, bezpłatne live streamy na sekurak.tv. Tym razem Michał Bentkowski zaprezentuje na żywo temat: A word about DOMPurify bypasses a.k.a why DOM parsing is crazy. To efekt jego pastwienia się nad projektem DOMPurify, gdzie ostatnio zgłosił kilka sposobów na ominięcie oferowanych przez projekt zabezpieczeń. W pewnym momencie twórcy…

Czytaj dalej »

Microsoft zhackowany – dalszy ciąg afery z Solarwinds. Co z aktualizacjami Windows?

18 grudnia 2020, 11:00 | W biegu | 1 komentarz
Microsoft zhackowany – dalszy ciąg afery z Solarwinds. Co z aktualizacjami Windows?

Zacznijmy od końca – nie ma obecnie żadnych dowodów na to żeby aktualizacje Windows (czy innych produktów Microsoftu) były zanieczyszczone dodatkowym kodem. Gdyby tak się stało, byłby to chyba największy hack ever. Niemniej jednak Microsoft potwierdza hack, jednocześnie wskazując podjęte środki zaradcze: Like other SolarWinds customers, we have been actively…

Czytaj dalej »

Politico: agencja odpowiedzialna za broń atomową w USA zhackowana. Buszowali (buszują?!) po sieciach wewnętrznych…

17 grudnia 2020, 22:21 | W biegu | komentarze 2
Politico: agencja odpowiedzialna za broń atomową w USA zhackowana. Buszowali (buszują?!) po sieciach wewnętrznych…

Całość to kolejne pokłosie afery z Solarwinds – tym razem Politico pisze tak: The Energy Department and National Nuclear Security Administration, which maintains the U.S. nuclear weapons stockpile, have evidence that hackers accessed their networks as part of an extensive espionage operation that has affected at least half a dozen…

Czytaj dalej »