Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: sharepoint

Uwaga na aktywną exploitację instancji Sharepointa. Bez uwierzytelnienia przejmują serwery. Banalna podatność CVE-2023-29357

13 stycznia 2024, 11:58 | W biegu | komentarze 4
Uwaga na aktywną exploitację instancji Sharepointa. Bez uwierzytelnienia przejmują serwery. Banalna podatność CVE-2023-29357

O problemie aktywnej exploitacji ostrzega organizacja CISA. Chodzi przede wszystkim o krytyczną podatność CVE-2023-29357, której techniczny opis został opublikowany w zeszłym roku. W czym problem? Można ominąć uwierzytelnienie do Sharepointa używając tokenu JWT z algorytmem none, czyli używając nagłówka JWT: {„alg”: „none”} Payload tokenu wygląda mniej więcej tak (można wpisać…

Czytaj dalej »

Za zhackowanie Tesli otrzymali właśnie $100 000 oraz samą zhackowaną Teslę :-)

24 marca 2023, 09:44 | W biegu | komentarzy 8
Za zhackowanie Tesli otrzymali właśnie $100 000 oraz samą zhackowaną Teslę :-)

Trwający obecnie hackerski konkurs #Pwn2Own Vancouver 2023 ponownie potwierdza tezę: daj mi odpowiedni budżet, to dostaniesz exploita na cokolwiek: Szczegóły powyższego hackowania Tesli będą zapewne niedługo ujawnione, ale stawiamy na zdalny dostęp do sieci sterującej (CAN) samochodu. Sugeruje to zarówno wskazany cel exploitu: Tesla Gateway (Gateway łączy m.in. sieć infotainment…

Czytaj dalej »

Czy deserializacja XML-a w .NET jest niebezpieczna? Microsoft załatał podatność w Sharepoint dającą dostęp na serwer(y)

22 marca 2019, 16:07 | W biegu | 0 komentarzy

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na 'zwykłych’ XML-ach czy JSON-ach. Microsoft załatał tego typu…

Czytaj dalej »