Teksty

XSS w Google Colaboratory + obejście Content-Security-Policy

19 czerwca 2018, 22:00 | Teksty | komentarzy 6
XSS w Google Colaboratory + obejście Content-Security-Policy

W tekście opisany jest ciekawy XSS znaleziony w lutym 2018 w aplikacji Google Colaboratory. Pokazane jest nie tylko bezpośrednio, gdzie był ten XSS, ale również jakie zostały poczynione próby, by tego XSS-a znaleźć i jakie po drodze były ślepe zaułki. Ponadto, pokazany jest przykład obejścia Content-Security-Policy z użyciem tzw. script gadgets.

Czytaj dalej »

Nmap i 12 przydatnych skryptów NSE

23 kwietnia 2018, 19:54 | Teksty | komentarze 2
Nmap i 12 przydatnych skryptów NSE

Nmap to najbardziej popularny, darmowy skaner bezpieczeństwa, którego autorem jest Gordon Lyon (a.k.a. Fyodor Vaskovich). Pierwsza wersja Nmapa została opublikowana 1. października 1997 roku w internetowym magazynie Phrack. W momencie pisania tego tekstu najnowszą wersją Nmapa jest 7.70. Wersja ta jest wyposażona w 588 skryptów NSE (Nmap Scripting Engine), które…

Czytaj dalej »

Generator pakietów scapy – część 2.

17 kwietnia 2018, 12:15 | Teksty | komentarzy 7
Generator pakietów scapy – część 2.

W poprzednim artykule poruszyliśmy temat podstaw Scapy – narzędzia, które daje możliwość swobodnego generowania pakietów. Jeżeli brzmi to zbyt enigmatycznie, polecam zapoznanie się z wyżej wymienionym artykułem. Zostały w nim omówione podstawy, dzięki którym możliwe jest wskoczenie na kolejny poziom w obsłudze tego narzędzia, czyli pisania skryptów.

Czytaj dalej »

Jak poprzez otwarcie pliku CSV uruchomić dowolny kod w Windows?

27 grudnia 2017, 11:00 | Teksty | komentarzy 6
Jak poprzez otwarcie pliku CSV uruchomić dowolny kod w Windows?

Jakiś czas temu w sieci mogliśmy szerzej usłyszeć o mniej znanym mechanizmie „DDE”. Wykorzystanie „Dynamic Data Exchange” pozwala na stworzenie „formuły”, która umożliwi komunikację, np. z innymi aplikacjami, tak, abyśmy mogli np. aktualizować informacje dostępne w sieci (w naszym skoroszycie) lub innym arkuszu. W prawie każdej aplikacji pakietu Office możemy…

Czytaj dalej »

Dwa autorskie filmy od Sekuraka – XXE oraz podstawy narzędzia Burp Suite

29 listopada 2017, 14:01 | Teksty, W biegu | komentarzy 8

Przygotowaliśmy dla Was dwa filmy – o podatności XXE (weszła ona ostatnio do zestawienia OWASP Top Ten) oraz o narzędziu Burp Suite. Pierwszy film można oglądnąć / pobrać tutaj (to wersja z podłożonym głosem, po polsku). Tutaj jako eksperyment, dołączyliśmy zewnętrzne napisy (przycisk CC w prawym dolnym rogu): Drugi, dłuższy…

Czytaj dalej »

Czym jest Zabbix? Podstawy konfiguracji

27 listopada 2017, 20:05 | Aktualności, Teksty | komentarzy 11
Czym jest Zabbix? Podstawy konfiguracji

Monitoring infrastruktury IT jest w dzisiejszych czasach dużym wyzwaniem. Od takich oczywistości, jak dostępność serwerów czy infrastruktury sieciowej, a kończąc na  poziomie naładowania UPS lub czy drzwi są otwarte w szafach rackowych. Mnogość urządzeń i sposobów ich monitorowania często prowadzi do sytuacji, że wdrażamy kilka niezależnych rozwiązań monitoringu, co po…

Czytaj dalej »

Ułatwianie pracy w Zabbix – używamy makr

04 września 2017, 11:30 | Teksty | komentarzy 7
Ułatwianie pracy w Zabbix – używamy makr

Makra w zabbixie są bardzo użytecznym wbudowanym “narzędziem” do ułatwiania sobie konfiguracji oraz utrzymywania porządku. Temat ten jednak jest na tyle skomplikowany dla początkującego (i nie tylko) użytkownika, że często jest on pomijany. W artykule omówimy teorię związaną z makrami oraz wyjaśnimy, jak ich używać najbardziej efektywnie. Dodatkowo nauczymy się…

Czytaj dalej »