Tag: bezpieczeństwo

Niedawno uruchomiliśmy nasz kanał na YouTubie (sekurak.tv), gdzie jest cały czas dostępnych kilka świeżych materiałów. Co więcej – kolejne nasze LIVE streamy będą archiwizowane właśnie tam. Jak nie przegapić kolejnych wydarzeń? W tym miejscu będziemy na bieżąco aktualizować  informację o nadchodzących wydarzeniach. Co z tym hackowaniem Windows? Grzesiek Tworek (m.in….

No dobrze, pracujemy zdalnie, ale czy pomyśleliśmy o bezpieczeństwie? Czy sam VPN wystarczy? Co z bezpieczeństwem mojej sieci WiFi? Co jeśli ktoś ukradnie mi laptopa? To tylko kilka tematów, o których wspominam w opracowaniu poniżej. Zacznijmy od zagrożeń. Praca zdalna dla wielu jest na pewno wygodna, ale gołym okiem widać,…

Niedawno udostępniono wersję 1.0 nowej dokumentacji od OWASP – API Security Top Ten. Mamy tutaj 10 najczęstszych/najgroźniejszych klas podatności w API (REST-owych). Najwięcej miejsca poświęcono problemom związanym z uwierzytelnianiem / autoryzacją. Mamy również całkiem osobne, ciekawe przypadki jak choćby Mass Assignment czy tematykę Rate Limiting. Nie można też zapomnieć o całej klasyce…

Na początek kod rabatowy -6%: swieta-2019 Naszą książkę o bezpieczeństwie aplikacji webowych można zamówić tutaj. Więcej informacji o samej książce – tutaj (od października sprzedaliśmy ~8000 egzemplarzy). Kilka wrażeń czytelników na gorąco: Przyszła wczoraj. Trzy rozdziały pochłonąłem na raz. Świetna treść (dla nowych jak i zaawansowanych w tematyce websec), bardzo…

Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…

Ostatnio w ramach badania na naszych kanałach społecznościowych sprawdzaliśmy, jakie czynności w zakresie bezpieczeństwa IT są najważniejsze dla osób mocno związanych z IT, jak również pozostałych użytkowników.  W ankiecie wzięło 1638 osób, a jak widać poniżej, wśród czytelników sekuraka dominują osoby związane z IT, a te które nie wiedzą nic…

Alert powstał w wyniku analizy około 2-letniej pracy zespołu Rapid7 (to ekipa od Metasploita). Co można zrobić. W skrócie siać chaos: The researchers have outlined that engine telemetry readings, compass and attitude data, altitude, airspeeds, and angle of attack could all be manipulated to provide false measurements to the pilot….

W najnowszej wersji Burp Suite 2.1.01 pojawiła się obsługa WebSocket w Burp Repeater! Wykorzystajmy testową aplikację, aby zobaczyć nową funkcjonalność w akcji.

Czy chcielibyście zobaczyć coś praktycznego w kontekście bezpieczeństwa Windows? Nudzą Was przegadane dokumentacje Microsoftu? Wpadnijcie na nasze praktyczne szkolenie.

To zapis jednego z wykładów które prowadziłem niedawno: Jeśli ktoś potrzebuje się z kolei dowiedzieć więcej (w tematach związanych z bezpieczeństwem API) – zapraszam na moje szkolenie: bezpieczeństwo API REST. –ms

Niedawno wydano wersję 7.1 CIS Controls. Sama nazwa niewiele mówi, ale jest to zbiór zaleceń / dobrych praktyk dotyczących bezpieczeństwa IT w firmach. Całość to raczej nie temat na jeden wieczór, ale z drugiej strony łatwo przytłoczyć małą, 10-osobową firmę natłokiem informacji czy elementami koniecznymi do zaimplementowania. CIS proponuje zatem…

Czasem pojawia się pytanie – nie będę zabezpieczał swojej aplikacji, ale skonfiguruję WAF-a. Czy mój system jest bezpieczny? To zależy – czasem bezpieczeństwo wzrasta, a czasem drastycznie spada. Ktoś znajdzie jedno ciekawe obejście i bum, słowa pana sprzedawcy-marketingowca są nic nie warte. WAF dał nam mylne poczucie bezpieczeństwa – z…

Wyniki z naszego profilu FB (głosowało około 3000 osób) Wyniki z Twittera (głosowało 308 osób): Celowo nie pisaliśmy co wg nas oznacza ‚cyberatak’. Bardziej chodziło o wrażenie przekazane przez naszych czytelników. Może wszyscy jesteśmy bardzo świadomi? Albo zbyt paranoiczni? Niektórzy wskazywali, że ciężko znaleźć w Polsce jakąś sensowną analizę ryzyka: czym może…

Na pytanie można odpowiedzieć prosto – przeglądnijcie zestawienie poniżej. W przeciągu ostatnich lat nie mamy tutaj zbyt dużo zmian – słabe hasła (lub takie zahardcodowane, o których nawet nie wiemy), masa kiepsko skonfigurowanych usług, czy jak zwykle kiepsko rozwiązane kwestie aktualizacji: Jak też widać OWASP zajmuje się nie tylko bezpieczeństwem aplikacji…

Trzecia część tekstu o ISO 27000 pomoże nam w ustaleniu czy posiadamy odpowiedni poziom zabezpieczeń fizycznych i procedury bezpiecznej komunikacji oraz jak zarządzamy posiadanymi i wytwarzanymi systemami. Poruszymy także  kwestie postępowania w kontaktach z dostawcami i reagowania na incydenty.