Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: JavaScript

Google załatał poważną lukę w V8 dla Chrome – zalecamy aktualizację

23 sierpnia 2024, 07:05 | W biegu | 0 komentarzy
Google załatał poważną lukę w V8 dla Chrome – zalecamy aktualizację

Google wydał aktualizację dla przeglądarki Google Chrome łatającą poważną lukę bezpieczeństwa w V8 – silniku JavaScript i WebAssembly używanym we wszystkich przeglądarkach bazujących na Chromium. Błąd oznaczony jako CVE-2024-7971 został sklasyfikowany według standardu CVSS v3 na 8.8, co w skrócie mocno sugeruje jak najszybszą aktualizację do najnowszej (czyli spatchowanej) wersji….

Czytaj dalej »

Prosty w realizacji i tani atak, który dotknął 100000 serwisów. Znowu mamy do czynienia z infekcją łańcucha dostaw.

27 czerwca 2024, 09:19 | W biegu | komentarze 3
Prosty w realizacji i tani atak, który dotknął 100000 serwisów. Znowu mamy do czynienia z infekcją łańcucha dostaw.

Co się wydarzyło? Jak opisują badacze z Sansec, bohaterem pierwszoplanowym jest tym razem popularna biblioteka Polyfill JS. Bohaterem drugoplanowym jest chińska firma, która wykupiła Polyfill (uzyskując dostęp do stosownej domeny oraz konta na GitHub) Chińczycy złośliwie podmienili fragment kodu, serwowany z cdn.polyfill[.]io który automatycznie pobiera masa serwisów webowych, korzystających z…

Czytaj dalej »

Dlaczego [’1′, '7′, ’11’].map(parseInt) zwraca [1, NaN, 3] in JavaScripcie ?!?

18 lipca 2019, 11:24 | W biegu | komentarzy 15

Poranna gimnastyka umysłowa. Długie wyjaśnienie w linkowanym tekście, krótkie tutaj: [’1′, '7′, ’11’].map(parseInt) doesn’t work as intended because mappasses three arguments into parseInt() on each iteration. Żeby jeszcze bardziej zachęcić do przejrzenia cytowanego opisu, polecam zacząć od tego wpisu (o co chodzi z: if(!!x === !!yy) ?!?). A chcącym rozwijać się dalej – nasze opracowanie: XSS –…

Czytaj dalej »

for ( ; ; ) { window.alert(„dupa”) } – 13-letnia Japonka oskarżona o przestępstwo za publikację takiego „złośliwego exploita”

10 marca 2019, 13:08 | W biegu | komentarze 4

W oryginalnej wersji wyglądało to tak: for ( ; ; ) { window.alert(„ ∧_∧ ババババ\n( ・ω・)=つ≡つ\n(っ ≡つ=つ\n`/  )\n(ノΠU\n何回閉じても無駄ですよ~ww\nm9(^Д^)プギャー!!\n byソル (@0_Infinity_)”) } Policja przesłuchała młodą dziewczynę – w tle dość poważne zarzuty, gdzie pojawiają się takie frazy jak „unauthorized malicious program” czy „criminal act”. Nie skończyło się tylko na problemach 13-latki – policja postanowiła też…

Czytaj dalej »

Podmienili javascripty popularnej firmy zbierającej statystyki odwiedzin serwisów webowych – potencjalnie podatnych 700 000 serwisów!

08 listopada 2018, 18:11 | W biegu | komentarze 4

Dołączacie zewnętrzne pliki JavaScript do swojej strony? Co wtedy może pójść nie tak? Np. ktoś może podmienić ten zewnętrzny JavaScript i w ten sposób atakować osoby odwiedzające waszą stronę. Taka historia właśnie miała miejsce w przypadku systemu statcounter[kropka]com. Według doniesień atak był targetowany na giełdę kryptowalut gate.io. Atak jest o tyle…

Czytaj dalej »

Nieprzedłużona domena, WordPress i skrypt JavaScript

24 sierpnia 2017, 22:23 | W biegu | 1 komentarz

Aplikacje WWW narażone są na wiele zagrożeń; czasem są to klasyczne wektory ataku znane z OWASP Top 10, innym razem okazuje się, że potencjalna luka bezpieczeństwa “aktywuje się” dopiero po jakimś czasie. Sucuri donosi o przypadku odkrycia nierozwijanej wtyczki Enmask Captcha dla CMS WordPress, która ładowała skrypt JavaScript z zewnętrznej…

Czytaj dalej »

Wykonanie kodu w OS w popularnych środowiskach programistycznych

04 sierpnia 2017, 09:55 | Aktualności | komentarze 4
Wykonanie kodu w OS w popularnych środowiskach programistycznych

Świadomie lub nie, wielu z nas ma okazje korzystać z aplikacji typu „Desktop Web”, czyli takich, których integralną część stanowi przeglądarka WWW lub przynajmniej interpreter JavaScript. Okazuje się, że często takie rozwiązanie stosowane jest w środowiskach programistycznych (IDE), chociażby do generowania podglądu tworzonego dokumentu Markdown. Skutkom takiego połączenia postanowił przyjrzeć się Matt Austin a wynikami podzielił w opublikowanej prezentacji.

Czytaj dalej »

Wstrzykiwanie JavaScriptu na Wykop

28 lipca 2017, 12:18 | W biegu | komentarzy 5

Ostatnio użytkownicy Wykopu marudzili, że coś im psuje sekurak: I to mimo, że sam test trwał kilka sekund… Przyczyna była dość prosta – persistent XSS (czyli możliwość wstrzykiwania dowolnego JavaScriptu innym użytkownikom Wykopu) w mikroblogach. A dokładnie w mechanizmie ankiet: Który skutkował u innych mikroblogowiczów takim komunikatem: Oczywiście potencjalni złośliwcy mogliby…

Czytaj dalej »

Analiza ransomware napisanego 100% w Javascripcie – RAA

17 sierpnia 2016, 09:45 | Teksty | komentarzy 17
Analiza ransomware napisanego 100% w Javascripcie – RAA

14 czerwca 2016r., znalazłem informację o nowym ransomware o nazwie RAA. Kilka serwisów związanych z bezpieczeństwem określiło go jako pierwsze tego rodzaju oprogramowanie napisane w całości w JavaScripcie, włącznie z algorytmem szyfrującym pliki na dysku komputera ofiary. Dzięki informacjom otrzymanym od @hasherezade, która na co dzień zajmuje się analizą złośliwego oprogramowania,…

Czytaj dalej »

Deobfuskacja JavaScript

24 lutego 2015, 14:40 | Teksty | komentarze 2
Deobfuskacja JavaScript

Obfuskacja (ang. obfuscation) to proces celowej modyfikacji kodu źródłowego w taki sposób, aby był on mniej czytelny, a rezultat jego wykonania nie zmienił się. W artykule spróbujemy odwrócić proces obfuskacji i próbować zrozumieć działanie zaciemnionego kodu.

Czytaj dalej »

Jak w Javascript poznać publiczny (oraz prywatny!) adres IP?

27 stycznia 2015, 12:14 | W biegu | komentarzy 11

Zobaczcie tylko na jeszcze świeży kawałek Javascriptu tutaj. Przykładowo – w Chrome wystarczy użyć F12 -> Console i wkleić kod do przeglądarki. Można też z niewielką modyfikacją (ostatnia linijka) uruchomić taki javascript ze swojego serwera. Co wykorzystuje ten mechanizm? Na razie jeszcze mało popularny mechanizm WebRTC (Web Real-Time Communication), wykorzystywany…

Czytaj dalej »