Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: abw

Walidacja wejścia od użytkownika (hackera) tylko po stronie frontendu (tj. w tylko w JavaScript)? Takie rzeczy się cały czas zdarzają i to w polskich systemach rządowych.

28 sierpnia 2024, 10:35 | W biegu | 1 komentarz
Walidacja wejścia od użytkownika (hackera) tylko po stronie frontendu (tj. w tylko w JavaScript)? Takie rzeczy się cały czas zdarzają i to w polskich systemach rządowych.

Tytułowa ciekawostka z raportu „o stanie bezpieczeństwa cyberprzestrzeni RP” opublikowanego przez ABW: W aplikacji WWW podlegającej ocenie bezpieczeństwa, w jednym z jej formularzy, istniała możliwość wgrywania plików przez użytkownika. Funkcjonalność weryfikacji rozszerzenia wgrywanych plików zaimplementowana była wyłącznie po stronie frontend-u , tj. przeglądarki. Przechwycenie pliku JavaScript odpowiedzialnego za ten mechanizm…

Czytaj dalej »

Polski rząd / ABW uzyskało dostęp do API haveibeenpwned – serwisu agregującego informacje o wyciekach (dostęp do danych z rządowych domen).

12 lipca 2022, 12:33 | W biegu | komentarzy 14
Polski rząd / ABW uzyskało dostęp do API haveibeenpwned – serwisu agregującego informacje o wyciekach (dostęp do danych z rządowych domen).

Krótką notkę możecie przeczytać tutaj. Od tej pory CSIRT GOV (ABW) może jednym kliknięciem sprawdzić jakie konta w domenach *.gov.pl wyciekły + kiedy + gdzie – co należy uznać za bardzo pozytywnego newsa. Kilka uwag: Najczęściej chodzi o przypadek: ktoś założył konto np. w sklepie internetowym korzystając z emaila „służbowego”…

Czytaj dalej »