Włamanie do samolotu przy użyciu myszki komputerowej.
Jak można było pozyskać tajne dane z firm, które już nie istnieją na rynku.
Opowieść o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW.
Historia pewnego dziwnego, na pozór losowego hasła.
Jak przechowywać różne dane w jednym pliku?

SubskrybujPokaż całość

Kurs bezpieczeństwa dla programistów #od0dopentestera
Kategoria piąta OWASP Top 10 to nieodpowiednia kontrola dostępu.
Chodzi więc o nieautoryzowany dostęp do danych.

Błędy tego rodzaju pojawiają się gdy programista zakłada, że użytkownik porusza się po serwisie korzystając jedynie z linków znajdujących się w GUI.
A przecież parametry w adresie można dowolnie modyfikować.Pokaż całość

Jak podszyć się pod znaną osobę używając Deepfake?
Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej?
Jak usunąć kompromitujące materiały z sieci udając prokuratora generalnego?
Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo.
Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę? Garść informacji na temat pliku security.txt który ma służyć właśnie do tego celu.
A także wytłumaczenie błędu, który odnaleziono wPokaż całość

OWASP Top 10 czyli co każdy programista o bezpieczeństwie wiedzieć powinien.
Dzisiaj o nieprawidłowym parsowaniu plików XML pochodzących od użytkownika. #od0dopentestera
XML w wolnym tłumaczeniu to Rozszerzalny Język Znaczników.
Przeznaczony jest do reprezentowania różnych danych w strukturalizowany sposób.
Gdy operujemy na dużych zbiorach danych niektóre informację się powtarzają.
W tym formacie można temu zapobiec stosując tak zwane encje.Pokaż całość

Jak przekonać użytkowników do uruchomienia 2FA na przykładzie gier?
Czy wiesz co oznacza termin catastrophic destruction?
Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości?
Techniczny opis ataku podniesienia uprawnień w Linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego.
Jak wyciek naszego adresu zamieszkania może doprowadzić do braku snu a także o mało znanej funkcji Amazon S3.

SubskrybujPokaż całość

Kolejny odcinek na temat bezpieczeństwa stron internetowych w ramach #od0dopentestera
Dzisiaj w cyklu OWASP Top 10 o ekspozycji wrażliwych danych czyli o wydobyciu przez atakującego informacji, których nie powinien posiadać.
A jest ich wbrew pozorom całkiem sporo: począwszy od numerów kart kredytowych, haseł do konta czy też adresu email.
Różne są ryzyka związane z wyciekiem różnych danych.
I tak jeżeli wyciekną numery kart możemy stracić pieniądze a email może zostać użyty w kampaniach złośliwegoPokaż całość

Sekunda przestępna powodem 100% zużycia CPU.
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail.
Sposób na kradzież pieniędzy od użytkowników ebooków.
Phishing przy pomocy tłumacza Google Translate.
Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł?
Co to jest session replay - czyli jak śledzić poczynania użytkowników aplikacji mobilnych.Pokaż całość

#od0dopentestera Kontynuujemy 10 odcinkowy kurs bezpieczeństwa aplikacji internetowych dla początkujących programistów.
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.

W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.Pokaż całość

Jak działa zimny i gorący portfel w odniesieniu do kryptowalut?
Czy Twoja firma przetrwa śmierć kluczowego pracownika? O czynniku autobusowym.
Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów?
Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach.
Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon?
Jak sprawdzić czy legitymacja studencka jest sfałszowana?Pokaż całość

OWASP Top 10 to zbiór dziesięciu najpopularniejszych błędów bezpieczeństwa, które można spotkać na stronach internetowych.
Rozpoczynam nowy cykl filmów właśnie na ten temat w ramach #od0dopentestera
Są one przeznaczone dla szerszego grona #webdev oraz #programista15k a nie tylko osób zajmujących się #bezpieczenstwo
Skupiam się tutaj na ogólnym przedstawieniu koncepcji a nie na szczegółowym wytłumaczeniu każdego z błędów.
Można to więc potraktować jako punkty, na które warto zwrócić uwagęPokaż całość

Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
Kopiowanie kodu ze StackOverflow początkiem problemów.
Jak powinien wyglądać dobry raport z testu penetracyjnego?
Historia wspólnego klucza prywatnego używanego przez wiele stron.
Co to jest "domain hijacking" i jak się przed nim bronić.
Quiz na temat phishingu od Google.Pokaż całość

CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wykonania jakiejś akcji przez zalogowanego użytkownika – chociażby stworzenia nowego konta administratora.
Dzisiaj w #od0dopentestera wytłumaczę jak działa ten mechanizm.

Przesyłając dane do strony zazwyczaj używamy formularza.
Serwer odpowiednio procesuje wysłane przez nas informacje i na ich podstawie wykonuje daną akcję.
Ale nic nie stoi na przeszkodzie, żeby ten sam formularz umieścić na jakiejś innej stronie – nie powiązanej z tą, do której przesyłamy dane.Pokaż całość

Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na Instagramie?
Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych?
Garść porad na temat poszukiwania ukrytych kamer.
Nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi.
Atakowanie dźwigów naPokaż całość

Spring Boot Actuator to narzędzie które pozwala nam na monitorowanie naszej aplikacji napisanej w #spring.
Dzisiaj w #od0dopentestera nieco inne spojrzenie na ten mechanizm.

W standardowej konfiguracji z poziomu interfejsu webowego dostępne są endpointy health oraz info.
Wygodny programista może jednak użyć gwiazdki - aby udostępnić na stronie wszystkie funkcjonalności.
Pod niektórymi adresami możemy odnaleźćPokaż całość

Jak działa atak większościowy 51% na kryptowalutę Ethereum?
O błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji.
Jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji
Czy kurz na kamerze może się komuś przydać?
Dlaczego zaatakowano urządzenia Google Chromecast służące do strumieniowania treści na telewizorze?
Slack jako skarbnica wiedzy dla atakującego.Pokaż całość

NGINX to szybki i wydajny serwer HTTP. Ale czy wiesz jak go prawidłowo i bezpiecznie skonfigurować?
W dzisiejszym odcinku #od0dopentestera kilka przykładów błędnych konfiguracji, które mogą narazić nas na atak.

location /frytki {
alias /test/;
}Pokaż całość

Google Dorks - znajdowanie podatności przy użyciu wyszukiwarki.
Opis ataku "Pass the cookie".
Phishing wykorzystujący nietypowe czcionki.
Konkursy typu CTF wstępem do nauki bezpieczeństwa.
Niebezpieczne kody QR na bankomatach.
Jak udało się złamać projekt reCaptcha?Pokaż całość

Czasami programiści zakładają, że niektóre funkcje są bezpieczne ze względu na swoją naturę.
Co bowiem złego może się stać podczas sprawdzania czy dany plik istnieje na dysku.
Funkcja file_exists przyjmuje tylko jeden parametr i zwraca prawdę lub fałsz.
Ale jak to w #od0dopentestera bywa - diabeł tkwi w szczegółach.

class aplikacja {Pokaż całość

Co to są Canary Tokens i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie.
Jakie informacje na temat naszych zakupów posiada Google?
Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł?
Jak przekonać użytkownika do zainstalowania złośliwego oprogramowania przy pomocy HTML?
O metodzie ataku poprzez kabel USB podpinany do komputera.

MaszPokaż całość

Jak działa atak Business Email Compromise?
Czy phishing może doprowadzić do ewakuacji szkoły?
Jak nie cenzurować internetowych map?
Czy można wykraść tajne dane z telefonu, jeżeli podłączymy go do złośliwej ładowarki?

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na FacebookuPokaż całość