Profil: @KacperSzurek - Wpisy (dodane) - strona 8 :: Wykop.pl

KacperSzurek 04.10.2018, 03:18:08

194

Generowanie wartości losowych w komputerze nie jest tak proste jak rzut kostką w rzeczywistości.
Dlaczego więc nie warto używać Random w #java ? #od0dopentestera

Każdy szanujący się serwis posiada funkcjonalność resetowania hasła.
Użytkownik podaje na stronie swój adres email powiązany z kontem.
W tym momencie serwer sprawdza czy taki użytkownik istnieje w bazie danych.

04.10.2018, 04:55:38 via Android

68

@KacperSzurek az sie klasyk przypomnial (｡◕‿‿◕｡)

Jak stworzyć idealny generator znaków losowych?
Posadzić żółtodzioba przed VIMem i kazać mu z niego wyjść.

login-jest-zajety

04.10.2018, 05:35:58

88

@KacperSzurek: @Bruno_: ciekawostka - jak Cloudflare generuje liczby losowe? używa do tego lamp lava, w skrócie - filmują je i później z klatek tworzą ciągi losowych bajtów używanych później do generowania par kluczy prywatny-publiczny

login-jest-zajety - @KacperSzurek: @Bruno_: ciekawostka - jak Cloudflare generuje lic...

KacperSzurek 03.10.2018, 03:15:07

26

W czasach spaghetti code warstwa aplikacji przeplatała się z warstwą widoku czyniąc kod trudnym do utrzymania.
Obecnie używamy zaawansowanych silników szablonów np. Jinja2.
Można powiedzieć, że silniki te same w sobie są swego rodzaju językami programowania.
Umożliwiają bowiem dostęp do wielu potencjalnie niebezpiecznych czynności.
Dzisiaj w #od0dopentestera o SSTI czyli Server-Side Template Injection.

imie

KacperSzurek 02.10.2018, 03:20:43

19

Dzisiaj w #od0dopentestera różnica pomiędzy escapeshellcmd oraz escapeshellarg.
Wywoływanie systemowych komend z poziomu #php brzmi jak proszenie się o kłopoty:

$komenda = 'wget --directory-prefix=..\temp '.$url;
system(escapeshellcmd($komenda));

Ten kod umożliwia pobranie treści dowolnej strony internetowej do katalogu

KacperSzurek 01.10.2018, 12:33:11

9

Jak co tydzień w #od0dopentestera #podcast Szurkogadanie – czyli przegląd najciekawszych informacji z branży bezpieczeństwa.
W tym odcinku:
- jeżeli używasz ekranu dotykowego i #windows Twoje hasła i prywatne wiadomości mogły zostać zapisane do pliku waitlist.dat aby usprawnić rozpoznawanie tekstu pisanego

- atak na serwer www przy użyciu funkcji eksportu do PDF – opowieść o tym dlaczego warto monitorować zewnętrzne biblioteki używane w naszym oprogramowaniu

-

KacperSzurek 27.09.2018, 04:04:24

40

Tym razem w #od0dopentestera pod lupę weźmiemy #php

Czasami potrzebujemy umożliwić użytkownikowi pobranie plików z serwera.
Może on pobrać wszystkie pliki z konkretnego katalogu oprócz jednego - nazwanego u nas sekret.txt

$plik = basename((string) $ _GET['plik']);
if (stristr($plik, 'sekret.txt') === false) {

27.09.2018, 06:21:55

19

Gdzie zatem znajduje się dzisiejszy błąd?

platformie #windows

@KacperSzurek: Błąd, to programowanie na Windowsie.

27.09.2018, 06:23:05

12

Treść przeznaczona dla osób powyżej 18 roku życia...

KacperSzurek 26.09.2018, 12:08:40

30

Kolejna porcja błędów programistycznych #od0dopentestera
Dzisiaj nietypowo, nie będziemy bowiem przyglądać się konkretnemu językowi #programowanie a komendzie unzip z #linux

Czasami wymagania biznesowe sprawiają, że musimy dodać obsługę archiwów do naszego serwisu internetowego.
Mogą to być pliki zip, rar czy też tar.
Załóżmy, że prowadzimy serwis, w którym można

KacperSzurek 26.09.2018, 13:13:07

3

@MacDada: Nie do końca. Symlink może bowiem wskazywać na Twój tajny obrazek do którego nie mam dostępu, np. /home/user/tajny_obrazek.png (zakładam tutaj oczywiście, że serwer WWW ma uprawnienia do tego pliku no i musze znać jego nazwę).

Wtedy to po wypakowaniu i sprawdzeniu czy plik jest obrazkiem – jeśli dalej podążasz za dowiązaniami symbolicznymi – wyświetlisz swój plik użytkownikowi.

Dodatkowo sprawdzenie czy plik jest tylko obrazkiem i czy nie zawiera niczego złego nie

26.09.2018, 16:34:20

1

@KacperSzurek: fajny, kontent, dziekuje Pan Kacper( ͡° ͜ʖ ͡°)

KacperSzurek 25.09.2018, 12:39:57

36

Cześć!

Dzisiaj w #od0dopentestera o tym jak odczytać tajne dane z serwera #java przy pomocy plików XML.

public static void main(String[] args) {
 try {

konto usunięte 25.09.2018, 12:43:11

4

xxe na owasp.org

KacperSzurek 25.09.2018, 16:30:43

1

@Blurope: Tak, będzie więcej materiałów o Javie.

KacperSzurek 24.09.2018, 07:50:29

13

W dzisiejszym odcinku #od0dopentestera #podcast Szurkogadanie – czyli o bezpieczeństwie dla wszystkich.

W tym odcinku dowiesz się jak przestępcy używają serwisu Technet #microsoft do prób wyłudzeń na suport techniczny a także dlaczego usypianie firmowego komputera z tajnymi danymi nie jest najlepszym pomysłem z powodu ataku Cold Boot.
Opowiadam również co to jest Rubber ducky – czyli wirtualna klawiatura używana podczas pentestów oraz co zmieniło się w najnowszym Safari

KacperSzurek 24.09.2018, 13:44:32

2

@TheDudee: Podcast dostępny jest również na https://anchor.fm/kacperszurek/ co oznacza ze można go słuchać na Spotify, Apple Podcasts, Google Podcasts, Stitcher i kilku innych serwisach.

28.09.2018, 19:35:32 via iOS

0

Komentarz usunięty przez autora

KacperSzurek 22.09.2018, 07:32:00

22

Cześć!
Kontynuujemy naszą podróż w cyklu #od0dopentestera dzisiaj język #ruby

Czasami w naszych firmach nie możemy wejść na niektóre strony ponieważ są one zablokowane na firewallu.
Dlatego też stworzymy naszą własną bramkę proxy.

class

KacperSzurek 22.09.2018, 08:20:07

1

@yggdrasil: ssrf najlepiej jakąś zewnętrzną biblioteką, np: ssrf_filter
Trzeba tam bowiem pamiętać o przekierowaniach, które również mogą być niebezpieczne.
Regexpy powinny dać radę o ile używamy \A\z do zaznaczania początku i końca tekstu zamiast ^$
"|dir;\n[https://wykop.pl](https://wykop.pl)" =~ /^http/ działa bowiem bez problemów
Więcej: tu, tu i tu.

KacperSzurek 24.09.2018, 08:13:37

0

@CondomPack: Mirkolisty na pewno się pojawią jak tylko przestane być zielonką.

KacperSzurek 21.09.2018, 06:03:39

58

Cześć!
W dzisiejszym odcinku #od0dopentestera zaczniemy od języka #python

Co złego może być w 2 linijkach:

imie = input("Twoje imie:")

21.09.2018, 06:21:14

6

@KacperSzurek: Poza tutorialami jeszcze nigdzie nie widziałem praktycznego wykorzystania funkcji input w Pythonie.

21.09.2018, 21:07:40

0

@KacperSzurek: dej teraz coś z pythona 3 (｡◕‿‿◕｡)

KacperSzurek 20.09.2018, 06:48:30

29

Cześć. Ostatnio są tutaj popularne różnego rodzaju bootcampy. Ja jednak chciałbym zainteresować #programista15k a w szczególności programistów #javascript którzy posiadają już pewną wiedzę z #programowanie i chcieli by poszerzyć swoje umiejętności z #bezpieczenstwo aby tworzyć bezpieczny kod.

Na początek 4 popularne błędy w paczkach NPM do #nodejs

W tym filmie zobaczysz dlaczego łączenie fs.readfile z req.url nie jest najlepszym pomysłem oraz dowiesz

źródło: comment_Kv7fcEHFiRdqvUVVb9OgSj39lB0HmRFa.jpg

KacperSzurek 20.09.2018, 07:18:44

5

@tt_2: Nie musisz być programistą aby zostać pentesterem ponieważ w tej pracy człowiek styka się z różnymi językami programowania i ciężko być ekspertem w każdym z nich. Aczkolwiek warto znać przynajmniej jeden język chociażby po to aby tworzyć własne skrypty oraz dogłębnie zrozumieć na czym polega dana podatność.
Typy podatności są standardowe i podobne w każdym języku. Jeśli zrozumiesz na czym polega dany błąd – będziesz w stanie znaleźć go

20.09.2018, 07:46:57

3

@KacperSzurek: Zapowiada się ciekawy kanał, obyś trzymał tak dalej. Wykład też ciekawy miałeś.

Kacper Szurek

https://youtube.com/c/kacperszurek
https://blog.szurek.tv/
X (dawny Twitter)

Osiągnięcia

VIP
od 07.12.2021

VIP
Ekshibicjonista
od 21.09.2018

Ekshibicjonista
Rocznica
od 17.09.2024

Rocznica
Gadżeciarz
od 03.10.2018

Gadżeciarz
Mikroblogger
od 11.02.2019

Mikroblogger