Czy AI zabierze pracę w cyberbezpieczeństwie? Będzie wręcz odwrotnie – przykład XSS w Zoomin!

ai vs security

W kontekście rosnącej roli sztucznej inteligencji (AI) w różnych dziedzinach, pytanie o jej wpływ na rynek pracy w cyberbezpieczeństwie staje się coraz bardziej istotne. Z jednej strony, automatyzacja i inteligentne systemy mogą znacznie przyspieszyć i usprawnić procesy związane z ochroną danych i infrastruktury IT. Z drugiej strony, istnieje obawa, że… Continue reading

Przewodnik po certyfikatach z zakresu cyberbezpieczeństwa wraz z rankingiem

certyfikaty z cyberbezpieczeństwaa

Certyfikaty z zakresu cyberbezpieczeństwa stają się nieodzownym elementem kariery każdego specjalisty IT. Na różnych forach wiele osób początkujących zadaje podobne pytania: „Czy certyfikat A lub B jest dobrym wyborem?”. Co prawda certyfikaty nie dają zatrudnienia tak jak pieniądze szczęścia, niemniej mogą znacząco przyczynić się do wzbogacenia naszego CV przy wejściu… Continue reading

Biometria jest bezpieczniejsza – o tym jak malware okrada użytkowników Androidów

AndroidAtakOverlayBank

Niniejszy wpis został zainspirowany świetną prezentacją Jana Seredynskiego z THS 2023. Cyberbezpieczeństwo nie jest kwestią binarną – nie istnieją tutaj rozwiązania gwarantujące 100% bezpieczeństwa. W rzeczywistości chodzi bardziej o ocenę ryzyka i wybieranie rozwiązań, które są mniej podatne na ataki. Przykładem takiej oceny w kontekście bankowości jest fakt, że potwierdzanie… Continue reading

Wyszukiwanie Modeli 3D: Oto Jak Uprościłem Swój Proces

3d printing model multi search

Cześć wszystkim! Chciałbym podzielić się z wami moim najnowszym projektem, który może być niezwykle pomocny dla profesjonalistów, hobbystów, czy nawet dla osób spoza branży 3D. Stworzyłem prostą, ale przydatną stronę internetową: 3D Search Online, która znacznie usprawnia proces wyszukiwania konkretnych modeli 3D. Problem, który Chciałem Rozwiązać Jako entuzjasta modelowania 3D,… Continue reading

Najbardziej przydatne wtyczki do Burp Suite

Burp Suite hacker

Niniejszy wpis jest uzupełnieniem mojej prezentacji w ramach The Hack Summit 2023, gdzie przedstawię, jak za pomocą kilku wtyczek do Burp Suite można przyspieszyć i ułatwić przeprowadzanie testów penetracyjnych aplikacji webowych. Poniżej znajduje się zestawienie najbardziej przydatnych wtyczek do Burp Suite, z których sam korzystam. Część z nich nie jest… Continue reading

Co może nam powiedzieć zbadanie czasu odpowiedzi serwera?

proces logowania użytkownika

Przyjmując założenie, że serwer podejmuje działania na podstawie określonego warunku, analizujmy sytuację, w której serwer wykonuje obliczenia w zależności od wyniku tego warunku i następnie przekazuje odpowiedź użytkownikowi. W obu przypadkach, czyli zarówno gdy obliczenia są wykonywane, jak i gdy nie są, serwer zwraca odpowiedź użytkownikowi. Warto zauważyć, że w… Continue reading

JWT Re-auth – automatyczne odświeżanie sesji

jwt re-auth

Burp Suite nie radzi sobie z automatycznym odświeżaniem sesji, jeśli taka sesja jest przechowywana w nagłówku, a nie w plikach cookie. Jest to istotne z uwagi na to, że często tokeny JWT (JSON Web Tokens) mają krótki czas życia, co wynika z konieczności zapewnienia bezpieczeństwa przetwarzanych danych. W efekcie, próba… Continue reading

Param-miner — odkryj ukryte parametry

param miner

Najczęstszym punktem wstrzyknięcia złośliwych treści do aplikacji są wartości parametrów przekazywanych do niej. Aby poznać, jakie parametry używa dana aplikacja, należy przeprowadzić fazę rekonesansu, czyli testować różne funkcjonalności i zauważać, jakie parametry są wtedy przesyłane. Jednakże, jeśli nie ma się dostępu do pełnej dokumentacji technicznej lub kodu źródłowego, a funkcjonalności… Continue reading

DOM Invader – automatyzacja wyszukiwania DOM XSS wraz z prototype pollution

Prototype pollution

Chociaż nie jestem fanem przeglądarki wbudowanej w Burp Suite to ma ona chociaż jedną zaletę, dla której warto z niej czasami skorzystać. Jest nim wprowadzone w zeszłym roku rozszerzenie – „DOM Invader”. Służy ono do szybkiego i prostego wyszukiwania podatności typu DOM XSS. To, co w nim jest przełomowe, to… Continue reading

Passwordless i drugi składnik uwierzytelnienia nie chronią przed phishingiem

evilginx

Już kiedyś pisałem o tym, że błędna wiedza może być bardziej niebezpieczna niż sam brak takowej wiedzy. Ostatnimi laty coraz więcej serwisów umożliwia dwuskładnikowe uwierzytelnianie. Korzystają przy tym ze standardowego pierwszego składnika (coś, co wiemy) – loginu i hasła oraz drugiego składnika (coś, co mamy) – kodu sms/tokenu. Oczywiście poprawia… Continue reading