Teksty

W kolejnym tekście w serii o OWASP TOP 10 zajmujemy się przykładami błędów związanych ze złą konfiguracją aplikacji

Minęło już kilka miesięcy od „afery mailowej”, w wyniku której grupa UNC1151 uzyskała dostęp do kont e-mail polskich polityków, w tym do skrzynki pocztowej szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka. Według ustaleń ABW oraz SKW główny wektor ataku na konto Dworczyka stanowił phishing: Całej sytuacji można było jednak zapobiec…

Za sprawą ostatniej afery z Pegasusem wiele mediów niezwiązanych ze środowiskiem IT stworzyło swoistą aurę mitów na temat tego oprogramowania szpiegowskiego oraz samej firmy NSO Group. W związku z tym postanowiliśmy stworzyć artykuł, w którym szczegółowo omówimy genezę i sposób działania Pegasusa. Zaprezentujemy Wam również metodę na sprawdzenie, czy Wasze…

Grafik, programista, biznesmen, urzędnik, rekruter, dziennikarz, administrator, pentester czy copywriter – każda osoba wykonująca któryś z powyższych zawodów prędzej czy później spotka się z potrzebą zakupu przenośnego, a zarazem odpowiednio „mocnego” sprzętu. W tym aspekcie coraz popularniejszą opcją stają się MacBooki firmy Apple, zwłaszcza że za sprawą czipów M1 tańszy…

W tym tekście Jakub Żoczek opisuje swoje ostatnie znalezisko – możliwość wykonania dowolnego kodu z wykorzystaniem fail2ban

System Windows jest zdecydowanie najpopularniejszym systemem operacyjnym na świecie – m.in. z uwagi na łatwość jego użytkowania, wysoką dostępność gier, a także w miarę intuicyjny i prosty (w porównaniu do innych systemów) sposób organizacji sieci dzięki możliwości utworzenia domeny, podpinania do niej nowych komputerów i użytkowników, a następnie zarządzania nimi. …

Nzyme służy do wykrywania zagrożeń sieci bezprzewodowych i należy do rodziny systemów Wireless Intrusion Detection System (WIDS). To prawdopodobnie najciekawszy i najlepiej dopracowany projekt WIDS z otwartym źródłem.

Jakiś czas temu na łamach sekuraka opublikowaliśmy obszerny poradnik dotyczący menedżera haseł Bitwarden. Oczywiście jest to rzetelny przegląd, jednak promuje on nieco ryzykowne podejście, w którym bezpieczeństwo naszych danych powierzamy firmie trzeciej, co w niektórych przypadkach może prowadzić do katastrofy: Tym razem omówimy więc menedżer haseł oparty na zasadzie self-hosted…

Jak zawsze w świecie IT trudno o dobry i dopracowany standard. Linuks ma LUKS-a, Apple używa rozwiązania FileVault, a Windows swojego BitLockera. W gruncie rzeczy każde z ww. rozwiązań spełnia to samo zadanie: zapewnia pełne szyfrowanie dysku (ang. full disk encryption, FDE). Dzięki temu, nawet w przypadku fizycznego przejęcia naszego…

Jest wieczór. Za oknem prószy śnieg. Kładziesz się właśnie, aby odpocząć, gdy nagle twój telefon krótko wibruje – dostałeś/aś wiadomość. Obojętnym wzrokiem zerkasz na ekran i widzisz treść SMSa: „Wysyłka pod wskazany adres jest droższa. Prosimy dopłacić 1 PLN, brak dopłaty oznacza anulowanie zamówienia. http://…”. Podnosisz się gwałtownie, do twojej…

Niedawno znaleziono groźny łańcuch dwóch podatności (CVE-2021-27889 oraz CVE-2021-27890) w popularnym, otwartoźródłowym silniku forów dyskusyjnych MyBB. Podatności załatano w najnowszej obecnie wersji, 1.8.26.  Połączenie powyższych podatności w jeden prosty łańcuch stanowi efektywny sposób osiągnięcia pełnego RCE. Nazywam się Patryk, jestem badaczem bezpieczeństwa webaplikacji (w Internecie znanym pod nickiem SivertPL), a…

Ostatnio na sekuraku opublikowaliśmy poradnik dla początkujących użytkowników Signala oraz Tutanota. Tym razem pokażemy, jak zadbać o bezpieczeństwo danych uwierzytelniających z wykorzystaniem Bitwardena. W poradniku omówimy rejestrację, korzystanie z Bitwardena oraz instalowanie wtyczek i aplikacji na telefon. Jest to kontynuacja serii poradników dla osób nietechnicznych. Czym jest Bitwarden? Bitwarden to…

W tym artykule pokażę jedno z możliwych rozwiązań następującego problemu: mamy aplikację webową, której nie chcemy wystawiać na świat, a tylko umożliwić do niej dostęp określonej grupie użytkowników.

Pewnie większość z czytelników Sekuraka (jak nie wszyscy) korzystała kiedyś z wyszukiwania obrazem w jednej z popularnych wyszukiwarek. Wrzucamy plik lub robimy zdjęcie i za chwilę otrzymujemy wynik poszukiwań podobnych obrazów, listę stron je zawierających, powiązane tematy itp. Jednak jak to z każdym wyszukiwaniem bywa, jedne serwisy radzą sobie lepiej,…

Najprawdopodobniej wszyscy znają mechanizm działania zakładek w przeglądarkach – chcemy zachować odnośnik do jakiejś strony, więc zapisujemy go sobie jako zakładkę i w każdej chwili możemy do tej strony przejść za pomocą tego właśnie odnośnika. Czy można jednak zamiast linku rozpoczynającego się np. od http(s) lub ftp(s) wpisać tam coś…