W Chrome mamy poprawki kilku błędów bezpieczeństwa, w tym jednego z priorytetem High zgłoszonego przez… członka zespołu Microsoft Offensive Security Research. Niedawno stworzona ekipa raczej skupiała się na poszukiwaniu błędów w produktach Mictosoftu. Zatem poważna podatność w Chrome to wypadek przy pracy? A może Microsoft, podobnie jak Google, chce zbudować rozpoznawalne globalnie…
Czytaj dalej »
Zapraszamy na drugą edycję konferencji PWNing. Podobnie jak i ostatnio będziemy z prezentacją. Jak zwykle będzie to hackowanie na żywo i stawiamy na kamery CCTV z oryginalnym researchem z tego roku. Poniżej info od organizatorów, Sekurak patronuje medialnie całemu wydarzeniu. Duży sukces pierwszej edycji „SECURITY PWNing Conference” i pozytywne opinie…
Czytaj dalej »
Firma Piriform, właściciel i wydawca programu CCleaner poinformowała, że instalatory programu CCleaner v5.33.6162 oraz CCleaner Cloud v1.07.3191 zostały w nieautoryzowany sposób zmodyfikowane, przez co użytkownicy pobierając i instalując wspomniane oprogramowanie na swoich komputerach, byli zarażani przez malware. Sprawa jest rozwojowa; aktualnie pojawiają się niespójne informacje co do kwestii tego, co…
Czytaj dalej »
Zakończyła się prezentacja Apple, na której firma przedstawiła nowe wersje swoich flagowych produktów, które już wkrótce pojawią się na rynku. Jak co roku, jedną z najbardziej wyczekiwanych nowości był iPhone. Oczywiście Apple nie zawiodło fanów i zaprezentowało iPhone 8, iPhone 8 Plus oraz iPhone X. Dla osób zainteresowanych bezpieczeństwem, szczególnie…
Czytaj dalej »
Jeżeli w trakcie pracy z deasemblerem IDA zauważymy, że co prawda bogaty, ale standardowy zestaw funkcji nie spełnia naszych oczekiwań, możemy zostać zmuszeni do zastosowania odpowiedniego rozszerzenia lub wcześniejszego jego stworzenia. W takim przypadku, zanim rozpoczniemy prace nad kodem nowego rozszerzenia polecamy zajrzeć do repozytorium GitHub, które agreguje publicznie dostępne…
Czytaj dalej »
Struts to popularna biblioteka (framework?), znana zapewne wielu fanom Javy. Znana jest ona również badaczom bezpieczeństwa, bowiem historia podatności jest tutaj dość pokaźna. Co ma XML do zdalnego wykonania kodu? Otóż podatność zasadza się na wykorzystaniu automatycznie wykorzystywanej deserializacji XML-a, przez komponent XStream wykorzystywany w Struts2. Ale o RCE czającym się…
Czytaj dalej »
Trudno jest przygotować kurs o nowych, formalnych wymogach dotyczących danych osobowych (GDPR/RODO), tak aby nie był on najzwyczajniej w świecie nudny. Mamy nadzieję, że udało nam się połączyć dwa światy – techniczny i formalny – przygotowując skondensowany, jednodniowe szkolenie dotyczące nowej regulacji GDPR/RODO. Prowadzącym jest Maciek Pokorniecki, który na Sekuraku…
Czytaj dalej »
Pytaliście wiele razy czy możemy udostępnić nagrania z naszych prezentacji. Więc mamy dla Was: hackowanie kamer, TP-Linków, aplikacji webowych. Wszystko na żywo. Prawie 1.5h prezentacji – prezentuje Michał Sajdak, na zaproszenie firmy KMD Poland.
Czytaj dalej »
Temat numeru wrześniowego wydania „Linux Magazine” jest poświęcony kwestii bezpieczeństwa sieci i wykrywaniu luk przy użyciu Network Security Tool. Na dołączonym DVD znajduje się Linux Mint 18.2 w wersji z pulpitem Mate. Wewnątrz wydania również: sprawdzanie rzeczywistej pojemności nośników, zaawansowane projektowanie eleganckich dokumentów za pomocą LibreOffice Writera, warzenie piwa w…
Czytaj dalej »
Ciekawa analiza botnetu Onliner Spambot. Autor uzyskał m.in. dostęp do około 50 gigabajtów danych zawierających e-maile, hasła (w formie jawnej), czy fragmenty konfiguracji botnetu. Całość przez kompromitację CNC: Thanks to an open directory on the web server of the Onliner Spambot CNC, I was able to grab all the spamming data It’s…
Czytaj dalej »
Objęliśmy patronatem tegoroczną konferencję Security Case Study. Jeśli ktoś chce skorzystać ze zniżki wystarczy użyć kodu SCS17_Sekurak_20 (20% off). Wydarzenie jest już niedługo: 13-14 września w Warszawie. Sami organizatorzy piszą o wydarzeniu tak: Tematyka: bezpieczeństwo rozwiązań mobilnych, bezpieczeństwo serwisów internetowych, najgroźniejsze ataki sieciowe – ataki typu DDoS i APT, techniczne i…
Czytaj dalej »
Wydana została nowa wersja biblioteki DOMPurify oznaczona numerem 1.0.0. Jedną z najważniejszych zmian w stosunku do poprzedniej wersji jest przeprowadzona refaktoryzacja kodu, dzięki której uzyskano zgodność ze standardem ECMAScript 2017. Do czego służy DOMPurify i kto powinien się tą biblioteką zainteresować? Sprowadzając zagadnienie do podstaw DOMPurify służy do sanityzacji kodu…
Czytaj dalej »
Na początek, czym jest ów waporyzator? Coś co potrafi odparować np. tytoń (nie ma tutaj klasycznego spalania – zatem mamy mniej trujących substancji), a niektórym służy np. do stopniowego rzucania palenia. Nowoczesne sprzęty mają (oczywiście) możliwość sterowania z aplikacji mobilnej. A ta z kolei komunikuje się urządzeniem, korzystając z Bluetooth…
Czytaj dalej »
Osoby dysponujące wolnym czasem oraz odrobiną umiejętności zachęcamy do zainteresowania ofertą firmy Zerodium, można zgarnąć pół miliona dolarów. Jak to zrobić? Wystarczy przygotować oraz dostarczyć do wspomnianej firmy działający exploit, który pozwoli na zdalne wykonanie kodu (RCE) z wykorzystaniem takich aplikacji mobilnych jak iMessage, Telegram, WhatsApp, Signal, Facebook czy Viber….
Czytaj dalej »
Aplikacje WWW narażone są na wiele zagrożeń; czasem są to klasyczne wektory ataku znane z OWASP Top 10, innym razem okazuje się, że potencjalna luka bezpieczeństwa “aktywuje się” dopiero po jakimś czasie. Sucuri donosi o przypadku odkrycia nierozwijanej wtyczki Enmask Captcha dla CMS WordPress, która ładowała skrypt JavaScript z zewnętrznej…
Czytaj dalej »
