Czy kliknięcie w odnośnik może być niebezpieczne? #od0dopentestera
Parę tygodniu temu opisywałem podstawy ataku XSS.
Dzisiaj nadarzyła się okazja aby opisać tą podatność w oparciu o prawdziwy błąd w oprogramowaniu QNAP NAS.
Podatny kod mieści się w jednej linijce:

location.href = decodeURIComponent(location.href.replace(/(.*?\?r=)/,''));
W teorii miał przekierowywać użytkownika pod nowy adres znajdujący się w parametrze ?r=.
Czyli wchodząc na podatną stronę skrypt.html?r=[http://google.pl](http://google.pl) zostajemy automatycznie przeniesieni do wyszukiwarki.
Jest to wiec typowyPokaż całość

Poranek z #od0dopentestera
Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania.
CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining.
Co to jest plik apple-app-site-association i jakie dane można w nim znaleźć.
Nowa sztuczka wykorzystywana przez malware Emotet.
Jak stracić milion dolarów? Historia miłosnego zauroczenia.
A także wyjaśnienie pojęcia Sextortion.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 doPokaż całość

Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty.
Co to jest credential stuffing i jak się przed nim obronić.
Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny.
Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów.
Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM.
Jak testować bezpieczeństwo sklepów internetowych.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 doPokaż całość

Co to jest atak BadUSB? Czyli jak podpinając #raspberrypi do routera można monitorować ruch w danej sieci.
Co oznacza termin trust on first use - jak sprawdzać, kto czai się po drugiej stronie komunikatora.
Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy.
Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento?
Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar.

SubskrybujPokaż całość

Jak dobrze znasz #php ?
W dzisiejszym odcinku #od0dopentestera zapraszam do małego quizu.
Wykorzystałem tutaj kawałki kodu, na które natrafiłem podczas RADARCTF oraz VolgaCTF.
Ile z nich jesteś w stanie rozwiązać - czyli wyświetlić tekst OK?
Podziel się spostrzeżeniami w komentarzu.
Wyjaśnienia wszystkich zagadek znajdziesz w filmie.

1. Kolizja MD5 - wartość $salt nie jest znana

if($a !== $a){
if(hash('md5', $salt . $a) == hash('md5', $salt . $b)){
echo "OK";Pokaż całość

Co to jest high frequency trading i jakie przeszkody stoją przed osobami, które się nim zajmują.
Jak sprawdzić gdzie byliśmy na wakacjach bez naszej zgody? O podatności Cross-site Search.
Podszywanie się pod okno przeglądarki na #iphone - o ataku Picture in Picture.
Jak podszyć się pod dowolny adres IP? O zdalnym wykonaniu kodu w infrastrukturze Mozilli.
Oszustwa w mechanizmie reklam mobilnych - jak wyświetlać dwie reklamy w jednej.
Używanie legalnych komponentów doPokaż całość

W większości języków programowania możemy tworzyć obiekty - czyli instancje klas.
Serializacja to sposób na przechowywanie obiektów lub struktur tak aby mogły być łatwo transmitowane.
Z deserializacją niezaufanych obiektów mamy do czynienia jeżeli użytkownik kontroluje zawartość zserializowanego obiektu.
Serwer aby przetworzyć tak zapisany obiekt, musi bowiem wykonać operację odwrotną nazywaną deserializacją.
W niektórych językach podczas tej procedury, pewne metody są wywoływane automatycznie.
W PHP te metody nazywane są magicznymi i zaczynają sięPokaż całość

Czy wiesz co można odnaleźć w zakładce Ważne miejsca w #iphone
Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs.
Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym.
Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons.
Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com
A także o badaniu pokazującym kiedy programiści pisząPokaż całość

W atakach XSS treść podana przez użytkownika jest wyświetlana bezpośrednio w przeglądarce.
Wygląd każdej strony internetowej opiera się na połączeniu HTML, CSS i JavaScript.
Jeżeli użytkownik kontroluje to, co się wyświetla - może dodać swój własny kod do naszej strony.

Podatności XSS możemy podzielić na 3 główne rodzaje.

W Reflected XSS parametr od użytkownika jest wyświetlany na stronie od razu bez żadnej lub z drobną modyfikacją.
Parametr ten może być częścią adresuPokaż całość

Czy próbowałeś kiedyś swoich sił w konkursach CTF?
Capture The Flag to drużynowe turnieje, w których próbujemy złamać zabezpieczenia w zadaniach przygotowanych przez organizatorów.
Dzisiaj w ramach #od0dopentestera prezentuję rozwiązania dwóch zadań, które miały miejsce w ramach CONFidence CTF 2019.
W pierwszym z nich mamy do czynienia z kodem #php
Tłumaczę tam dlaczego porównywanie stringa z liczbą przy użyciu == nie jest najlepszym pomysłem.
W drugim przykładzie natomiast próbujemy wykonać atak XSSPokaż całość

Jak zniszczyć reputację firmy przy pomocy funkcji wiki na GitHubie.
Dlaczego menadżery haseł to skomplikowany kawałek technologii?
Jak złośliwy serwer MySQL może pobrać dane od klienta.
Co jest powodem rozpowszechniania złośliwego oprogramowania w sieci torrent?
O meandrach języka PHP - jak to możliwe że fałsz to prawda.
A na koniec jak działają ataki czasowe.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera naPokaż całość

#od0dopentestera Nawet najlepiej napisany kod uruchomiony na niepoprawnie skonfigurowanym serwerze może prowadzić do luk w bezpieczeństwie.
Miskonfiguracja to 6 kategoria OWASP Top 10, czyli listy dziesięciu najpopularniejszych podatności spotykanych na stronach internetowych.

Ten punkt jest nieco podobny do kategorii dziewiątej czyli używania komponentów ze znanymi podatnościami.
Tam jednak nie mamy większego wpływu na pojawienie się luki w kodzie - wszak są to biblioteki napisane przez obce osoby.
Tutaj natomiast to nasze działaniaPokaż całość

Włamanie do samolotu przy użyciu myszki komputerowej.
Jak można było pozyskać tajne dane z firm, które już nie istnieją na rynku.
Opowieść o dodatkowej spacji doklejanej do niektórych odpowiedzi serwera WWW.
Historia pewnego dziwnego, na pozór losowego hasła.
Jak przechowywać różne dane w jednym pliku?

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple PodcastsPokaż całość

Kurs bezpieczeństwa dla programistów #od0dopentestera
Kategoria piąta OWASP Top 10 to nieodpowiednia kontrola dostępu.
Chodzi więc o nieautoryzowany dostęp do danych.

Błędy tego rodzaju pojawiają się gdy programista zakłada, że użytkownik porusza się po serwisie korzystając jedynie z linków znajdujących się w GUI.
A przecież parametry w adresie można dowolnie modyfikować.
Jeżeli widzimy faktura.php?id=1 nic nie stoi na przeszkodzie aby cyfrę 1 zamienić na 2.
Zakładamy tutaj, że zapytanie do bazy jestPokaż całość

Jak podszyć się pod znaną osobę używając Deepfake?
Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej?
Jak usunąć kompromitujące materiały z sieci udając prokuratora generalnego?
Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo.
Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę? Garść informacji na temat pliku security.txt który ma służyć właśnie do tego celu.
A takżePokaż całość

OWASP Top 10 czyli co każdy programista o bezpieczeństwie wiedzieć powinien.
Dzisiaj o nieprawidłowym parsowaniu plików XML pochodzących od użytkownika. #od0dopentestera
XML w wolnym tłumaczeniu to Rozszerzalny Język Znaczników.
Przeznaczony jest do reprezentowania różnych danych w strukturalizowany sposób.
Gdy operujemy na dużych zbiorach danych niektóre informację się powtarzają.
W tym formacie można temu zapobiec stosując tak zwane encje.
Jest to pewnego rodzaju makro – definiujemy więc nazwę encji wraz z jej treścią.Pokaż całość

Jak przekonać użytkowników do uruchomienia 2FA na przykładzie gier?
Czy wiesz co oznacza termin catastrophic destruction?
Jakie dane zbiera na nasz temat Netflix i do czego mogą one zostać użyte w przyszłości?
Techniczny opis ataku podniesienia uprawnień w Linuxie - czyli dlaczego czasami nie warto wprowadzać kolejnych warstw abstrakcji do kodu źródłowego.
Jak wyciek naszego adresu zamieszkania może doprowadzić do braku snu a także o mało znanej funkcji Amazon S3.

Subskrybuj kanałPokaż całość

Kolejny odcinek na temat bezpieczeństwa stron internetowych w ramach #od0dopentestera
Dzisiaj w cyklu OWASP Top 10 o ekspozycji wrażliwych danych czyli o wydobyciu przez atakującego informacji, których nie powinien posiadać.
A jest ich wbrew pozorom całkiem sporo: począwszy od numerów kart kredytowych, haseł do konta czy też adresu email.
Różne są ryzyka związane z wyciekiem różnych danych.
I tak jeżeli wyciekną numery kart możemy stracić pieniądze a email może zostać użyty wPokaż całość

Sekunda przestępna powodem 100% zużycia CPU.
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail.
Sposób na kradzież pieniędzy od użytkowników ebooków.
Phishing przy pomocy tłumacza Google Translate.
Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł?
Co to jest session replay - czyli jak śledzić poczynania użytkowników aplikacji mobilnych.
Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie VirusTotal?
Do czego służyPokaż całość

#od0dopentestera Kontynuujemy 10 odcinkowy kurs bezpieczeństwa aplikacji internetowych dla początkujących programistów.
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.

W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostaćPokaż całość