testy bezpieczeństwa

Ukryte dane w plikach – czyli jak metadane mogą przydać się podczas testów penetracyjnych

przez Michał | 7 czerwca, 2024 - 6:19 pm |7 czerwca, 2024 Bezpieczeństwo IT

Wiele formatów plików, oprócz przedstawiania treści, takich jak JPEG pokazujący wykonane zdjęcie, może zawierać metadane. Te ukryte informacje mogą być nieocenione podczas śledztw OSINT-owych oraz testów penetracyjnych. Przyjrzymy się kilku przypadkom oraz narzędziom przydatnym w ekstrakcji tych pozornie ukrytych informacji. Nieczyszczenie Metadanych z Zdjęć Minęły już czasy, gdy znane portale… Continue reading →

Najbardziej przydatne wtyczki do Burp Suite

przez Michał | 8 października, 2023 - 5:23 pm |8 października, 2023 Bezpieczeństwo IT

Dodaj komentarz

Niniejszy wpis jest uzupełnieniem mojej prezentacji w ramach The Hack Summit 2023, gdzie przedstawię, jak za pomocą kilku wtyczek do Burp Suite można przyspieszyć i ułatwić przeprowadzanie testów penetracyjnych aplikacji webowych. Poniżej znajduje się zestawienie najbardziej przydatnych wtyczek do Burp Suite, z których sam korzystam. Część z nich nie jest… Continue reading →

Co może nam powiedzieć zbadanie czasu odpowiedzi serwera?

przez Michał | 1 października, 2023 - 1:45 pm |1 października, 2023 Bezpieczeństwo IT

3 komentarze

Przyjmując założenie, że serwer podejmuje działania na podstawie określonego warunku, analizujmy sytuację, w której serwer wykonuje obliczenia w zależności od wyniku tego warunku i następnie przekazuje odpowiedź użytkownikowi. W obu przypadkach, czyli zarówno gdy obliczenia są wykonywane, jak i gdy nie są, serwer zwraca odpowiedź użytkownikowi. Warto zauważyć, że w… Continue reading →

Turbo Intruder w testowaniu Race Condition

przez Michał | 5 maja, 2022 - 7:47 pm |5 maja, 2022 Bezpieczeństwo IT, Przydasie

1 Comment

Czy wiesz, że będąc wystarczająco szybkim, możesz wykorzystać lukę, której przy zachowaniu „standardowej” prędkości wysyłania żądań http do serwera nie udałoby się zidentyfikować? Czasami przy szukaniu błędów bezpieczeństwa trzeba zmierzyć się w wyścigu z kodem programisty i serwerem. Race Condition jest typem błędu wynikającym między innymi ze starego podejścia do… Continue reading →

HopLa – autouzupełnianie dla Burp Suite

przez Michał | 9 kwietnia, 2022 - 7:53 pm |9 kwietnia, 2022 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

Wystarczy jedna literówka i payload, który miał zadziałać, nie zadziała. Dobrze jeżeli zostanie to zauważone i poprawione. Nierzadko jednak pewnie w ten sposób dochodzi do sytuacji gdy jakaś podatność nie została wykryta. Kilka dni temu mój kolega Dawid podesłał mi wtyczkę do Burpa, która pomaga przeciwdziałać tego typu wpadkom. HopLa… Continue reading →

Łamanie PDFa z hasłem w kilka sekund – PZU i ich iluzoryczna ochrona. NN Investment Partners również powiela złe praktyki.

przez Michał | 8 marca, 2022 - 7:22 pm |8 marca, 2022 Bezpieczeństwo IT

1 Comment

Iluzja bezpieczeństwa jest gorsza od świadomości o jego braku, bo prowadzi do decyzji podjętych na błędnych przesłankach. Informacje przekazywane przez instytucje zaufania publicznego typu „Chronimy Twoje dane osobowe” jest często właśnie takową iluzją bezpieczeństwa. Przestudiujmy dwa tego przypadki na przykładzie plików PDF z hasłami. Dostałem maila od PZU z propozycją… Continue reading →

Automatyczne wykrywanie dowolnego ciągu znaków (klucze api, hasła, komunikaty o błędach) – RegexFinder

przez Michał | 19 września, 2021 - 5:28 pm |19 września, 2021 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

BurpSuite mimo bycia najlepszym narzędziem do testów penetracyjnych web aplikacji, z jakim dane mi było pracować, posiada nadal obszary, do rozwoju. Niedawno został on uzupełniony w moduł „Logger”, który de facto działa tak samo co wtyczka „Flow” z której korzystam na codzie. Mianowicie archiwizuje cały ruch przechodzący przez proxy Burpa…. Continue reading →

Automatyzacja testów przesyłania plików – Upload Scanner

przez Michał | 30 maja, 2021 - 7:30 pm |2 kwietnia, 2022 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

„Unrestricted File Upload” czyli nieograniczone przesyłanie plików należy do mojej ulubionej grupy podatności aplikacji webowych. Spowodowane jest to tym, że jeżeli już uda mi się zlokalizować tego typu błąd bezpieczeństwa, prowadzi on najczęściej do zdalnego przejęcia kontroli nad serwerem. Skoro można przesyłać obrazki to dlaczego by nie spróbować przesłać na… Continue reading →

Identyfikacja użytych technologii na stronach internetowych – Wappalyzer

przez Michał | 14 marca, 2021 - 8:50 pm |14 marca, 2021 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

Identyfikacja użytych technologii na stronach internetowych - Wappalyzer

Podczas testu penetracyjnego, faza rekonesansu stanowi najistotniejszy element całej „zabawy”. To ona niejako nadaje kierunek dalszych kroków. Dlatego też ważne jest, żeby podejść do niej z należytą starannością i zdobyć jak najwięcej informacji o naszym celu. Użyte technologie przy budowaniu web aplikacji niosą ze sobą określoną klasę zagrożeń i potencjalnych… Continue reading →

Publicznie dostępne wyniki badań na koronawirusa – czyli jak nie zabezpieczać danych

przez Michał | 7 listopada, 2020 - 4:30 pm |7 listopada, 2020 Bezpieczeństwo IT

Dodaj komentarz

TL;DR – data urodzenia czy numer pesel nie stanowi dobrego pomysłu na zabezpieczenie dostępu do danych. Zagadka – co różni dwa poniższe obrazki? Zacznijmy jednak od początku. Niestety jak to często w świecie IT bywa, wygoda nie idzie w parze z bezpieczeństwem. Myślę, że tym razem było podobnie. Istnieje jednak… Continue reading →

Search for:


Cześć podróżniku!

Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...

Subskrypcja
Otrzymaj listę 15 najbardziej przydatnych narzędzi przy testach penetracyjnych!
Zapisz się i bądź informowany o nowych wpisach (zero spamu! - tylko informacje o nowych artykułach). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)

Subskrypcja

Wspieraj tę stronę