Uwierzytelnienie vs. autoryzacja Różnica pomiędzy uwierzytelnieniem (ang. authentication) i autoryzacją (ang. authorization) została już wyjaśniona w niejednej publikacji, więc tylko sobie przypomnijmy: proces uwierzytelnienia potwierdza, że na pewno jesteśmy osobą, za którą się podajemy, a autoryzacja sprawdza, do czego mamy dostęp jako ta osoba. Intuicyjnym przykładem jest budynek firmy i…
Czytaj dalej »
Zapraszamy na nasze unikalne szkolenie dotyczące właśnie problemów z uwierzytelnianiem oraz autoryzacją. W trakcie całości zobaczycie przeszło 50 realnych przykładów luk bezpieczeństwa występujących w tych mechanizmach. Będzie o: resetowaniu hasła, technikach brute force, oczywistych (albo i nie ;) metodach całkowitego ominięcia uwierzytelniania czy aspektach związanych z 2FA. Nie zabraknie też…
Czytaj dalej »
Tak przynajmniej relacjonuje użytkownik Wykopu, który dość niespodziewanie uzyskał taki efekt: Jak widać, na liście mamy aż ~250 000 „znalezionych skierowań”. Czy były też dostępne bardziej szczegółowe dane – po kliknięciu w „szczegóły”? Wg znalazcy problemu – tak. Pisze on bowiem: dało się ale teraz wyświetla mi się że nie ma…
Czytaj dalej »
Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich). W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie…
Czytaj dalej »
Czym jest LDAP? Lightweight Directory Access Protocol (LDAP) to protokół pozwalający na wymianę informacji wykorzystując protokół TCP/IP. Przeznaczony jest on do korzystania z usług katalogowych, czyli obiektowych baz danych reprezentujących użytkowników sieci i zasoby. LDAP jest powszechnie stosowany w wielu usługach, z których zapewne najbardziej znaną jest Active Directory firmy…
Czytaj dalej »
Huawei OTT? To ogólnie system umożliwiający oglądanie TV/filmów przez net (jeden z modeli to znany zapewne wszystkim video on demand). Przechodząc do szczegółów – Huawei sprzedał kilku operatorom w Europie infrastrukturę do obsługi całości. Operatorzy dają content, chińska firma zarabia na sprzedanych licencjach i supporcie, ludzie cieszą się z wygodnego…
Czytaj dalej »