Znany i często spotykany atak typu cross-site-scripting polega na wstrzyknięciu złośliwego kodu HTML/javascript w treść strony. Najbardziej znanymi konsekwencjami tego ataku są: przejęcie sesji (poprzez wykradnięcie ciasteczek) oraz omijanie zabezpieczeń anty-CSRF. Jednak XSS-y dają nam znacznie więcej możliwości. W poniższym tekście zaprezentuję BeEF’a – narzędzie umożliwiające wykorzystanie tego typu błędów…
Czytaj dalej »
Kolejny trup znaleziony w szafie po hacku teamu NSA. Tym razem chodzi o możliwość wysłania nieuwierzytelnionych pakietów protokołu IKE (wykorzystywanego w IPsec) w celu uzyskania zrzutów pamięci z urządzenia Cisco PIX.
Czytaj dalej »
14 czerwca 2016r., znalazłem informację o nowym ransomware o nazwie RAA. Kilka serwisów związanych z bezpieczeństwem określiło go jako pierwsze tego rodzaju oprogramowanie napisane w całości w JavaScripcie, włącznie z algorytmem szyfrującym pliki na dysku komputera ofiary. Dzięki informacjom otrzymanym od @hasherezade, która na co dzień zajmuje się analizą złośliwego oprogramowania,…
Czytaj dalej »
Jak donosi Wired, blisko 100 milionów samochodów wyprodukowanych przez grupę Volkswagen ostatnie 20 lat może być otwarte bezprzewodowo w wyniku hacka.
Czytaj dalej »
TL;DR – zapraszamy na nasze 1-dniowe warsztaty na warszawskiej konferencji Security Case Study (13 września). Tym razem tematyka testowania bezpieczeństwa aplikacji webowych.
Czytaj dalej »
Projekt Sauron działa jedynie w pamięci (nie zostawia zatem śladów na HDD), wykorzystuje techniki przenoszenia siebie przez sieć lub ukryte partycje na USB, pierwszą infekcję datowano na 2011 rok, ale wykryta została dopiero niedawno… Cel: ambasady, instalacje wojskowe, branża finansowa / telekomunikacyjna, ośrodki badawcze. Co Wam to przypomina?
Czytaj dalej »
Wersja 48 Firefoksa w prowadza kilka ciekawych funkcji dotyczących bezpieczeństwa. Zobaczcie szczegóły.
Czytaj dalej »
AdGholas: zaatakowano 22 sieci reklamowe i serwowano malware m.in na 113 serwisach. Interia.pl newyorktimes.com topgear.com cnet.com last.fm msn.com – to tylko kilka znanych domen objętych procederem.
Czytaj dalej »
Interesujący 60-stronicowy poradnik zwiększający świadomość bezpieczeństwa IT w środowisku biznesowym. Do tego wydany w atrakcyjnej formie i bezpłatny. To w skrócie jeden z materiałów Dziennika Internautów, w którym nieco maczaliśmy ręce :)
Czytaj dalej »
W ostatnim odcinku braliśmy na warsztat 2 modele TP-Link Archer – był tam nieuwierzytelniony root. Tym razem temat trochę trudniejszy do wykrycia ale na pewno przydatny dla badaczy bezpieczeństwa TP-Linków.
Czytaj dalej »
Spora część aplikacji webowych umożliwia wgranie własnego pliku na serwer poprzez podanie adresu URL, skąd zostanie on automatycznie pobrany na serwer. W tym artykule omówimy jakie problemy mogą wynikać z takiego rozwiązania – innymi słowy poznamy podatność Server-Side Request Forgery (SSRF).
Czytaj dalej »
Do tej pory opublikowaliśmy dwa numery naszego zina (dostępny bezpłatnie, bez rejestracji, w pdf i formatach mobilnych) – oba o tematyce dotyczącej bezpieczeństwa aplikacji webowych. Pracujemy nad trzecim i z chęcią pozyskamy nowych autorów.
Czytaj dalej »
Czy kojarzycie wpisywanie hasła administratora przy podłączeniu drukarki (kiedy automatycznie instalują się sterowniki)? Ja nie bardzo…
Czytaj dalej »
Jeśli pracujesz z co najmniej jedną z technologii: HTML/CSS/Javascript/jQuery/AngularJS/React – mamy dla Ciebie świetnie szkolenie. Startujemy z 2-dniowym kursem prowadzonym przez Michała Bentkowskiego, zajmującego obecnie 11 miejsce w globalnym rankingu Hall of Fame Google – Application Security.
Czytaj dalej »
Możliwość nieuwierzytelnionego wykonywania poleceń jako OS root w dość nowych urządzeniach TP-Link: Archer C20i oraz Archer C2.
Czytaj dalej »
