W biegu

Tematy z tytułu to tylko dodatkowe dema na żywo, które planujemy zamieścić w naszym flagowym, dwudniowym szkoleniu: wprowadzenie do bezpieczeństwa IT. Samo szkolenie to przede wszystkim liczne pokazy ataków na żywo (jest ich przeszło 20, nie ma szans na nudę :-) – wszystko oczywiście z odpowiednim tłumaczeniem i omówieniem ochrony….

Listę podatnych produktów możecie zobaczyć tutaj. Jak widzicie część produktów otrzymała łaty, choć dla większości są one w trakcie tworzenia. Ciężko powiedzieć czy VMware przydzielił od góry do dołu łatkę: Critical 10/10, ale nie wygląda to dobrze. Wszystko „oczywiście” za sprawą podatności w bibliotece Apache Log4j: VMWare dodaje jednocześnie: Exploitation…

Czym jest Ghidra? Otwartoźrodłowym narzędziem do analizy plików binarnych. Posiada dekompilator, wsparcie dla x86/MIPS/ARM/… Właśnie wydano wersję 10.1, która zawiera m.in. poprawkę słynnego już buga log4shell. No dobra, dobra, ale jak w praktyce działa ta Ghidra? Zobaczcie więc, jak w prosty sposób można dzięki niej zlokalizować podatność klasy RCE w…

News krótki, ale temat wart odnotowania. Jeden z czytelników Życia Kalisza, nagrał rozmowę z oszustami. TLDR (przygotowanie skróconego ~stenogramu by sekurak): Uderzyłam kobietę na pasach! [chlip chlip] Ale to jak, nie uważaliście!? [;p] Wyskoczyła no na zielonym Ojejka… Jesteśmy na komendzie… to on prowadził [szloch, chlip, bęc] A był trzeźwy?…

Jeśli kogoś interesują nasze gadgety – jest jeszcze kilka dni na wypełnienie ankiety tutaj (do wygrania w sumie > 100 nagród). Obecnie liczy się rozsądne wypełnienie tej ankiety, nie czas. A przechodząc do anonsu z tytułu: bluza prezentuje się następująco (logo jest haftowane): A konkurs organizujemy w nawiązaniu do wpisu:…

Jeden z użytkowników Wykopu, zmęczony najpewniej ciągłym bombardowaniem przez boty-kupujące-oszukujące, postanowił trochę pośmieszkować: Urocze, prawda? ;-) Zresztą inni, w cytowanym wątku powyżej, nie chcą pozostawać w tyle i proponują swoje frazy konwersacyjne z panią Klarą Sobieraj, ekhem… znaczy z OLX scam-botem: Przypominamy, że kradzież „na OLX” uderza w sprzedających przedmioty….

Jest spora szansa, że historia tej podatności w log4j właśnie zaczyna się od exploitów na Minecrafta (i co więcej dotyczy to zarówno serwerów jak i klientów): Jeśli wierzyć tej relacji – gorzej już być nie mogło: Ten exploit jest bardzo poważny w Minecraft Java Edition. Każdy może wysłać wiadomość na…

Szczegóły podatności dostępne są tutaj, a wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft). Prawdopodobnie podatne są też rozwiązania wykorzystujące bibliotekę Struts. Podatne wersje log4j: 2.0 <= Apache log4j <= 2.14.1 Exploit jest bardzo prosty i wymaga…

Jeden z użytkowników Pixela 3 (Android 11) alarmuje: Musiałem wezwać karetkę po babcię w piątek, ponieważ wyglądało że dostała wylew (…) zadzwoniłem pod numer 911, wpisując numer jak w normalnej rozmowie. Mój telefon zaciął się po jednym dzwonku i nie byłem w stanie zrobić nic poza klikaniem w appki (połączenie…

Odpowiedz proszę na pytania z ankiety. 70 pierwszych osób otrzyma od nas po jednej nagrodzie z puli:* skarpetki sekuraka :-)* kubek sekuraka* t-shirt sekuraka* voucher na dowolne szkolenie (https://sklep.sekurak.pl/)* ebook książki sekuraka: bezpieczeństwo aplikacji webowych* czarna bluza sekuraka (mamy tylko jedną, wygranego wybierzemy ręcznie – patrz niżej :) Dodatkowe 30…

Każdy zna linki zaczynające się od http:// – można również używać innych URL handlerów np.: ms-officecmd:sekurak.pl Jak zadziała ww. link, umieszczony w pasku URL przeglądarki? Nie zadziała ;) ponieważ musi mieć określony format. Badacze pokazali np. taki fragment (można by go użyć w pasku URL przelądarki, ale taka forma jak…

Jeśli interesują Cię nasze inicjatywy wydawnicze, ten post jest dla Ciebie. Jakiś czas temu obiecaliśmy darmowy extra rozdział – wszystkim właścicielom naszej książki o bezpieczeństwie aplikacji webowych. Jeśli ktoś jeszcze książki nie posiada – tutaj kod dający jeszcze przez ~tydzień -20%: swieta-2021 Rozdział autorstwa Iwony Polak (naszej pentesterki) jest gotowy…

W poniedziałek działaliśmy na tegorocznym MSHP – 9 prezentacji na żywo, 7 dodatkowych nagrań, brak prezentacji reklamowych, ogromna, ale to ogromna aktywność uczestników na Discordzie (do tej pory trwają tam dyskusje) oraz rozdane kilogramy kubków sekuraka – to w największym skrócie podsumowanie Mega Sekurak Hacking Party. Właśnie uruchomiliśmy zapisy na…

Mechanizm oszustw na „dostawę OLX” dużo osób (miejmy nadzieję) już zna (przypomnienie tutaj). Podobny od schemat od pewnego czasu „grany jest” na Allegro Lokalnie. Jeden z czytelników podesłał nam właśnie taki zapis rozmów z oszustem: Celem ataku są sprzedający, a „kupiec” kontaktując się prosi o wejście na link, za którym…

Na Twitterze od paru dni obserwujemy PoCa na podatność path traversal w Grafanie (możliwość odczytywania plików z serwera, bez uwierzytelnienia): Dostępne są już łatki: Today we are releasing Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7. This patch release includes a high severity security fix that affects Grafana versions from v8.0.0-beta1 through…