Sekurak - piszemy o bezpieczeństwie

Persistent XSS na stronie głównej wykopu. Zrobiliśmy małe PoC przygotowując odpowiednią reklamę sekuraka…

W artykule znajduje się opis sposobu wykorzystania podatności PHP Object Injection do wykonania dowolnego kodu w aplikacji korzystającej z frameworka Zend 2.

Jak nie wszyscy wiedzą, popularny Facebook domyślnie pozwala na wyszukiwanie swych użytkowników na podstawie numeru telefonu. Wszystkich użytkowników, a nie tylko tych, których mamy w „znajomych”. Podobny trik działa w przypadku adresów e-mail. Spójrzmy na przykłady.

Dodawanie plików przez użytkowników web aplikacji wiąże się z wieloma zagrożeniami. Pentesterzy w tym obszarze często szukają luk prowadzących do zdalnego wykonania kodu po stronie serwera. A co gdyby dodanie nowego pliku skutkowało wykonaniem złośliwego skryptu JS? Taką możliwość dają pliki SVG opisujące grafikę wektorową we współczesnych przeglądarkach.

Klasyczne skimmery to urządzenia montowane przez przestępców na bankomatach w celu nielegalnego skopiowania zawartości paska magnetycznego karty płatniczej, co pozwala później na wykonywanie nieuprawnionych transakcji. Skimmery nowego typu mogą jednak kopiować również informacje zawarte na kartach chipowych.

Udało nam się zdobyć kolejnego sponsora na rozwal.to. Można wygrać gotówkę i inne nagrody. Przy okazji zdobyć cenną, praktyczną wiedzę :-)

Po zaprzestaniu rozwijania Truecrypta powstało wiele różnych klonów oraz projektów chcących dalej rozwijać narzędzie. Ale chyba tylko jeden (VeraCrypt) rozwija się odpowiednio intensywnie i zdobywa sporą popularność wśród społeczności.

Prędzej czy później komputery kwantowe o możliwościach znacznie przewyższających tradycyjne maszyny obliczeniowe wejdą do powszechnego użytku. Będzie to moment, w którym cała gama stosowanych obecnie algorytmów szyfrowania straci swoje znaczenie.

Jeśli używacie Firefoksa, to upewnijcie się, że macie zainstalowaną najnowszą wersję. W sieci jest obecnie wykorzystywana podatność pozwalająca serwisom internetowym na wykradanie plików z lokalnych dysków internautów.

Temat wykradania danych z systemów odizolowanych sieciowo i elektronicznie za pośrednictwem przypadkowych emisji radiowych jest dobrze znany chociażby w kontekście technologii Tempest. Możliwe jest również celowe wzbudzanie emisji w celu wyciągania danych za pomocą ukrytego kanału radiowego.

Dwóch niemieckich naukowców przedstawiło wyniki interesujących badań nad metodami rozpoznawania twarzy w kompletnej ciemności. Algorytm działa na zasadzie porównywania obrazów termalnych ze zwykłymi zdjęciami twarzy.

Pewnie dużo z Was już przynajmniej przejrzało naszego zin-a: sekurak/offline – o tematyce bezpieczeństwa aplikacji webowych. Dzisiaj kilka statystyk + prośby o opinie / usprawnienia do całego projektu.

„Computer Chronicles” to amerykański program telewizyjny nadawany w latach 1983 – 2002 przez telewizję publiczną PBS. Dziś przypomnimy sobie, na jakim poziomie stały niegdyś produkcje telewizyjne i w jaki sposób wiele lat temu spostrzegano zagadnienia związane z bezpieczeństwem komputerowym. Wnioski mogą być bardzo interesujące, a przy okazji pewnie niejednemu starszemu czytelnikowi zakręci…

Część II artykułu o integracji auditd i OSSEC skupia się na pisaniu własnych dekoderów dla logu auditd, reguł dla alarmowania oraz konfiguracji moduł Active Response.

Biometria behawioralna, czyli analiza pewnych charakterystycznych cech naszego zachowania, może być z powodzeniem wykorzystana do odkrycia naszej tożsamości. Przed takim scenariuszem nie ochroni nas nawet korzystanie z sieci Tor, a potencjalne możliwości tej technologii możecie już dziś sprawdzić sami na sobie.