Tekst o podejściu do certyfikacji CTT+ Certified Technical Trainer. Opis procesu certyfikacji, ciekawe dalsze materiały i załączony realny film z części praktycznej egzaminu.
Czytaj dalej »
Opis wykorzystania zeszłorocznej podatności z frameworku Struts: CVE-2014-0112.
Czytaj dalej »
Opis kolejnego XSS-a znalezionego w domenie www.google.com. Tym razem reflected XSS, który da się wykorzystać wyłącznie w Internet Explorerze.
Czytaj dalej »
Process Stack Faker to oprogramowanie, które w prosty sposób zapewnia włamywaczowi ukrycie przed administratorem złośliwego kodu pod nazwą innego legalnego procesu.
Czytaj dalej »
Obfuskacja (ang. obfuscation) to proces celowej modyfikacji kodu źródłowego w taki sposób, aby był on mniej czytelny, a rezultat jego wykonania nie zmienił się. W artykule spróbujemy odwrócić proces obfuskacji i próbować zrozumieć działanie zaciemnionego kodu.
Czytaj dalej »
Tekst, który zajął drugie miejsce w ostatnim konkursie Sekuraka. Zaczniemy od opisu rzeczywistych incydentów w kraju oraz działań przeciwko instytucjom finansowym na całym świecie. Następnie wyjaśniona zostanie idea i krótka historia organizowania ćwiczeń, by przejść do opisów kolejnych ich edycji.
Czytaj dalej »
Nieco luźniejsza, ale niezmiernie interesująca krótka historia sabotażu na zespół rozwiązujący konkurs amerykańskiej agencji DARPA (Defense Advanced Research Projects Agency).
Czytaj dalej »
Czasem w otrzymanym mailu coś przykuje naszą uwagę i spowoduje zapalenie się czerwonej lampki. Może to być adres nadawcy, dziwny załącznik lub link w treści wiadomości. Wtedy będziemy chcieli szybko i skutecznie dowiedzieć się z czym mamy do czynienia – zwłaszcza jeśli podejrzewamy, że ktoś chciałby uzyskać dostęp do naszych danych poufnych.
Czytaj dalej »
Opis błędu XSS w domenie www.google.com. Historia omijania kolejnych przeszkód, by napisać kod wykorzystujący podatność, nie wymagający interakcji użytkownika.
Czytaj dalej »
Race condition to termin, który oznacza dość specyficzną sytuację w programie komputerowym. W przypadku, gdy system dopuszcza wykonywanie wielu operacji równocześnie, ale powodzenie konkretnej operacji zależy od właściwej kolejności wykonania, może dojść do sytuacji, w której zakładana kolejność nie zostanie zachowana i spowoduje błąd lub nieprzewidziane rezultaty.
Czytaj dalej »
Afera Edwarda Snowdena pokazała, że Internet nie jest już medium, w którym łatwo można dzielić się treścią w sposób anonimowy. Dowiedzmy się, jakie mechanizmy są używane przez Wielkiego Brata – osoby prywatne, firmy czy rząd – aby śledzić aktywność przeglądarek użytkowników Internetu.
Czytaj dalej »
Wśród osób związanych bezpieczeństwem teleinformatycznym oraz pasjonatów z całego świata dość popularne są turnieje znane jako Capture The Flag (lub w skrócie CTF). W tekście przedstawiam moje zmagania z tematem.
Czytaj dalej »
Czy istnieje technologia umożliwiające przykazywanie dźwięku na duże odległości – nawet tak aby był on słyszalny bez posiadania żadnego odbiornika? Zobaczmy małe opracowanie dotyczące wybranych technologii dźwięku kierunkowego.
Czytaj dalej »
Mechanizm wyszukiwania serwera proxy (domyślnie włączony w systemie Windows) umożliwia łatwe przeprowadzenie ataku polegającego na przechwyceniu ruchu http(s) w sieci lokalnej. W artykule wyjaśnienie jak działa ten mechanizm oraz praktyczna prezentacja przeprowadzenia ataku.
Czytaj dalej »
OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.
Czytaj dalej »