Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: audyt

Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.

27 marca 2024, 19:07 | Aktualności | komentarzy 14
Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.

TLDR: raport tutaj. Zwykle podczas utwardzania (ang. hardeningu) naszych maszyn powinniśmy pamiętać o włączeniu pełnego szyfrowania dysku oraz o mocnym haśle (min. 15 znaków). Mimo to istnieją sposoby, które atakujący mógłby wykorzystać, aby próbować przełamać te zabezpieczenia. Jednym z nich jest chociażby atak słownikowy (ang. dictionary attack). Natomiast do szczególnie…

Czytaj dalej »

Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

29 grudnia 2023, 13:47 | Teksty | komentarzy 5
Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

Przeprowadzanie testów penetracyjnych wymaga użycia istniejących rozwiązań, które w sposób znaczący mogą ułatwić pracę audytora. W przypadku aplikacji internetowej cenne jest rozpoznanie struktury katalogów lub odnalezienie plików, które mogą wzbudzić zainteresowanie testera. W tym celu stosuje się takie narzędzia jak: • ffuf,• dirbuster,• gobuster. Podczas omawianego pentestu, użyłem narzędzia ffuf…

Czytaj dalej »

Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

21 lipca 2020, 15:35 | Aktualności | komentarzy 15
Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

Chyba po raz pierwszy w historii (?) możecie zobaczyć upubliczniony raport z audytu bezpieczeństwa systemu rządowego. Raport z pentestów systemu ProteGo Safe (znanego jako „aplikacja do śledzenia kontaktów w kontekście COVID-19”), dostępny jest tutaj, i obejmuje kilka obszarów: bezpieczeństwo samych aplikacji mobilnych (iOS, Android), bezpieczeństwo API, bezpieczeństwo infrastruktury, bezpieczeństwo webowej…

Czytaj dalej »

Przeszło 1200 sklepów online zainfekowanych skimmerem wykradającym numery kart płatniczych. Jest też trochę polskich domen

12 maja 2020, 15:14 | W biegu | komentarze 3
Przeszło 1200 sklepów online zainfekowanych skimmerem wykradającym numery kart płatniczych. Jest też trochę polskich domen

Zasada działania jest względnie prosta. Najpierw zlokalizowanie podatności w konkretnym e-commerce, a później dołożenie niewielkiego dodatku. Dodatek podczas płatności klienta wyświetli podstawiony formularz/stronę do płatności, a niespodziewający się niczego podejrzanego klient – zapłaci. Właśnie otrzymaliśmy dość rozbudowane opracowanie, pokazujące infekcję poprzez Magecart (tak się zbiorowo nazywa grupę kilku grup hackerskich…

Czytaj dalej »

OpenVPN przeszedł audyt. Wygląda bezpiecznie.

15 maja 2017, 19:33 | W biegu | 1 komentarz

Udostępniono podsumowanie audytu bezpieczeństwa OpenVPN-a,  w wyniku analizy kodu znaleziono kilka błędów – o maksymalnym ryzyku średnim: Również samo podsumowanie wygląda optymistycznie: While the overall cryptographic design of OpenVPN is solid, some of the options available may undermine a user’s ability to deploy a secure VPN solution. Dla zainteresowanych tematem…

Czytaj dalej »

Unia Europejska zapewni bezpłatny audyt bezpieczeństwa dla web serwera Apache i Keepass-a

25 lipca 2016, 09:15 | W biegu | komentarze 4

Oba projekty zostały wybrane w wyniku przeprowadzonej ankiety (Keepass otrzymał około 23% głosów, web serwer Apache – prawie 19%): Niektórzy obawiają się, że finalny raport może być długim i skomplikowanym dokumentem, który nie wiele będzie wnosił (albo będzie wnosił pewne kurioza). Bądźmy jednak dobrej myśli, szczególnie że projekt jest pod obserwacją…

Czytaj dalej »

OWASP Mobile Apps Checklist Final 2016

22 lutego 2016, 19:27 | W biegu | 0 komentarzy

Projekt OWASP Mobile Top Ten ma się nieźle, a niedawno wypuszczono checklistę przydatną wszystkim osobom testującym bezpieczeństwo aplikacji mobilnych (OWASP Mobile Checklist Final 2016). Do projektu OWASP ASVS jeszcze trochę brakuję, ale i tak mamy 91 rzeczy do sprawdzenia –  podzielone na elementy klienckie oraz server-side. –Michał Sajdak

Czytaj dalej »