Ruszamy z nowym hackme, w którym nagrodą jest bezpłatny udział w konferencji Honeynet Workshop, o której pisaliśmy już wcześniej.
Czytaj dalej »
Chcielibyście zagrać czasem w pracy i przy okazji czegoś ciekawego się nauczyć? Nie macie pomysłu na rozkręcenie imprezy? Polecam zatem przyjrzeć się oryginalnej grze: Control-Alt-Hack.
Czytaj dalej »
Jeszcze przez 2 tygodnie (tj. do 14. kwietnia) można wysyłać teksty na nasz konkurs: „najlepszy tekst o bezpieczeństwie”. Mamy do rozdysponowania dwie nagrody: iPada (z możliwością wymiany na gotówkę) oraz jedno ze szkoleń z bezpieczeństwa organizowanych przez Securitum.
Czytaj dalej »
Ciekawy przypadek infekcji bankomatu odkryli ostatnio specjaliści z firmy Symantec. W opisywanym przypadku, podłączony do bankomatu telefon służył przestępcom jako bramka umożliwiająca kontrolowanie urządzenia siecią GSM i wykonywanie takich operacji jak wyrzut dowolnej ilości gotówki.
Czytaj dalej »
Podatności związane z XXE (XML eXternal Entity) ostatnimi czasy zdobywają coraz większą „popularność” w aplikacjach internetowych. Najczęściej wykorzystanie XXE jest sposobem na wykonanie ataku Path Traversal, czasem może jednak dawać większe możliwości. Przyjrzyjmy się tematowi z bliska.
Czytaj dalej »
Analiza kodu stron internetowych może być koszmarem – mieszanina HTML/JS/CSS jest często plątaniną wielu bibliotek, kontekstów, zdarzeń oraz zmiennych, w których łatwo się pogubić. Zniechęca to nie tylko web developerów, ale również inżynierów bezpieczeństwa, do przeprowadzania szczegółowej inspekcji kodu, który zostaje zwracany przez serwer web aplikacji. Poznajmy kilka sztuczek, które ułatwią analizę elementów budujących współczesne strony internetowe.
Czytaj dalej »
Kolejna dawka sekurakowych tekstów, do których być może jeszcze raz warto powrócić.
Czytaj dalej »
Pod tym nieco przewrotnym tytułem prezentujemy interesujące odkrycie opisywane przez Netcraft. Otóż jeden z webserwerów EA został shackowany (zdalne wykonanie kodu na serwerze przez jedną z niezaktualizowanych aplikacji) a następnie przerobiony na serwer phishingowy pobierający m.in. dane kart kredytowych.
Czytaj dalej »
Pierwsza edycja Sekurak Hacking Party okazała się… ciekawą i mile przyjętą inicjatywą. Dzisiaj kilka informacji na ten temat oraz zaproszenie do zgłaszania własnych prezentacji.
Czytaj dalej »
Czy możemy jeszcze korzystać z przeglądarki, która nie pozwala sieciom reklamowym budować bazy naszych zwyczajów podczas surfowania w Internecie?
Nie jest to takie trudne, wystarczy zainstalować odpowiednio skonfigurowane dodatki.
Czytaj dalej »
Praktycznie wszystkie powszechnie używane dziś frameworki są zabezpieczone przed atakiem HTTP Response Splitting. „Prawie” robi czasem dużą różnicę – w tekście pokażemy realny przykład podatności HTTP Response Splitting w google.com
Czytaj dalej »
W poprzednim wpisie poświęconym tworzeniu narzędzi w Pythonie przedstawiłem kilka prostych skryptów korzystających z modułów sys, os oraz httplib. W tym wpisie „zejdziemy” nieco niżej i zobaczymy, jak tworzyć skrypty, które komunikują się z siecią przez sockety.
Czytaj dalej »
Ze względu na niezwykle dużą skalę niektórych rozproszonych ataków odmowy dostępu do usługi ochrona przeciwko nim jest bardzo trudna. Zapobieganie atakom DDoS wymaga wiele pracy administratorów, inwestycji w sprzęt i oprogramowanie, a nawet współpracę z dostawcami internetowymi oraz organami ścigania. Jest to bardzo duży koszt, na który nie mogą pozwolić sobie wszystkie firmy, a w szczególności osoby prywatne. Jak radzić sobie z takim problem?
Czytaj dalej »
W archiwum sekuraka mamy już przeszło 100 autorskich tekstów oraz ponad 40 opisów rozmaitych narzędzi. Dzisiaj przypomnienie kilku ciekawych wpisów.
Czytaj dalej »
Zielona kłódka w pasku adresu przeglądarki internetowej daje poczucie bezpieczeństwa. Niestety może okazać się, że prefiks HTTPS przed adresem strony wcale nie zagwarantuje nam uwierzytelnienia, integralności oraz poufności komunikacji, których oczekujemy od protokołu SSL.
Czytaj dalej »