Książka sekuraka o bezpieczeństwie aplikacji webowych: -20% z kodem rabatowym: ksiazka-wakacje

W biegu

Krótka historia PING-a

10 stycznia 2015, 13:46 | W biegu | komentarze 2

Jak prawie wszystkie początki Internetu, również narzędzie ping wywodzi się z kręgów wojskowych, co opisuje krótka historia tego narzędzia (autorstwa autora pinga ;-). Mike Muuss opisuje zarówno historię nazwy 'PING’, ale również kilka ciekawostek, typu przekierowanie pinga przez pewnego administratora do zestawu stereo: ping goodhost | sed -e 's/.*/ping/’ |…

Czytaj dalej »

WarSting: legendarny miecz wykrywający niezabezpieczone sieci WiFi

06 stycznia 2015, 20:10 | W biegu | komentarze 2

Pewnie każdy z nas oglądał „Hobbita”, a przynajmniej „Władcę Pierścieni”. Jeśli tak – znacie na pewno „Żądło” – miecz świecący niebieską poświatą, w momencie gdy w okolicach znajdują się orkowie czy inne gobliny. Jeśli chcecie sprawić dziecku (lub sobie ;) prezent inspirowany „Żądłem” – autor tego bloga pokazuje jak we…

Czytaj dalej »

Hotele legalnie będą zakłócać Twój personal WiFi hotspot?

06 stycznia 2015, 19:30 | W biegu | 1 komentarz

Hotel zakłóca osobiste hotspoty WiFi, zapewniając jedynie swoją usługę bezprzewodowego Internetu, za którą trzeba zapłacić $250 – $1000 per urządzenie. Brzmi jak abstrakcja? Otóż nie, w październiku 2014r. Mariott został ukarany kwotą $600 000 przez amerykańską Federal Communications Commission – właśnie za stosowanie wyżej opisanej praktyki. Co więcej, wiele innych…

Czytaj dalej »

Szkolenie – bezpieczeństwo aplikacji www – 50% rabat

30 grudnia 2014, 15:46 | W biegu | 0 komentarzy

Wszystkich fanów sekuraka zapraszam do skorzystania do udziału w szkoleniu – bezpieczeństwo aplikacji www. Tak naprawdę, szkolenie powinno się chyba nazywać: „zaawansowane bezpieczeństwo aplikacji www”, bo poza pewnymi podstawami można warsztatowo popracować nad takimi podatnościami jak: XXE, Shellshock, LDAP injection, XPATH injection, czy Server Side Javascript Injection. Nie brakuje także…

Czytaj dalej »

Masz otwarty port 26 TCP na swoim QNAP-ie? Może masz robaka…

29 grudnia 2014, 12:40 | W biegu | 0 komentarzy

Jak donosi CERT Polska, ostatnio aktywny jest robak wykorzystujący podatność shellshock w bashu, dostępnym na wielu urządzeniach QNAP-a. Co ciekawe, robak po infekcji sam łata urządzenie. Szybką metodą na sprawdzenie czy jesteśmy zainfekowani, jest sprawdzenie na naszym urządzeniu dostępności portu 26 TCP (robak uruchamia na nim serwer SSH). Więcej informacji…

Czytaj dalej »

NTP – masowe podatności w demonie synchronizacji czasu

27 grudnia 2014, 09:56 | W biegu | komentarze 3

Rok 2014 kończy się odkryciem zbioru podatności w kolejnym szeroko stosowanym oprogramowaniu open source – NTP. Badacze z Google Research team, m.in. odkrywca Heartbleeda – Neel Mehta, ujawnili zbiór podatności w kodzie demona Network Time Protocol. Najbardziej krytyczna z odkrytych luk umożliwia zdalne wykonanie kodu. Szczegółowy opis podatności dostępny jest na stronie ntp.org.

Czytaj dalej »

Prezentacja sekuraka na Secure14 (pdf) + 5 licencji Burp Suite do rozdania

24 października 2014, 11:34 | W biegu | komentarzy 12

Zainteresowanym udostępniam sekurakową prezentację z konferencji Secure. Dużo było pokazów praktycznych, film z całą nagraną sesją pokaże się na stronach organizatorów w swoim czasie ;-) Jednocześnie mamy do rozdania pięć, 3 tygodniowych, pełnych licencji na Burp Suite Pro. Licencje można otrzymać pisząc maila na skrzynkę sekurkową. Można w mailu dodać…

Czytaj dalej »

Szkolenia / warsztaty – bezpieczeństwo IT

21 października 2014, 22:36 | W biegu | komentarze 2

W jesienno-zimowym okresie zapraszamy na kilka szkoleń Securitum, organizowanych tym razem w większości w Warszawie: Akredytowane szkolenie przygotowujące do egzaminu CEHv8 (Certified Ethical Hacker). Ostatnie dwie grupy – wrześniowa i październikowa – były pełne :) A formuła zawierająca (poza materiałami EC-Council) masę praktyki – zdecydowanie się sprawdza (opinie uczestników w…

Czytaj dalej »

Konferencja – Advanced Threat Summit

11 października 2014, 21:41 | W biegu | 0 komentarzy

Na polskiej scenie wydarzeń dotyczących bezpieczeństwa teleinformatycznego pojawiła się nowa, warta uwagi pozycja. Mowa o konferencji Advanced Threat Summit. Sami organizatorzy (ISSA Polska oraz Evention) piszą o wydarzeniu tak: To jedyna tego typu konferencja, tak mocno sprofilowana i dotyczącą wyłącznie zagadnień spod znaku APT, DDoS oraz bezpieczeństwa aplikacji webowych. Choć…

Czytaj dalej »

PHP <= 5.3 - phpinfo() Type Confusion Infoleak - wyciekają klucze prywatne SSL i inne dane

07 lipca 2014, 12:34 | W biegu | komentarze 3

Kilka dni temu Stefan Esser opublikował ciekawy wpis będący Proof of Concept nowej podatności zlokalizowanej w silniku PHP. Stefan pokazał jak w PHP wykorzystać funkcję (czy raczej błąd w funkcji) phpinfo() aby wyciągnąć dane binarne z pamięci serwera. Wykorzystanie podatności wymaga możliwości uruchomienia skryptu z phpinfo() na serwerze. Jeśli to…

Czytaj dalej »