Omiń WAFa, filtry i dopasuj wektor ataku xss do technologii

xss cheat sheet

Klasyczne wstrzyknięcie kodu javascript „<script>alert(1)</script>” jest blokowane przez WAFa lub nie działa w konkretnym frameworku? Szukasz wektora ataku pod Vue.js lub Angulara? Ta lista jest dla Ciebie. Portswigger na łamach swojej strony publikuje owoc pracy kilkunastu badaczy w postaci tak zwanego „Cross-site scripting (XSS) cheat sheet” . Lista jest o… Continue reading

Publicznie dostępne wyniki badań na koronawirusa – czyli jak nie zabezpieczać danych

wyniki badań koronawirus

TL;DR – data urodzenia czy numer pesel nie stanowi dobrego pomysłu na zabezpieczenie dostępu do danych. Zagadka – co różni dwa poniższe obrazki? Zacznijmy jednak od początku. Niestety jak to często w świecie IT bywa, wygoda nie idzie w parze z bezpieczeństwem. Myślę, że tym razem było podobnie. Istnieje jednak… Continue reading

Jak zwiększyć bezpieczeństwo tokenów JWT JSON Web Token?

JSON Web Token

Tokeny JWT ostatnimi czasy stały się bardzo popularną metodą uwierzytelniania w aplikacjach webowych. Choć jest to jeden z najbezpieczniejszych sposobów chronienia zasobów, a alternatyw na rynku brak – należy pamiętać, że każda róża ma kolce i także tutaj czyha wiele potencjalnych zagrożeń. Wynikają one głównie z błędów popełnianych przy implementacji…. Continue reading

Jak podnieść swoje bezpieczeństwo w sieci

cyberbezpieczeństwo

Niedawno zostałem zaproszony na kanał 180 stopni do rozmowy, o tym czym zajmuję się zawodowo i bezpieczeństwie naszego cyfrowego życia. Poniżej jest dostępne wideo/podcast będący wynikiem tego dosyć nietypowego spotkania w nagraniowym busie. Jeżeli chciałabyś/chciałbyś dowiedzieć się jak utrudnić życie hackerom i nie zostać ofiarą ich ataków, oraz jakie zagrożenia… Continue reading

Tplmap – zidentefikuj i wykorzystaj silnik szablonu

tplmap-confirmed-injection

Gdy przeprowadzasz test penetracyjny strony internetowej, która generuje dynamiczne treści przy użyciu szablonów z wartościami podanymi przez użytkownika możesz natrafić na podatność typu Server-Side Template Injection. Ręczna identyfikacja silnika szablonu, z jaką masz do czynienia i późniejsza exploitacja może zostać w łatwy sposób zautomatyzowana przy pomocy narzędzia Tplmap. Tplmap jest… Continue reading

ATOR – Authentication Token Obtain and Replace – wtyczka Burp Suite do obsługi złożonych mechanizmów sesyjnych

Schemat działania wtyczki ATOR

Chodź narzędzie Burp Suite posiada wbudowany mechanizm obsługi sesji, coraz częściej spotykam się z sytuacjami, gdzie po prostu sobie nie radzi z utrzymaniem jej aktywnej. Jest to najczęściej spowodowane jednym z poniższych czynników: dynamiczne tokeny CSRF ukryte w różnych miejscach requestu; aplikacje oparte na JavaScript (React, Angular) i interfejsy API… Continue reading

CSP Evaluator – czy Twoja polityka CSP jest bezpieczna?

csp evaluator

CSP (Content Security Policy) jest mechanizmem bezpieczeństwa zaimplementowanym we wszystkich współczesnych popularnych przeglądarkach internetowych. Jego głównym celem jest ochrona przed atakami działającymi po stronie frontendu – w szczególności przed podatnościami typu XSS. Pewne powszechne błędy popełniane przy tworzeniu polityki CSP powodują możliwość jej obejścia. Aby upewnić się, że takowych nie… Continue reading

Ukryte treści – czy wiesz czego szukać? Gotowy dobry słownik.

słowniki

Narzędzia służące do enumeracji takie jak DIRB wymagają do swojego działania specjalnie przygotowanego słownika zawierającego czasami setki tysięcy najpopularniejszych nazw folderów i plików. Technologie wykorzystywane w IT ciągle się zmieniają, a wraz z nimi ścieżki do pozornie ukrytych treści. Aby skutecznie przeprowadzać ataki polegające na enumeracji, trzeba takowy słownik ciągle… Continue reading

PassiveTotal – znajdź ukryte poddomeny

passive total lista subdomen

Podczas brania udziału w bug bunty czy też testów penetracyjnych -niezwykle istotne jest pozyskanie jak największej ilości informacji o celu swojego ataku. Nazywamy to fazą rekonesansu. Czasami ciekawe efekty można uzyskać poprzez odwołanie się do starych, zapomnianych lub z pozoru ukrytych domen, poddomen czy też adresów IP. Ślepe strzelanie w… Continue reading

Przykładowa polityka haseł

polityka haseł

Poniższa przykładowa polityka haseł bierze pod uwagę stan wiedzy na temat wydajności i możliwości różnego rodzaju ataków na systemy kryptograficzne w 2020 roku. W miarę możliwości będę starał się ja uaktualniać (gdy okaże się, że jest już za słaba). Statyczne hasła w systemach IT powinny: być długości nie mniejszej niż… Continue reading