Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: proxy

Microsoft ostrzega o celowanych atakach na pocztę elektroniczną, które omijają 2FA/MFA (dwuczynnikowe uwierzytelnienie)

15 lipca 2022, 16:38 | W biegu | 1 komentarz
Microsoft ostrzega o celowanych atakach na pocztę elektroniczną, które omijają 2FA/MFA (dwuczynnikowe uwierzytelnienie)

Całość sprowadza się do następującej obserwacji. W momencie kiedy użytkownik się loguje, podaje swój login/hasło, być może również kod z SMSa (2FA) czy Google/Microsoft Authenticatora. Jeśli wszystko jest OK, użytkownik jest zalogowany i działa dalej w swojej aplikacji. Co jeśli taka zalogowana sesja zostanie przejęta? Ano atakujący uzyskują dostęp do…

Czytaj dalej »

Tworzenie własnego PHP Proxy dla narzędzi typu sqlmap – podstawy

13 czerwca 2019, 09:34 | Teksty | komentarze 4
Tworzenie własnego PHP Proxy dla narzędzi typu sqlmap – podstawy

Praca z narzędziami takimi jak sqlmap wymaga od nas czasami kreatywnego podejścia do realizowanych testów. Zdarza się, że czasami musimy znaleźć wywołanie naszego payloadu w innymi miejscu niż te, w którym występuje wstrzyknięcie, bądź musimy w odpowiedni sposób obrobić dane, aby narzędzie testujące zrozumiało odpowiedź strony. Testowana przez nas aplikacja…

Czytaj dalej »

Zablokują Google w Rosji? Jest to bardzo bliskie…

26 lipca 2017, 12:38 | W biegu | komentarzy 8

Duma – niższa izba parlamentu rosyjskiego przegłosowała prowadzenie zakazu używania serwerów proxy czy VPN-ów, które umożliwiają dostęp do zasobów umieszczonych na czarnej liście, utrzymywanej przez rosyjski rząd. Co z tym Googlem? No to zobaczcie jak można wejść na sekuraka, korzystając tylko z usługi Google. Zgodnie z nowym prawem (jeśli zostanie…

Czytaj dalej »

Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

20 lutego 2017, 13:40 | Teksty | komentarzy 5
Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

Nagłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP…

Czytaj dalej »

Wprowadzenie do narzędzia Zed Attack Proxy (ZAP)

25 października 2016, 19:44 | Narzędzia, Teksty | komentarzy 6
Wprowadzenie do narzędzia Zed Attack Proxy (ZAP)

W wersji podstawowej, jest to program pośredniczący w ruchu HTTP i HTTPS, pozwalający zatrzymywać, edytować i odrzucać wysyłane żądania z przeglądarki internetowej. Niezwykle przydatny do sprawdzania zachowania web aplikacji, po wysłaniu danych innych, niż pozwala użytkownikowi jej frontend. Można to robić w czasie rzeczywistym (czyli zatrzymać żądanie, zmodyfikować i przesłać…

Czytaj dalej »