W biegu

Na szczęście to false positive w tekście o XSS-ach, w którym każda linijka kodu była przygotowana ręcznie. Podatność to CVE-2016-3198 (ominięcie Content Security Policy w Microsoft Edge). Sporo osób o nam ten problem zgłaszało – stąd oficjalne info :-)

Sekurak został patronem medialnym Code Europe – stąd publikujemy informacje od organizatorów: Już 5, 7 i 13 grudnia Kraków, Warszawa i Wrocław staną się kolejno stolicami branży IT. To jedyna okazja do spotkania się z ponad 130 specjalistami IT, którzy przyjeżdżają do Polski specjalnie na Code Europe, wśród nich są:…

Przygotowaliśmy dla Was dwa filmy – o podatności XXE (weszła ona ostatnio do zestawienia OWASP Top Ten) oraz o narzędziu Burp Suite. Pierwszy film można oglądnąć / pobrać tutaj (to wersja z podłożonym głosem, po polsku). Tutaj jako eksperyment, dołączyliśmy zewnętrzne napisy (przycisk CC w prawym dolnym rogu): Drugi, dłuższy…

Są instalacje (koparki) używane do ogrzewania pomieszczeń, są eksperymenty z podłączaniem koparek do turbin wiatrowych, a tym razem na facebookowej grupie Tesla Owners Worldwide umieszczone zostało zdjęcie koparki kryptowalut podpiętej do samochodu. Cały pomysł bazuje na darmowym ładowaniu zapewnianym przez Teslę (Lifetime Unlimited Supercharging), uzupełnionym o dość pojemną baterię (nawet…

Właśnie Apple dostał informację o mrożącej krew w żyłach podatności, na najnowszym ich systemie (High Sierra), można dostać uprawnienia root, logując się na niego i podając kilka razy puste hasło (do oporu): Podatność wymaga fizycznego dostępu do uśpionego komputera (lub posiadania dowolnego konta – łącznie z guest), choć problem bez…

Nie wiem czy wiecie, ale Facebook od niedawna daje możliwość tworzenia głosowań, do których można dodać też obrazki: Nowa funkcja to okazja na nowe bugi – i rzeczywiście – wystarczyło dodać do swojego głosowania ID zewnętrznych obrazków (z Facebooka), a serwis je akceptował. Ale co ważniejsze – przy kasowaniu głosowania…

Jeszcze dzisiaj możecie zdobyć dożywotni dostęp do Shodana za jedyne $5 – a jako bonus – dostępny jest czarnopiątkowy podręcznik w modelu „płać ile chcesz” (najmniejsza kwota to $0). Dostępne wersje to pdf/epub/mobi – i całość sprawnie wprowadzi Was w świat Shodana i ogólnie pasywnego rekonesansu. Dla tych, którzy jeszcze…

Całość planowana jest w porozumieniu z Troyem Huntem, który udostępnia serwis haveibeenpwned. Komunikat mógłby wyglądać np. tak: I docelowo całość ma przede wszystkim uwypuklić konieczność zmiany swojego hasła na takiej domenie. –ms

Jeszcze kilka godzin i za około 1/10 normalnej ceny będzie można  uzyskać pełen dożywotni dostęp do Shodana. Nie będę Was dalej jakoś intensywnie namawiał – bo ten kto ma wiedzieć czym jest Shodan to zapewne już wie :-) My mamy od dawna pełen dostęp i w skrócie – warto je…

Niejesteśmy specami w obszarze biologii ale terapie genowe wyglądają na mocno obiecujące, ale mogące mieć równie mocne negatywne efekty. W skrócie chodzi o: wprowadzeniu obcych kwasów nukleinowych (DNA lub RNA) do komórek. Czego efektem ma być np.: zmuszenie komórki do produkcji białka kodowanego przez wprowadzony gen Jak całość podawać? Np. wirusem: (…) w tym celu najczęściej stosuje…

Cały proceder ma miejsce od początku 2017 roku, a lokalizacja pobliskich wież GSM wysyłana jest również wtedy, kiedy nie mamy w telefonie karty SIM (wysyłka jest po WiFi). Wyłączenie „location services” nie pomaga – czy inaczej: wg serwisu Quartz – nie da się tego w ogóle wyłączyć: Even devices that had…

… co więcej przez rok Uber ukrywał wyciek, i – przynajmniej wg serwisu Bloomberg – zapłacili okup $100 000 – w zamian za nie ujawnianie danych z włamania oraz ich usunięcie (ten wątek cały czas jest niejasny). Ponoć do włamania doszło poprzez dostęp do prywatnego repozytorium na GitHubie i dalej –…

Niby nic nowego, ot kolejne wykonanie nieautoryzowanego kodu w pakiecie Office. Ale… jednak mamy tutaj coś nowego. Okazuje się, że Microsoft tym razem załatał błąd w archaicznym komponencie służącym do tworzenia formuł matematycznych (Equation Editor, EQNEDT32.EXE) – poprzez bezpośrednią edycję pliku binarnego exe. Wielu uważa, że całkiem prawdopodobnym jest, że Microsoft po…

Core 6,7,8, Xeony, Atomy – to wybrane podatne platformy. O co tu dokładniej chodzi? O podatności w podsystemie Intel Management Engine, które niebawem zostaną zaprezentowane na europejskim Blackhacie. Atak jak na razie wygląda na mocny – daje dostęp w zasadzie do wszystkiego na komputerze (jakkolwiek górnolotnie by to nie brzmiało)…

Właśnie załatano krytyczną podatność w wielu produktach BIG-IP, w oryginale wygląda to tak: A BIG-IP virtual server configured with a Client SSL profile may be vulnerable to an Adaptive Chosen Ciphertext attack (AKA Bleichenbacher attack) against RSA, which when exploited, may result in plaintext recovery of encrypted messages and/or a…