Często korzystając z serwisów internetowych spotykamy się przekierowaniami.
Jeżeli część zasobów witryny dostępna jest tylko dla zalogowanych użytkowników - po przejściu na taką podstronę jako niezalogowana osoba jesteśmy, przekierowywani do formularza logowania.
W adresie URL możemy dostrzec parametry nazwane redirect czy też next, wskazujące na podstronę, która ma się wyświetlić po zalogowaniu.

Dzisiaj w #od0dopentestera, krótki przykład w #java symulujący tąPokaż całość

#ciekawostki o #security - #podcast Szurkogadanie
W tym odcinku:
- metody ataków na systemy bezkluczykowe w samochodach,
- dlaczego radio bluetooth może być niebezpieczne,
- jak oszukać automaty na napoje używając wirtualnych portfeli NFC,
- oraz jak dzieci hackują komputery rodziców.Pokaż całość

Funkcji assert używamy głównie podczas debugowania kodu – aby sprawdzić, czy wyrażenie jest prawdziwe.
Tym razem w #od0dopentestera o tym, dlaczego przekazywanie parametrów od użytkownika do tej konstrukcji w #php jest niebezpieczne.
Film jest nieco dłuższy niż zazwyczaj ponieważ rozwiązuje w nim zadanie Baby PHP z Hack.lu CTF 2018.

Oprócz funkcji assert() dowiesz się tam również:
- o nietypowym użyciuPokaż całość

Czy eksportowanie plików CSV ze strony internetowej może być niebezpieczne?
Dzisiaj w #od0dopentestera o CSV Injection czyli wykonaniu kodu przy użyciu Excela.

Każdy arkusz kalkulacyjny posiada wbudowane funkcje, które upraszczają prowadzenie rachunkowości.
Oprócz matematycznych operacji możemy dla przykładu stworzyć odnośnik do strony internetowej:

=HIPERŁĄCZE("[https://szurek.pl](https://szurek.pl)";Pokaż całość

Najciekawsze newsy o bezpieczeństwie – #podcast Szurkogadanie.

Dzisiaj o:
- jak firmy próbują usunąć kompromitujące dla siebie materiały przy pomocy fałszywych wezwań DMCA,
- co to są honey-tokeny i jak przy ich pomocy wykryć włamanie do naszej infrastruktury,
- dlaczego warto wyłączyć pocztę głosową u naszego operatora – o przejmowaniu kont WhatsApp,Pokaż całość

Sporo programistów #python wie, aby nie używać pickle na danych od użytkownika ponieważ podczas ich deserializacji może dojść do ataku object injection i wykonania złośliwego kodu.
Ale co z innymi formatami? Czy również są niebezpieczne?
W kolejny odcinku #od0dopentestera o plikach yaml.

import yaml
with open("test.yaml", "r") asPokaż całość

Każdy #programista15k przynajmniej raz w swoim życiu spotkał się z terminem XSS - czyli wykonaniem kodu #javascript w przeglądarce.
Ale czy można przeprowadzić taki atak bez użycia tagu html?
O tym w dzisiejszym odcinku #od0dopentestera

< ?php
$s = str_replace('<', '<', $ _GET['s']);Pokaż całość

Nowości ze świata bezpieczeństwa komputerowego w formie #podcast - Szurkogadanie
W tym odcinku:
- phising na użytkowników Steam przy pomocy fałszywego obrazka logowania – czyli o ataku picture in picture
- do czego nie używać serwisu Trello – o wyciekach danych z publicznie dostępnych tablic
- czy menadżery haseł na Androida są bezpieczne – jak aplikacje z fałszywym identyfikatorem mogą wykraść nasze hasła
- dlaczego Facebook zresetował tokeny dostępowe 50 milionom użytkowników – o błędziePokaż całość

Generowanie wartości losowych w komputerze nie jest tak proste jak rzut kostką w rzeczywistości.
Dlaczego więc nie warto używać Random w #java ? #od0dopentestera

Każdy szanujący się serwis posiada funkcjonalność resetowania hasła.
Użytkownik podaje na stronie swój adres email powiązany z kontem.
W tym momencie serwer sprawdza czy taki użytkownik istnieje w bazie danych.Pokaż całość

W czasach spaghetti code warstwa aplikacji przeplatała się z warstwą widoku czyniąc kod trudnym do utrzymania.
Obecnie używamy zaawansowanych silników szablonów np. Jinja2.
Można powiedzieć, że silniki te same w sobie są swego rodzaju językami programowania.
Umożliwiają bowiem dostęp do wielu potencjalnie niebezpiecznych czynności.
Dzisiaj w #od0dopentestera o SSTI czyli Server-Side Template Injection.

imiePokaż całość

Dzisiaj w #od0dopentestera różnica pomiędzy escapeshellcmd oraz escapeshellarg.
Wywoływanie systemowych komend z poziomu #php brzmi jak proszenie się o kłopoty:

$komenda = 'wget --directory-prefix=..\temp '.$url;
system(escapeshellcmd($komenda));
Ten kod umożliwia pobranie treści dowolnej strony internetowej do kataloguPokaż całość

Jak co tydzień w #od0dopentestera #podcast Szurkogadanie – czyli przegląd najciekawszych informacji z branży bezpieczeństwa.
W tym odcinku:
- jeżeli używasz ekranu dotykowego i #windows Twoje hasła i prywatne wiadomości mogły zostać zapisane do pliku waitlist.dat aby usprawnić rozpoznawanie tekstu pisanego

- atak na serwer www przy użyciu funkcji eksportu do PDF – opowieść o tym dlaczego warto monitorować zewnętrzne biblioteki używane w naszym oprogramowaniu

-Pokaż całość

Tym razem w #od0dopentestera pod lupę weźmiemy #php

Czasami potrzebujemy umożliwić użytkownikowi pobranie plików z serwera.
Może on pobrać wszystkie pliki z konkretnego katalogu oprócz jednego - nazwanego u nas sekret.txt
$plik = basename((string) $ _GET['plik']);
if (stristr($plik, 'sekret.txt') === false) {Pokaż całość

Kolejna porcja błędów programistycznych #od0dopentestera
Dzisiaj nietypowo, nie będziemy bowiem przyglądać się konkretnemu językowi #programowanie a komendzie unzip z #linux

Czasami wymagania biznesowe sprawiają, że musimy dodać obsługę archiwów do naszego serwisu internetowego.
Mogą to być pliki zip, rar czy też tar.
Załóżmy, że prowadzimy serwis, w którym możnaPokaż całość

Cześć!

Dzisiaj w #od0dopentestera o tym jak odczytać tajne dane z serwera #java przy pomocy plików XML.

public static void main(String[] args) {
try {Pokaż całość

W dzisiejszym odcinku #od0dopentestera #podcast Szurkogadanie – czyli o bezpieczeństwie dla wszystkich.

W tym odcinku dowiesz się jak przestępcy używają serwisu Technet #microsoft do prób wyłudzeń na suport techniczny a także dlaczego usypianie firmowego komputera z tajnymi danymi nie jest najlepszym pomysłem z powodu ataku Cold Boot.
Opowiadam również co to jest Rubber ducky – czyli wirtualna klawiatura używana podczas pentestów oraz co zmieniło się w najnowszym SafariPokaż całość

Cześć!
Kontynuujemy naszą podróż w cyklu #od0dopentestera dzisiaj język #ruby

Czasami w naszych firmach nie możemy wejść na niektóre strony ponieważ są one zablokowane na firewallu.
Dlatego też stworzymy naszą własną bramkę proxy.

classPokaż całość

Cześć!
W dzisiejszym odcinku #od0dopentestera zaczniemy od języka #python

Co złego może być w 2 linijkach:

imie = input("Twoje imie:")Pokaż całość

Cześć. Ostatnio są tutaj popularne różnego rodzaju bootcampy. Ja jednak chciałbym zainteresować #programista15k a w szczególności programistów #javascript którzy posiadają już pewną wiedzę z #programowanie i chcieli by poszerzyć swoje umiejętności z #bezpieczenstwo aby tworzyć bezpieczny kod.

Na początek 4 popularne błędy w paczkach NPM do #nodejs

W tym filmie zobaczysz dlaczego łączenie fs.readfile z req.url nie jest najlepszym pomysłem oraz dowieszPokaż całość