Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wykonaliśmy testy penetracyjne Protonmaila – zobaczcie publiczny raport
Na zlecenie Protonmaila wykonaliśmy testy bezpieczeństwa Protonmaila :) Dokładny zakres opisujemy w przeszło 40-stronicowym raporcie.
Oczywiście jeśli chcielibyście zlecić tego typu prace dla Waszych systemów czy aplikacji – kontaktujcie się na securitum@securitum.pl
–ms
🤯 Sami z siebie Was znaleźli czy jakiś Wasz dobry znajomy tam pracuje? ;) Nie odbierzcie tego źle, po prostu jakbym był Protonmailem to firmy ze wschodniej Europy chyba nie byłyby na szczycie mojej listy.
A teraz Tutanotę namówcie, mam przeczucie że raport stamtąd byłby ciekawszy ;)
Bardziej pierwsza opcja, choć to trochę bardziej skomplikowane :)
Pracuję dla firmy, która zlecała audyty rożnym firmom. Zachodnie audyty zazwyczaj trwały krócej i znajdowali pojedyncze proste rzeczy. Po audytach Securitum zazwyczaj mamy tydzień łatania i znajdowali naprawdę ciekawe rzeczy.
TLDR dla mało technicznych?
Jeden błąd (reflected XSS) o poziomie medium, wymagający interakcji ofiary. Cztery low. Warto przeczytać, bo ciekawe. Objętościowo wydaje się dużo, ale czyta się szybko – dużo obrazków i przykładów.
Chapeau bas, dla Was i Protonmaila, że zgodzili się upublicznić raport.
[INFO] SECURITUM-212589-WEB-006: Interaction with external service
Serwer robiący requesty pod wskazany przez atakującego adres, to brzmi jak SSRF. Czemu to nie zostało w ten sposób sklasyfikowane?
Raport będzie przetłumaczony na polski?
nie
Po co? Przecież Polska to kraj zaściankowy, nawet swojego języka nie ma.
„Chapeau bas”, „Hejt”, „Lockdawn”, „kontent”, „lajfa”, „agenda”… te i wiele wiele innych świadczy o postępowaniu degeneracji naszego języka. Najsmutniejsze kiedy te wyrazy stosują ludzie którzy starają się uchodzić za patriotów w „patriotycznych” kanałach w takim YT. Reasumując chyba właśnie jest tak jak napisałeś @M. :-(
zamawiający z wykonawcą ustalili język raportu, zapewne biorąc pod wagę globalny zasięg usługi i jako używany powszechnie (m.in. w informatyce) jest to język angielski, albo wykonawca miał w ofercie PL/EN i z wiadomych względów wybrany został EN. Dlaczego ktoś miałby płacić za tłumaczenie albo poświęcać dodatkową pracę bez dodatkowego wynagrodzenia? Całkiem normalne i logiczne jest wydanie raportu w tym języku, bez wersji PL. Zawsze możesz przetłumaczyć na ochotnika ;)
bardzo pozytywnie zaskoczony :)
A teraz fajnie by było porównanie tego audytu z GMail-em.
Dokładnie!