Jak zdobyć za darmo naszą książkę o bezpieczeństwie aplikacji webowych? Zerknijcie na linkowaną stronę sklepu – gdzieś na niej macie ukryte dwa kody. Wystarczy podesłać kod na sklep@securitum.pl i… jeśli jesteś jedną z dwóch pierwszych osób, która wyśle dany kod (kody muszą być poprawne ;p) – dostaniesz bezpłatnie książkę. Jeśli…
Czytaj dalej »
Nowy Tor Browser bazuje na Firefoksie 68 ESR. Postawiono na usprawnienie interfejsu i ściślejszą integrację elementów związanych z Torem w samej przeglądarce: Przeglądarka startuje też w rozmiarze będącym wielokrotnością 200x100px. Co ze zmianą rozmiaru przez użytkownika (czy maksymalizacją na pełen ekran) ? Tutaj stosowany jest tzw. letterboxing (specjalne dodawanie szarych marginesów…
Czytaj dalej »
Sprawa jak w tytule, a temat opisuje serwis epoznań: Jak informuje PAP, 18-latek w sierpniu ubiegłego roku zamówił przez internet fałszywe pieniądze. Chciał w ten sposób „podreperować” swój budżet. Miał otrzymać ponad 100 banknotów o nominałach 50 i 100 złotych. Budżet początkowo był „niepodreperowany”, więc nasz bohater postanowił zapłacić za…
Czytaj dalej »
Szczegóły podatności można zobaczyć w tym miejscu. Czytamy tutaj: Such conditions can be achieved in a pretty standard Nginx configuration. If one has Nginx config like this: „` location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; … } } „` I dalej: This issue leads to code…
Czytaj dalej »
Kolejna odsłona Firefoksa przede wszystkim stawia na ochronę prywatności. Mamy m.in. dostępne domyślne blokowanie elementów trackujących wykorzystywanych przez serwisy społecznościowe. Dostępny jest również raport mówiący o liczbie oraz typie zablokowanych elementów ingerujących w prywatność: Dla zapisanych loginów i haseł możemy też otrzymywać automatyczne powiadomienia o wycieku (FF korzysta z bazy…
Czytaj dalej »
Pierwszy raz z naszym wydarzeniem zawitamy w Bydgoszczy (7.11.2019r. 18:00 -> 20:30). Dostępne mamy bilety standardowe lub z 500 ml czarnym kubkiem sekuraka. Wydarzenie jest idealne dla programistów / testerów czy wszelakich fanów ITsecurity lub sekuraka :-) Agenda: 1. Dlaczego należy się przejmować XSS-ami – na przykładzie prostego narzędzia excessy [Michał Bentkowski] 2. Dziwne…
Czytaj dalej »
Projekt o którym pisaliśmy niedawno cały czas się rozwija. Obecnie mamy wsparcie do automatycznego wyszukiwania / pobierania rozmaitego rodzaju sekretów (bazy danych, klucze prywatne, klucze API, wrażliwe fragmenty konfiguracji, logi, użytkownicy czy hasła w URL-u – w sumie jest kilkadziesiąt kategorii). Dodano też pobieranie danych z GitLaba oraz Bitbucketa, a wyniki…
Czytaj dalej »
Szkolenie podnoszące świadomość bezpieczeństwa, z licznymi pokazami praktycznymi i wciągającymi przykładami z życia organizujemy 29.10.2019 w Katowicach. Cena to 99PLN za osobę (!). Szkolenie przeznaczone jest dla osób nietechnicznych. Pełna agenda wydarzenia: Podstawy bezpieczeństwa (m.in.: spojrzenie z perspektywy atakującego, filary bezpieczeństwa, bezpieczniejsze oprogramowanie, bezpieczne przechowywanie danych i tworzenie kopii zapasowych i…
Czytaj dalej »
Zaczęło się od pewnych informacji dotyczących kradzieży klucza prywatnego powiązanego z certyfikatem TLS należącym do NordVPN (klucz ten bez problemu można obecnie znaleźć znaleźć w Internecie): So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those…
Czytaj dalej »
Koparka kryptowalut (Monero), ale też reverse shell z Metasploita: Our analysis reveals some of the WAV files contain code associated with the XMRig Monero CPU miner. Others included Metasploit code used to establish a reverse shell. Złapane pliki zawierały normalne dźwięki (ew. nagrany biały szum). Całość oczywiście nie uruchamia się…
Czytaj dalej »
Podatność wykryto w aplikacji Click to Pray sterującej urządzeniem IoT od Watykanu: inteligentnym różańcem: Jak donosi CNET, problem występował w mechanizmie tworzenia konta – należało podać e-mail, na który był wysyłany kod PIN (odpowiednik hasła). Wszystko w porządku, tylko operację można było wykonać ponownie (znając e-mail ofiary), a PIN był…
Czytaj dalej »
Działa? Nie ruszać. Ilu z nas to słyszało? Podobną dewizą kierują się amerykańscy wojskowi, którzy do jeszcze bardzo niedawna używali dyskietek w systemie SACCS (Strategic Automated Command and Control System). Jest on m.in. odpowiedzialny za zmasowane odpalenie rakiet balistycznych z głowicami jądrowymi z terytorium USA – w odpowiedzi na stosowny…
Czytaj dalej »
O amerykańskim Equifax pisaliśmy jakiś czas temu. Wtedy włamano się z wykorzystaniem podatności w Apache Struts (użyto wtedy dość ciekawego XML-a, który był automatycznie deserializowany, dając RCE) i wykradziono wrażliwe dane około 143 milionów klientów. Niedawno doszło do ugody, gdzie firma zobowiązała się rozsądne wynagrodzić straty dotkniętym klientom (może to…
Czytaj dalej »
O temacie pisze Gazeta Wyborcza. Esencję macie tutaj: Przedsiębiorca z Łukowa w województwie lubelskim otrzymał mail z ponaglaniem do dokonania zaległej płatności, która miała dotyczyć jednego z serwisów aukcyjnych. Po tym jak mężczyzna dokonał zapłaty rzekomo zaległej sumy 1,36 zł, z jego kont zniknęło 340 tys. zł. Jak zostały wyciągnięte pieniądze?…
Czytaj dalej »
Opis tutaj – a całość to hacking w czystej postaci :) Najpierw fizyczne podpięcie się do odpowiedniego portu hulajnogi i zdumpowanie firmware. W firmware można było znaleźć taki ciekawy ciąg znaków „Set mode to Free Drive Mode”. Hmmm wystarczy włączyć ten tryb i po zabawie? Niekoniecznie. Nikt przecież nie będzie dłubał…
Czytaj dalej »
