Ostatnio therecord.media opublikowało bardzo ciekawy wywiad z osobą po “ciemnej stronie mocy”, czyli z operatorem ransomware REvil. Link do całego wywiadu znajdziesz tutaj, a w tym artykule przedstawimy jego najciekawsze, naszym zdaniem, fragmenty oraz krótką genezę przestępczego modelu “ransomware as a service”. Sodinokibi (REvil) Zanim przejdziemy do REvil musimy zacząć…
Czytaj dalej »
W tym artykule pokażę jedno z możliwych rozwiązań następującego problemu: mamy aplikację webową, której nie chcemy wystawiać na świat, a tylko umożliwić do niej dostęp określonej grupie użytkowników.
Czytaj dalej »
Najprawdopodobniej wszyscy znają mechanizm działania zakładek w przeglądarkach – chcemy zachować odnośnik do jakiejś strony, więc zapisujemy go sobie jako zakładkę i w każdej chwili możemy do tej strony przejść za pomocą tego właśnie odnośnika. Czy można jednak zamiast linku rozpoczynającego się np. od http(s) lub ftp(s) wpisać tam coś…
Czytaj dalej »
Przygody Michała Bentkowski z pomocą w zabezpieczeniu popularnej biblioteki DOMPurify
Czytaj dalej »
O wycieku, znanym jako cit0day informowaliśmy jakiś czas temu. Do kilku firm nawet się odezwaliśmy (patrz np. info o wycieku opublikowane przez Forbot). O część domen pytają nas cały czas czytelnicy, stąd też ta krótka notka. Aby pomóc w namierzeniu ew. wycieków publikujemy listę domen z końcówką .pl, które znalazły…
Czytaj dalej »
Dobra wiadomość jest taka, że format PDF planowany wstępnie na styczeń, mamy już gotowy, a wysyłka odbędzie się jutro (tj. 24.12.2020r.). Dla osób, które jeszcze nie znają naszej książki – to blisko 800 stron aktualnej wiedzy o bezpieczeństwie aplikacji WWW. Książka podzielona jest na rozdziały wprowadzające Czytelnika w tematykę, prezentując…
Czytaj dalej »
W skrócie – przyspieszamy z pracami – do 15.01.2021 (choć staramy się żeby to było do 31.12.2020r.) będą dostępne formaty epub oraz PDF naszej książki o bezpieczeństwie aplikacji WWW (mobi nieco później). Tutaj możecie kupić wersję elektroniczną w cenie 69,5 PLN (posiadacze książki papierowej mają jeszcze rabat -15% -> piszcie…
Czytaj dalej »
Trwało to dość długo, ale wreszcie jesteśmy na finishu. Do 17.12.2020 możecie zakupić naszą książkę o bezpieczeństwie aplikacji WWW (format PDF) w przedprzedaży. Tylko w tej opcji przedsprzedażowej jest ona w cenie 69,9 PLN. Później wróci do ceny katalogowej 94,50 PLN. Dystrybucja w formie mailowej – maksymalnie do 15.01.2021, ale…
Czytaj dalej »
Opis niedawno załatanej podatności macie tutaj. W skrócie – można było wysłać odpowiednio spreparowaną wiadomość, a samo zobaczenie wiadomości (bez klikania) powodowało wykonanie kodu w systemie operacyjnym u ofiary. Podatne były desktopowe wersje Teamsów na wszystkie platformy (Windows, Linux, Mac), a cała podatność sprowadzała się do: persistent XSSa (przez sprytne…
Czytaj dalej »
Dość często otrzymujemy pytania o możliwość wystąpienia w ramach firmowych wydarzeń (kierowanych do osób z IT czy szerzej – do całej firmy). Stąd małe uporządkowanie tematu – mamy Wam do zaproponowania kilka świeżych prezentacji, o których garść informacji poniżej: Mogą być poprowadzone po polsku lub po angielsku. Czas trwania pojedynczej…
Czytaj dalej »
Do maratonu przystąpiło pięciu zawodników. Czas: 3 miesiące. Cel: systemy firmy Apple dostępne z Internetu. Efekt? Zgłoszonych 55 podatności (w tym 11 krytycznych, 29 ważnych (kategoria: High)). Wypłata: $288 500 – w ramach oficjalnego programu bug bounty. Warto zaznaczyć, że Apple posiada ogromną klasę adresową 17.0.0.0/8 (to potencjalnie ponad 16 milionów…
Czytaj dalej »
Po Waszych licznych prośbach uruchamiamy pierwsze (bezpłatne) szkolenie dla uczniów. Sugerowany wiek 14+ Do wyboru tematu zainspirowała nas świeża historia 14-latka z Brazylii, który niedawno otrzymał aż $25 000, za zgłoszenie pewnego buga do Facebooka. Są i młode osoby, które zarabiają jeszcze więcej – ten 19-letni Argentyńczyk otrzymał w sumie…
Czytaj dalej »
Normalnie, pakiet kosztuje: ~139 PLN (+ wysyłka książki). W tym tygodniu z kodem super-kurs możecie go pakiet kupić za 109 PLN (+wysyłka książki). Samo szkolenie „wprowadzenie do bezpieczeństwa aplikacji WWW”, prowadzone przez Michała Bentkowskiego, kierowane jest do programistów, testerów, administratorów i osób interesujących się bezpieczeństwem IT, które chcą poznać podstawowe podejście…
Czytaj dalej »
Wszystkie tematy z tytułu mamy nagrane w ramach regularnego remote Sekurak Hacking Party (lista poniżej). Najbliższe wydarzenie jest 19.08.2020, 20:00 (jeszcze można się zapisać :) Jak uzyskać dostęp do wszystkich prezentacji poniżej oraz awansem – kolejnych? Wystarczy wykupić u nas dowolny abonament dostępowy na udział w rSHP. W abonamencie uzyskujecie dostęp…
Czytaj dalej »
W skrócie – można było w „zwykłym” komentarzu dodać JavaScript, który następnie odpalał się w zalogowanej sesji ofiary (tzw. persistent XSS). No dobra, komentarz najprawdopodobniej nie był taki „zwykły”, ale dodany z wykorzystaniem API: Oczywiście sam JavaScript musi być odpowiednio uzbrojony, więcej na filmiku: A jeszcze więcej odnośnie tego typu…
Czytaj dalej »