Bit-Flipping jest popularnym atakiem na blokowe algorytmy szyfrowania w trybie CBC (ang. Cipher Block Chaining), wiązania bloków zaszyfrowanych. W wielu przypadkach prowadzi do przejęcia kont innych użytkowników (często administracyjnych), a w skrajnych przypadkach – nawet do zdalnego wykonywania kodu.
Czytaj dalej »
…do tego zabawy z Metasploitem (w tym tworzenie exploitu od zera), praca z potężnym (ale prostym w użyciu) generatorem pakietów scapy, metody podsłuchu ruchu sieciowego… oraz metody ochrony przed tym wszystkim.
Czytaj dalej »
Microsoft załatał (w 7 godzin od zgłoszenia!) krytyczny błąd umożliwiający ominięcie uwierzytelnienia do kont Office 365 (chodziło m.in. również o dostęp do plików składowanych w OneDrive, pocztę elektroniczną, itp).
Czytaj dalej »
Padding Oracle to atak pozwalający na wyłuskanie tekstu jawnego z zaszyfrowanych danych bez znajomości klucza szyfrującego, a także – bez konieczności wyszukiwania błędów w samym algorytmie szyfrującym. W artykule metody ataku i ochrony przed problemem.
Czytaj dalej »
Firma BlueCoat donosi o aktywnych kampaniach malware/ransomware mających na celowniku posiadaczy Androidów w wersjach 4.x (4.0 – 4.4).
Czytaj dalej »
Stephen Keating został skazany na 110 lat więzienia za przestępstwa seksualne na nieletnich. Mężczyzna został zidentyfikowany przez policję na podstawie… zdjęcia jednej z ofiar ukazującego również jego dłonie. To wystarczyło śledczym, by wirtualnie pobrać odbitki linii papilarnych!
Czytaj dalej »
Interesujący wpis pojawił się wczoraj na oficjalnym blogu Opery. Ta znana przeglądarka, jako pierwsza spośród popularnej konkurencji, została wyposażona we wbudowanego i nielimitowanego VPN’a.
Czytaj dalej »
Jigsaw to kolejny przykład złośliwego oprogramowania klasy ransomware. Tym razem, w celu skutecznego wymuszenia okupu, komputerowi przestępcy prowadzą ze swymi ofiarami swoistą grę wzorowaną na słynnym horrorze „Piła”…
Czytaj dalej »
Ukryte katalogi oraz pliki pozostawione przez nieuwagę na serwerze WWW, mogą stać się nieocenionym źródłem informacji podczas testu penetracyjnego. W skrajnych sytuacjach, takich jak pozostawiony katalog .git lub .svn, pozwalają na dostęp do kodu źródłowego aplikacji, co w rezultacie skutkuje całkowitą kompromitacją i uzyskaniem nieautoryzowanego dostępu oraz możliwością przeprowadzenia statycznej analizy kodu źródłowego i odkrycia wszystkich luk.
Czytaj dalej »
TL;DR: można wygrać nagrodę z puli: 10 czarnych ręczników sekuraka, 2 koszulek sekuraka, 2 książek „Zrozumieć Programowanie” z autografem autora.
Czytaj dalej »
W 2014 roku na Sekuraku (oraz w pierwszym e-zinie) pisaliśmy czym jest Content Security Policy. Była to wtedy młoda technologia utrudniająca eksploatację ataków XSS. Od tego czasu standard mocno się rozwinął. Czy obecna wersja CSP 2.0 jest remedium na nieznane luki XSS? Na jakie problemy można natknąć się podczas wdrożeń CSP?
Czytaj dalej »
Skincential Sciences to mało jeszcze znana firma kosmetyczna, która oferuje rzekomo rewolucyjną linię kosmetyków Clearista. Resurfacing (głęboki peeling) oferowany przez kosmetyki tego producenta jest na tyle obiecujący, że zainteresował nawet CIA…
Czytaj dalej »
Panama Papers, czyli ogromny wyciek poufnych dokumentów pochodzących z kancelarii Mossack Fonseca w Panamie, mógł być wynikiem włamania na serwer pocztowy.
Czytaj dalej »
Drugi numer Sekurak/Offline to przeszło 60 stron tekstów o bezpieczeństwie aplikacji webowych. Całość w niezmienionej formie: bezpłatnie, w atrakcyjnej oprawie, treściwie i dostępne również na urządzenia mobilne.
Czytaj dalej »
Niektórzy internauci ponieśli wymierne szkody w wyniku tegorocznego żartu primaaprilisowego przygotowanego przez firmę Google w Gmailu…
Czytaj dalej »