Obecnie na hacking party Gliwice mamy zapisanych już przeszło 250 osób. Tutaj można znaleźć jeszcze trochę ostatnich biletów w super cenie < 20PLN. Impreza jest otwarta dla każdego chętnego – nie trzeba być super specem od security – prezentacje będą z jednej strony na dość podstawowym poziomie, a z drugiej…
Czytaj dalej »
Ominięcie uwierzytelnienia w Cisco ASA, XSS-y od kuchni, zagłada JSON Web Token i rekonesans sieciowy. Zapraszamy na Sekurak Hacking Party w Gliwicach!
Czytaj dalej »
W tekście opisany jest kolejny XSS w aplikacji Google Colaboratory. Pokazuje, w jaki nieoczekiwany sposób może zachowywać się biblioteka JS – i może wprowadzić nam w aplikację nieoczekiwanego XSS-a przez… ciasteczka!
Czytaj dalej »
W artykule opisany jest błąd bezpieczeństwa, który znalazłem na początku czerwca 2018 w aplikacji desktopowej Google Hangouts Chat. Jest przykładem na to, jak aplikacje napisane w Electronie mogą sprawić, by pewnie mniej istotne podatności (jak np. open redirect) stały się nagle poważnymi błędami w aplikacjach.
Czytaj dalej »
W artykule opisany jest błąd CVE-2018-6148, naprawiony w Chrome 67 w wersji z dnia 6 czerwca 2018. Błąd ten pozwalał na dodawanie dowolnych nagłówków zapytania HTTP w zapytaniach cross-domenowych. Oznaczało to, że dowolna strona webowa mogła ustawić treść takich nagłówków jak np. X-CSRF-Token, Referer, User-Agent, Host czy Cookie. Inne strony webowe, z kolei, przyjmują za pewnik, że nikt nie może w przeglądarce sobie sam tych nagłówków ustawiać – co może prowadzić do problemów bezpieczeństwa.
Czytaj dalej »
W tekście opisany jest ciekawy XSS znaleziony w lutym 2018 w aplikacji Google Colaboratory. Pokazane jest nie tylko bezpośrednio, gdzie był ten XSS, ale również jakie zostały poczynione próby, by tego XSS-a znaleźć i jakie po drodze były ślepe zaułki. Ponadto, pokazany jest przykład obejścia Content-Security-Policy z użyciem tzw. script gadgets.
Czytaj dalej »
W tekście opisany jest błąd CVE-2018-0296 – upubliczniony 6 czerwca przez Cisco; dotyczący urządzeń Cisco ASA. Oficjalnie podatność została zaklasyfikowana jako Denial Of Service, choć nasze zgłoszenie dotyczyło innego typu błędu…
Czytaj dalej »
Wczoraj zakończyliśmy nasz CTF na konferencji Confidence – który zresztą był jedną z kilku atrakcji które dla Was przygotowaliśmy w trakcie tego wydarzenia. Głównie nastawialiśmy się na transfer wiedzy – a prezentacja Artura Czyża o wysyłce SMSa i jego podmianie (kolejnym SMSem) była tak oblegana, że musieliśmy ją zorganizować po…
Czytaj dalej »
22 maja 2018 organizujemy kolejne Sekurak Hacking Party. Tym razem zawitamy do Katowic!
Czytaj dalej »
Wielu pewnie nie wierzyło, że hacking party odbędzie się w Warszawie… No więc odbędzie się i to dość szybko – w piątek 18 maja 2018 roku.
Czytaj dalej »
… a to wszystko już 28.02 w Poznaniu. Startujemy o 14:30 (można być o 14:00) – Wydział Prawa i Administracji UAM Poznań Al. Niepodległości 53, Poznań Auditorium Maximum. Pełna agenda i zapisy dostępne są tutaj. To nasze kolejne sekurak hacking party, które tym razem wspiera Uniwersytet im. Adama Mickiewicza w Poznaniu…
Czytaj dalej »
Tym razem spróbowaliśmy formuły ze startem we wcześniejszej godzinie (15:00) – i dla dużej liczby osób była to godzina optymalna. Pojawiło się ~450 osób, co przy założeniu że nie było darmowych wejść – jest całkiem niezłym wynikiem. Postawiliśmy też na więcej prezentacji, ale krótszych (opis wszystkich siedmiu macie tutaj). Sami…
Czytaj dalej »
Sekurak Hacking Party Poznań, 28.02.2018r., 14:30, czas trwania, 2,5-3h – zapisy ruszyły :-) Prawie 3 godziny hackowania na żywo!
Czytaj dalej »
Idąc za ciosem naszego sekurak hacking party (uczestniczyło > 400 osób) organizujemy kolejną edycję już 26 lutego 2018 roku w Krakowie.
Czytaj dalej »
Zapraszamy na kolejne Sekurak Hacking Party – tym razem działamy 15 stycznia 2018 roku, start 17:30 – bezpłatnie na wydarzenie może przyjść każdy, kogo interesuje bezpieczeństwo IT lub jest czytelnikiem Sekuraka :-)
Czytaj dalej »