-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Teksty

Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

29 grudnia 2023, 13:47 | Teksty | komentarzy 5
Zobacz realne znalezisko z naszego pentestu – w prosty sposób można było ominąć 2FA.

Przeprowadzanie testów penetracyjnych wymaga użycia istniejących rozwiązań, które w sposób znaczący mogą ułatwić pracę audytora. W przypadku aplikacji internetowej cenne jest rozpoznanie struktury katalogów lub odnalezienie plików, które mogą wzbudzić zainteresowanie testera. W tym celu stosuje się takie narzędzia jak: • ffuf,• dirbuster,• gobuster. Podczas omawianego pentestu, użyłem narzędzia ffuf…

Czytaj dalej »

Jak / gdzie zacząć przygodę z IT security?

10 listopada 2023, 08:26 | Teksty | komentarzy 12
Jak / gdzie zacząć przygodę z IT security?

Zawody CTF (Capture The Flag) nie są może ściśle związane z IT security, ale często właśnie tak są kojarzone. Tak naprawdę stanowią one specyficzną mieszankę zadań związanych z szyframi, komputerami, programowaniem, szukaniem podatności i z ogólnie pojętym hackowaniem. Znajomość security do zabawy w CTF-y nie jest więc niezbędna – studenci kierunków ścisłych czy programiści…

Czytaj dalej »

Notatki ze szkolenia Poznaj bezpieczeństwo Windows 3: Tajniki Group Policy

03 października 2023, 19:10 | Teksty | komentarze 2
Notatki ze szkolenia Poznaj bezpieczeństwo Windows 3: Tajniki Group Policy

Group Policy (GP) oraz Group Policy Objects (GPO) Infrastrukturę, która pozwala na centralne zarządzanie ustawieniami zarówno kont użytkowników, jak i komputerów (głównie w systemach z rodziny Windows) nazywamy Group Policy (GP). W polskojęzycznych opracowaniach możemy się też spotkać z określeniem Zasady Grupy. Jest to mechanizm, który został zaimplementowany wiele lat…

Czytaj dalej »

Dlaczego nie powinieneś tworzyć własnej kryptografii – prawdziwy przypadek z testów penetracyjnych.

26 września 2023, 12:19 | Teksty | komentarzy 10
Dlaczego nie powinieneś tworzyć własnej kryptografii – prawdziwy przypadek z testów penetracyjnych.

W świecie IT pojawiła się powszechna praktyka, w której kryptografia jest opracowywana przez grupę badaczy posiadających silne zaplecze matematyczne, podczas gdy programiści wdrażają gotowe rozwiązania i zapewniają, że są one aktualne i spełniają najlepsze praktyki bezpieczeństwa. Biorąc to pod uwagę i dodając fakt, że testowanie aplikacji desktopowych jest często przeprowadzane…

Czytaj dalej »

Obraz w głowie programisty, czyli CVE-2021-40866

08 września 2023, 09:08 | Teksty | komentarzy 11
Obraz w głowie programisty, czyli CVE-2021-40866

Jedną z metod, które używam do znalezienia błędów bezpieczeństwa jest czytanie dokumentacji. A konkretniej, szukanie w niej miejsc, w których programista implementujący daną rzecz mógłby uznać, że coś na pewno będzie miało miejsce, „bo tak każe dokumentacja”. I o ile tego konkretnego błędu, który sprowokował powstanie tego artykułu, nie znalazłem…

Czytaj dalej »

Rozwiązanie konkursu „Złam sekurakowe hasła”. Prezentujemy również metody łamania haseł użyte przez zwycięzców (writeupy!)

31 lipca 2023, 19:19 | Teksty | komentarze 4
Rozwiązanie konkursu „Złam sekurakowe hasła”.  Prezentujemy również metody łamania haseł użyte przez zwycięzców (writeupy!)

17 lipca ogłosiliśmy konkurs w którym do wygrania były klucze Yubikey od Yubico. Do złamania było 12 hashy ze strony http://recon.zone/hashez.txt. Rozstrzygnięcie nastąpiło 19 lipca w samo południe. Większość uczestników do działania zaprzęgło narzędzie hashcat. I nie, nie chodziło by wykorzystać możliwości wielu kart GPU. Trzeba było wykorzystać narzędzie sprytnie,…

Czytaj dalej »

Śledzenie osób – jak czytanie z otwartej książki [Czwartki z OSINTem]

04 maja 2023, 18:43 | Aktualności, Teksty | komentarzy 7
Śledzenie osób – jak czytanie z otwartej książki [Czwartki z OSINTem]

Od czasu głośnej sprawy aplikacji Strava, opisywanej m.in. w ramach jednego z poprzednich „Czwartków z OSINT-em”, w ramach której publicznie dostępna mapa ukazała np. trasy przemieszczania się żołnierzy i pracowników ochrony wielu lokalizacji ważnych z punktu widzenia bezpieczeństwa, jak bazy wojskowe i ambasady, sytuacja wydawała się jasna. Tego typu działania mogą…

Czytaj dalej »

OSINT^2, czyli kilka słów o weryfikacji danych [czwartki z OSINTem]

27 kwietnia 2023, 20:54 | Aktualności, Teksty | 1 komentarz
OSINT^2, czyli kilka słów o weryfikacji danych [czwartki z OSINTem]

OSINT zyskał dużą sławę w ostatnich latach, szczególnie dzięki publicznemu zaprezentowaniu możliwości, jakie daje, ale także ze względu na fakt, że coraz większa część światowej społeczności jest obecna i aktywna w Internecie. Nie bez znaczenia jest też rozwój platform społecznościowych oraz narzędzi, które umożliwiają dostęp do różnych typów danych umieszczanych…

Czytaj dalej »

Poprosiliśmy ChatGPT żeby przygotował narzędzie przydatne w audycie bezpieczeństwa. Przygotował, tyle że z krytyczną podatnością, umożliwiającą przejęcie komputera pentestera

26 kwietnia 2023, 09:16 | Teksty | komentarzy 28
Poprosiliśmy ChatGPT żeby przygotował narzędzie przydatne w audycie bezpieczeństwa. Przygotował, tyle że z krytyczną podatnością, umożliwiającą przejęcie komputera pentestera

ChatGPT, narzędzie tak rozpoznawalne, że wszędzie o nim mówią. Także w kontekście o zagrożeniach jakie niesie dla potencjalnych branż (np. programistów), gdzie ludzie boją się o swoje stanowiska. Wspominają także o plusach, czyli m.in. przyspieszeniu pracy wielu grup pracowniczych, np. testerów penetracyjnych. Jako, że jestem jednym z nich postanowiłem sprawdzić…

Czytaj dalej »

Poznaj bezpieczeństwo Windows – usługi systemowe [notatki ze szkolenia]

14 kwietnia 2023, 09:32 | Teksty | komentarze 4
Poznaj bezpieczeństwo Windows – usługi systemowe [notatki ze szkolenia]

Usługi systemowe Windows (Windows services) to szczególne procesy działające w systemie, zarządzane przez specjalny proces o nazwie Service Control Manager (SCM). Komunikacja z nimi odbywa przez dedykowane API (Services API), które z założenia umożliwia zdalny dostęp do usług (innymi słowy, można zarządzać usługami działającymi na innym serwerze). W przeciwieństwie do…

Czytaj dalej »

Jedno zdjęcie, by znaleźć ich wszystkich – OSINT na podstawie materiałów wizualnych [Czwartki z OSINTem]

13 kwietnia 2023, 19:39 | Aktualności, Teksty | komentarze 2
Jedno zdjęcie, by znaleźć ich wszystkich – OSINT na podstawie materiałów wizualnych [Czwartki z OSINTem]

11 lutego 2023 roku odbyła się kolejna edycja ogólnoświatowego wydarzenia spod znaku #OSINT4Good – Trace Labs OSINT Search Party CTF. W tej odsłonie wzięło udział ponad 200 drużyn złożonych z osób z różnych zakątków świata. Celem tego CTF-a było, jak zwykle, OSINT-owe znalezienie jak największej liczby wskazówek, które mogłyby pomóc…

Czytaj dalej »

OSINT poza Google Dorks – operatory innych wyszukiwarek

30 marca 2023, 08:38 | Teksty | komentarze 2
OSINT poza Google Dorks – operatory innych wyszukiwarek

OSINT jest niekiedy utożsamiany (szczególnie przez osoby nie do końca zaznajomione z tą tematyką) jedynie z wyszukiwaniem za pomocą Google. Ten sposób pozyskiwania informacji jest jednak zaledwie niewielką częścią OSINT-u, chociaż często skorzystanie z wyszukiwarki jest pierwszym krokiem do szerszych poszukiwań. Aby umiejętnie wykorzystać jej możliwości, warto poznać operatory wyszukiwania,…

Czytaj dalej »

Jak wykorzystać OSINT do ochrony biznesu? [czwartki z OSINTem]

23 marca 2023, 16:54 | Teksty | 1 komentarz
Jak wykorzystać OSINT do ochrony biznesu? [czwartki z OSINTem]

Duże firmy i organizacje najczęściej posiadają własne zespoły bezpieczeństwa dbające o to, aby nieproszeni goście nie dostali się do wewnętrznej sieci i budynków, a przede wszystkim do danych. W mniejszych firmach jest to temat trudniejszy, gdyż niejednokrotnie nie mają one wystarczających kadr, aby wyznaczyć chociażby jedną osobę, która będzie sprawować…

Czytaj dalej »

Jak stworzyć własny OSINT-owy lab do śledzenia samolotów i innych obiektów latających [czwartki z OSINTem]

16 marca 2023, 14:45 | Teksty | komentarzy 6
Jak stworzyć własny OSINT-owy lab do śledzenia samolotów i innych obiektów latających [czwartki z OSINTem]

W dotychczasowych artykułach dotyczących OSINT-u, które ukazały się na sekuraku, poruszane były tematy związane z pozyskiwaniem danych z otwartych źródeł internetowych. Są jednak jeszcze inne źródła, z których można skorzystać, aby zdobyć interesujące informacje. Mam tu na myśli ogólnodostępną i otwartą komunikację radiową, którą wykorzystują obiekty latające, pływające, a także…

Czytaj dalej »

OSINT kontra dezinformacja, czyli jak zdemaskować trolla [czwartki z OSINTem]

09 marca 2023, 17:59 | Teksty | komentarzy 9
OSINT kontra dezinformacja, czyli jak zdemaskować trolla [czwartki z OSINTem]

Wydarzenia o dużym ładunku emocjonalnym, takie jak wojna w Ukrainie czy silne trzęsienie ziemi, które miało miejsce w lutym na terenie Turcji i Syrii, stanowią bazę do działań dezinformacyjnych, gdyż przez silne oddziaływanie na ludzkie emocje łatwiej jest spowodować szybką reakcję dużej liczby osób. Możliwe jest jednak wykorzystanie OSINT-u do…

Czytaj dalej »