Dla tych, którzy od razu chcą przejść do akcji polecam ten zasób. Jeśli ktoś chce postawić całą podatną (treningową) infrastrukturę na AWS – warto zerknąć tutaj. Projekt Cloudgoat2 (nawiązujący nazwą do Webgoat), poza masą podatności zawiera też kilka, wieloetapowych scenariuszy: Np.: zlokalizuj ukryty endpoint API i wykorzystaj podatność remote code…
Czytaj dalej »
W tym newsie bardziej liczy się sposób wykorzystania podatności niż sama ofiara (upserve.com). Wydaje się Wam, że w 2019r. mechanizmy resetu hasła są na tyle bezpieczne, sprawdzone, napisane już miliony razy, że ciężko jest znaleźć w nich coś krytycznego? Błąd. Żeby otrzymać token umożliwiający reset hasła dowolnego użytkownika w serwisie…
Czytaj dalej »
Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na ‘zwykłych’ XML-ach czy JSON-ach. Microsoft załatał tego typu…
Czytaj dalej »
O systemd pisaliśmy jakiś czas temu. W skrócie – przez podstawienie serwera DHCP można wykonać kod w systemie operacyjnym ofiary. W opisie podatności przeczytacie, że błąd występuje w kliencie DHCP (i to w wersji na IPv6). Więc w zasadzie nie ma się czego obawiać? Otóż jest tu mały kruczek –…
Czytaj dalej »
Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie ‘zabawki’ udało się przejąć za pomocą nieśmiertelnej pary:…
Czytaj dalej »
Podatności nie są jeszcze do końca załatane. Problemy sprowadzają się do dostępnych na localhost usług, startowanych przez uTorrent, które de facto dostępne są bez uwierzytelnienia. Tzn. pardon, niby są: http://127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938: Widzicie ten localauth? … ale można go odzyskać (przez DNS rebinding, podobna historia była niedawno w grach Blizzarda) korzystając z nieuwierzytelnionego…
Czytaj dalej »
Brzmi jak zautomatyzowany OWASP Dependency Check? Bo założenia są podobne – automatycznie informować o podatnościach w bibliotekach, których używamy w naszej aplikacji. Repozytoria publiczne mają automatyczne włączone powiadomienia, w repozytoriach prywatnych trzeba je samodzielnie włączyć. Na razie wspierany jest JavaScript / Ruby – w następnej kolejności ma być dodany Python (2018)….
Czytaj dalej »
Autor badania dotyczącego podatności KRACK (dokładniej: CVE-2017-13082) miał jeszcze chwilę poczekać z publikacją skryptu, jednak ponoć skrypt wyciekł (“however, we are already releasing this code because the script got leaked”). Przykładowe działanie programu (który jeszcze wymaga dokończenia paru elementów z listy TODO…): [15:48:47] AP transmitted data using IV=5 (seq=4) [15:48:47]…
Czytaj dalej »
O klasie podatności Server-Side Template Injections (SSTI) zrobiło się głośno dopiero w ostatnim czasie. Bardzo niska świadomość deweloperów, połączona z popularnością różnego rodzaju silników szablonów (ang. Template Engines) – niezależnie od wybranego języka programowania – i fakt, że w większości przypadków rezultatem wykorzystania podatności jest wykonanie dowolnego kodu na maszynie ofiary (ang. RCE – Remote Code Execution), powoduje, że warto poznać zasady działania stojące za tym atakiem.
Czytaj dalej »
Podatności w bibliotekach to jedna ze zmór ludzi dbających o bezpieczeństwo wdrażanych systemów, ale i deweloperów, którzy często “przymuszani” są do zaktualizowania komponentów używanych w swoich aplikacjach. Pierwszy przykład z brzegu? Proszę, proszę i proszę. I tu z pomocą przychodzi nam projekt OWASP Depencency Check, o którym już dość rozlegle…
Czytaj dalej »
W WordPressie 4.7.0 włączono domyślnie API REST, które umożliwia na tworzenie, usuwanie czy edytowanie postów. Oczywiście tylko użytkownikom posiadającym uprawnienia… czy aby na pewno? Okazuje się, że pewien drobny błąd (związany z rzutowaniem zmiennych w PHP) umożliwia na edytowanie dowolnego posta bez uprawnień (!) – wystarczy posiadać tylko jego ID……
Czytaj dalej »
W ramach dokumentacji OWASP mamy dostępnych kilka dokumentów które w tym roku mają uzyskać wersję 1.0. Jest to przede wszystkim OWASP Mobile ASVS (Mobile Appsec Verification Standard). Podobnie jak w przypadku klasycznego ASVS, mamy tu do czynienia z rozbudowanymi checklistami dotyczącymi rozmaitych sprawdzeń bezpieczeństwa: Jeszcze chyba ciekawszym dokumentem jest OWASP Mobile…
Czytaj dalej »
Zazwyczaj dokumenty ISO są płatne… a tutaj zrobiono wyjątek, od pewnego czasu dokument proponujący kompleksowe podejście do ujawniania podatności (ISO/IEC 29147) – zarówno od strony badacza bezpieczeństwa jak i właściciela podatnego produktu – jest dostępny bezpłatnie: Vulnerability disclosure is a process through which vendors and vulnerability finders may work cooperatively…
Czytaj dalej »
Joomla! nie ma ostatnio szczęścia, tym razem załatano błąd o wysokiej krytyczności. Podatność występująca aż od wersji 1.6.0 (kilka dobrych lat) umożliwia na zmianę haseł użytkowników czy ich przynależność do grup (!): Incorrect use of unfiltered data stored to the session on a form validation failure allows for existing user accounts…
Czytaj dalej »
Gratka dla badaczy bezpieczeństwa IoT. Niedawno opublikowano piątą część rozbudowanego i praktycznego poradnika lokalizowania błędów w świecie Internetu Rzeczy. W odcinku “Practical Reverse Engineering Part 5 – Digging Through the Firmware” znajdziecie informacje o: narzędziach / pomysłach umożliwiających przeglądanie firmware, jest trochę podstaw dotyczących bootowania systemu (choćby też o często…
Czytaj dalej »
