Prawo #1: Jeśli ktoś może przekonać Cię do uruchomienia jego programu na Twoim komputerze, to już nie jest wyłącznie Twój komputer. Uruchamianie nieznanych programów na swoim komputerze to ogromne ryzyko. Gdy tylko wykonasz taki krok, istnieje możliwość że dasz nieograniczony dostęp osobie, która stworzyła ten program. Może to być niewinny… Continue reading →
Wiele formatów plików, oprócz przedstawiania treści, takich jak JPEG pokazujący wykonane zdjęcie, może zawierać metadane. Te ukryte informacje mogą być nieocenione podczas śledztw OSINT-owych oraz testów penetracyjnych. Przyjrzymy się kilku przypadkom oraz narzędziom przydatnym w ekstrakcji tych pozornie ukrytych informacji. Nieczyszczenie Metadanych z Zdjęć Minęły już czasy, gdy znane portale… Continue reading →
Już kiedyś pisałem o tym, że błędna wiedza może być bardziej niebezpieczna niż sam brak takowej wiedzy. Ostatnimi laty coraz więcej serwisów umożliwia dwuskładnikowe uwierzytelnianie. Korzystają przy tym ze standardowego pierwszego składnika (coś, co wiemy) – loginu i hasła oraz drugiego składnika (coś, co mamy) – kodu sms/tokenu. Oczywiście poprawia… Continue reading →
„Co w pentestach piszczy – przykłady, narzędzia, porady” – prezentacja, którą miałem przyjemność przedstawić w ramach konferencji The Hack Summit 2021. Znajduje się w niej trochę statystyk z testów penetracyjnych, narzędzi, przykładów znalezionych podatności oraz porad jak sobie z nimi radzić.
Czy wiesz, że będąc wystarczająco szybkim, możesz wykorzystać lukę, której przy zachowaniu „standardowej” prędkości wysyłania żądań http do serwera nie udałoby się zidentyfikować? Czasami przy szukaniu błędów bezpieczeństwa trzeba zmierzyć się w wyścigu z kodem programisty i serwerem. Race Condition jest typem błędu wynikającym między innymi ze starego podejścia do… Continue reading →
Wystarczy jedna literówka i payload, który miał zadziałać, nie zadziała. Dobrze jeżeli zostanie to zauważone i poprawione. Nierzadko jednak pewnie w ten sposób dochodzi do sytuacji gdy jakaś podatność nie została wykryta. Kilka dni temu mój kolega Dawid podesłał mi wtyczkę do Burpa, która pomaga przeciwdziałać tego typu wpadkom. HopLa… Continue reading →
Iluzja bezpieczeństwa jest gorsza od świadomości o jego braku, bo prowadzi do decyzji podjętych na błędnych przesłankach. Informacje przekazywane przez instytucje zaufania publicznego typu „Chronimy Twoje dane osobowe” jest często właśnie takową iluzją bezpieczeństwa. Przestudiujmy dwa tego przypadki na przykładzie plików PDF z hasłami. Dostałem maila od PZU z propozycją… Continue reading →
„Niektóre treści na stronach internetowych są pozornie ukryte – to znaczy, że nie posiadając ich adresu, nie jesteśmy w stanie się do nich dostać. Często są to jakieś pozostałości jeszcze z etapu tworzenia aplikacji – programista miał je później usunąć, ale zapomniał ¯\_(ツ)_/¯ .” – to ze wspominek o DIRB…. Continue reading →
Niedawno zostałem zaproszony na kanał 180 stopni do rozmowy, o tym czym zajmuję się zawodowo i bezpieczeństwie naszego cyfrowego życia. Poniżej jest dostępne wideo/podcast będący wynikiem tego dosyć nietypowego spotkania w nagraniowym busie. Jeżeli chciałabyś/chciałbyś dowiedzieć się jak utrudnić życie hackerom i nie zostać ofiarą ich ataków, oraz jakie zagrożenia… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Subskrypcja
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
