Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Tag: uwierzytelnienie

Klonowanie odcisku palca przy użyciu drukarki 3D

25 listopada 2021, 12:37 | W biegu | komentarzy 5
Klonowanie odcisku palca przy użyciu drukarki 3D

Dane biometryczne stanowią obiekt zainteresowania przestępców w zasadzie od początku ich stosowania. Współcześnie niejednokrotnie są alternatywą wobec loginów i haseł, więc po ich uzyskaniu i wykorzystaniu dostęp do wielu, często kluczowych, systemów zostanie przyznany. Pierwszym sposobem autoryzacji, już zdecydowanie wiekowym, była para: login i hasło. Dla dewelopera ma ona tę…

Czytaj dalej »

Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

04 stycznia 2021, 13:24 | W biegu | 0 komentarzy
Outlook Web Access: kuriozalny problem z JWT. Można było czytać maile innych osób – stare ale jare.

Ostatnio nieco atencji doznały te podatności (są one już dość wiekowe – 2019r. / załatane, ale mają sporą wartość edukacyjną – stąd ten wpis). Jak można było uzyskać dostęp do e-maili innych osób via OWA? W pewnym miejscu ten ostatni generował token JWT, który (uwaga, uwaga) nie był podpisany (więcej…

Czytaj dalej »

Pokazał jak dostać się bez uwierzytelnienia do wyników testów na koronawirusa [jeden lab]

07 listopada 2020, 20:47 | W biegu | komentarze 3
Pokazał jak dostać się bez uwierzytelnienia do wyników testów na koronawirusa [jeden lab]

Nieco przypadkiem natknąłem się na ten wpis, który można sprowadzić do paru zrzutów ekranowych ;-) Jak na logowanie trochę mało pól, może identyfikator zlecenia jest względnie losowy? Nic z tego – to zwykłe, kolejne liczby naturalne. Autor (autorzy?) znaleziska postanowili zatem wybrać pewien numer zlecenia i popróbować kolejne daty urodzenia….

Czytaj dalej »

Podszyli się pod sekretarza generalnego ONZ (António Guterresa) i zadzwonili do prezydenta Andrzeja Dudy. Zapis rozmowy

15 lipca 2020, 13:57 | W biegu | komentarzy 8
Podszyli się pod sekretarza generalnego ONZ (António Guterresa) i zadzwonili do prezydenta Andrzeja Dudy. Zapis rozmowy

Bardziej odnotowujemy ten fakt, niż przeprowadzamy pełną analizę. Zawiodły tutaj procedury uwierzytelnienia rozmówców, można też zastanawiać się skąd youtuberzy mieli telefon do prezydenta Dudy? Oczywiście raczej nie zadzwonili do niego bezpośrednio tylko przez odpowiednią „recepcję”. Warto również podkreślić, że wszystko wskazuje na to, że nie jest to fake (jak podejrzewało…

Czytaj dalej »

Używasz Jiry? Sprawdź czy nie wyciekają Twoje dane – czasem już są one zindeksowane przez Google…

02 sierpnia 2019, 21:41 | W biegu | 1 komentarz
Używasz Jiry? Sprawdź czy nie wyciekają Twoje dane – czasem już są one zindeksowane przez Google…

Ciekawe opracowanie, pokazujące (często domyślne) problemy z autoryzacją do zasobów w Jira. O co chodzi? Głównie o filtry wyszukujące konkretnych spraw – użytkownicy często tworzą te pierwsze i udostępniają 'każdemu’. W domyśle każdemu z własnej firmy; domysł jest tu jednak kiepski – często takie ustawienia umożliwiają na anonimowy dostęp do…

Czytaj dalej »

Ominięcie uwierzytelnienia w części serwerowej libssh (CVE-2018-10933)

17 października 2018, 10:34 | W biegu | 0 komentarzy

Podatność „wyceniona” na 9.8/10 w skali CVSS umożliwiała na ominięcie uwierzytelnienia w banalny sposób. Zamiast wysłać komunikat: SSH2_MSG_USERAUTH_REQUEST klient wysyłał SSH2_MSG_USERAUTH_SUCCESS i … po sprawie :) Dla pewności warto podkreślić, że nie jest to błąd w OpenSSH (to zupełnie dwa różne projekty).  Do czego więc służy biblioteka libssh? Do sprawnego umożliwienia naszemu…

Czytaj dalej »

Nowa nadzieja na skuteczną ochronę kont? Google idzie w Universal 2nd factor

27 grudnia 2016, 10:19 | Aktualności | komentarze 34
Nowa nadzieja na skuteczną ochronę kont? Google idzie w Universal 2nd factor

Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…

Czytaj dalej »