Profil: @fremse - Wpisy (plusowane) - strona 3 :: Wykop.pl

08.08.2019, 03:01:27

100

W serii #od0dopentestera opowiadam głównie o atakach na strony internetowe.
Ale przecież większość firm posiada swoje fizyczne biura.
Nic zatem nie stoi na przeszkodzie aby potencjalny atakujący spróbował dostać się do biurowca i zaatakować firmę właśnie tam.
Jak może wyglądać takie kontrolowanie włamanie?

Pierwsza przeszkoda to bramki kontroli dostępu.

08.08.2019, 03:03:02

4

Wołam zainteresowanych (115) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak

el_loco_crooliko

08.08.2019, 03:09:11

71

@KacperSzurek: kilka lat temu robiłem projekt w banku. Raczej standardowe zabezpieczenia, karta dostępu, kontrola czy nie wnosisz/wynosisz jakiegoś komputera (trzeba było mieć wtedy papier).
Aż projekt się skończył i została mi powierzona funkcja wyniesienia naszego sprzętu (kilka komputerów). Więc wziąłem platformę, zapakowałem na nią komputery i wyjechałem z biurowca. Dwa razy z pełną platformą. Bez jakiejkolwiek kontroli. Strażnik mi jeszcze bramkę przytrzymał.

31.07.2019, 05:09:37

31

Jakiś czas temu tłumaczyłem błąd CSRF, który może prowadzić do nieświadomego wykonania akcji przez zalogowanego użytkownika.
Wtedy jako rozwiązanie podałem używanie dodatkowego pola z losową wartością.
Ale czy ruch twórców przeglądarki Google Chrome może doprowadzić do końca tego rodzaju podatności?

Planowane jest bowiem ustawienie flagi SameSite=Lax dla wszystkich ciasteczek.
W wersji Strict przeglądarka nie dołączy ciasteczka do żądania, które pochodzi z innej domeny.

31.07.2019, 05:12:04

0

31.07.2019, 10:27:49

3

@KacperSzurek: za wysyłanie danych GETem w XXI wieku powinno się obcinać jajka.

02.08.2019, 12:30:47

209

◢ #unknownews ◣

Ostatni dzień tygodnia, więc zapraszam do przeglądu interesujących linków znalezionych w sieci :)

1) Przegląd grafik z Warezów i BBSów w formie filmu
https://safecrackers.com

źródło: comment_7c7fTreRarpgzbAeAvBnbxKShsxrbWdw.jpg

konto usunięte 02.08.2019, 12:32:08

4

@imlmpe: czesc przyjacielu

02.08.2019, 13:28:01

8

15) Zero Width Shortener - interesujący skracacz linków wykorzystujący znaki o zerowej szerokości

https://zws.im

INFO: w praktyce to oznacza tyle, że wszystkie linki utworzone w tej aplikacji wyglądają (wizualnie) tak samo, ale prowadzą do innych miejsc w sieci

@imlmpe: i jak taki link udostępnić skoro każde medium wytnie te ukryte znaki...

23.07.2019, 03:06:53

70

Czasami aby przeprowadzić atak na użytkownika musimy przekonać go do wykonania pewnej czynności. #od0dopentestera
Tak jest w przypadku self XSS, kiedy to ofiara musi samodzielnie otworzyć konsolę deweloperską przeglądarki (w przypadku Chrome przy użyciu F12) a następnie wkleić tam kod #javascript otrzymany od atakującego.

Innym przykładem są błędy w obsługiwaniu niektórych nagłówków przesyłanych przez przeglądarkę, chociażby User-agent, czyli informacji na temat wersji programu, której aktualnie używamy.
Ten nagłówek

23.07.2019, 11:20:07

0

@PiersiowkaPelnaZiol: ( ͡° ͜ʖ ͡°)
@Dapson: Dzięki za miłe słowa

23.07.2019, 12:25:09

0

Treść przeznaczona dla osób powyżej 18 roku życia...

17.07.2019, 12:12:38

253

◢ #unknownews ◣

Najnowszy przegląd ciekawostek z sieci już na Ciebie czeka. Dziś znów się tego trochę uzbierało, więc jest z czego wybierać :)

1) Jak zbudować aplikację? - seria 16 filmów przygotowanych przez Toma Scotta. Warto rzucić okiem!
https://www.youtube.com/playlist?list=PL96C35uN7xGJu6skU4TBYrIWxggkZBrF5

źródło: comment_izPJHNN5Kei8KEiDFpt38o0J6GGeBgwL.jpg

17.07.2019, 12:31:30

13

21) Jak przełamać monopol Google na rynku wyszukiwarek? uczynić ich indeks wyszukiwania publicznym

Świetny pomysł xD Wtedy powstanie milion wyszukiwarek różniących się innym UI/filtrowaniem wyników i tak zebranych i zapytań i tak śledzonych przez Googla xD Thanks for nothing xd

konto usunięte 17.07.2019, 13:47:46

12

31) Nintendo zapowiedziało wersję "Lite" swojej najsłynniejszej konsoli - Nintendo Switch

@imlmpe: Gameboy nie jest przypadkiem najsłynniejszą konsolą N?

09.07.2019, 03:27:04

117

Pracujesz z dużą ilością serwerów podczas swojej pracy?
Do każdego z nich logujesz się przy pomocy swojego klucza SSH?
A co w przypadku gdy do wielu serwerów dostęp powinno mieć wielu użytkowników?
Czy klucz każdego z nich należy dopisać do pliku ~/.ssh/authorized_keys?
Co w sytuacji gdy użytkownik straci kontrolę nad swoim kluczem prywatnym albo odejdzie z firmy?
Jak zarządzać taką

09.07.2019, 07:42:14 via Android

4

@KacperSzurek zapiszę jakbym za 15lat miał skorzystać

21.07.2019, 09:52:28

1

@KacperSzurek: no i mogę w końcu wyrzucić tag z czarnej i zaobserwować. Jak mnie denerwowało to, że streszczasz weekendową od z3s, to teraz przypadkiem na to trafiłem i mnie kupiłeś, tym, że w końcu to nie są streszczenia.

05.07.2019, 10:02:19

315

◢ #unknownews ◣

Czas na kolejną porcję linków z branży IT wyłowionych z Internetu :)

1) NAPRAWDĘ źle zaprojektowany interfejs użytkownika - spróbuj wypełnić ankietę tak szybko jak to możliwe
https://userinyerface.com

źródło: comment_yq5WgV3ob37zkJMpdaFSiADcIZzPelSD.jpg

05.07.2019, 10:07:32

16

@imlmpe: AD2

spidero - @imlmpe: AD2 — źródło: comment_2nXWQyD7elmgSti3ii4DUSrbTibAEDNB.jpg
Pobierz

05.07.2019, 10:08:54

41

1) NAPRAWDĘ źle zaprojektowany interfejs użytkownika - spróbuj wypełnić ankietę tak szybko jak to możliwe

@imlmpe: Co za psychol to projektował, mam ochotę się pociąć a dopiero byłem na wpisaniu maila i hasła

03.07.2019, 03:00:09

48

Czy moje hasło jest bezpieczne? #od0dopentestera
A może znalazło się w jakimś wycieku danych?
Jak mogę to sprawdzić?

Pierwsza możliwość to samodzielne odnalezienie linków do baz zawierających dane z wycieków.
Następnie należy je wypakować, odpowiednio przetworzyć i spróbować odnaleźć w nich swoje hasła.

03.07.2019, 07:01:39 via Wykop Mobilny (Android)

5

jak raz sprawdzisz przez jakąkolwiek wyszukiwarkę haseł to już napewno będzie w bazie wycieknietych haseł xd

@atari_XE: czytałeś co napisał @KacperSzurek: ?
Pomogę Ci znaleźć odpowiedni fragment w tej "ścianie" tekstu..

Serwis lokalnie, na naszym komputerze wylicza hash sha1 a następnie pobiera z

konto usunięte 03.07.2019, 07:18:42

1

@KacperSzurek: za Twoje materiały plusik w ciemno :-)

28.06.2019, 10:16:37

223

◢ #unknownews ◣

Porcja linków z branży IT na ten tydzień - zapraszam do czytania :)

1) Raspberry Pi 4 jest już dostępne - producent podaje, że wydajność wzrosłą o 3.5x względem modelu 3
https://www.raspberrypi.org/blog/raspberry-pi-4-on-sale-now-from-35/

źródło: comment_Vq4qfSYyGNCttNzsC8khZ7ks24jkAbDX.jpg

28.06.2019, 13:07:59 via Wykop Mobilny (Android)

6

@imlmpe: kurła, brak mi instynktu samozachowawczego XD

Bomfastic - @imlmpe: kurła, brak mi instynktu samozachowawczego XD — źródło: comment_ZZEdtU5rhH9gq515O6mNP18nstPOLwJ6.jpg
Pobierz

28.06.2019, 14:38:39

19

Jak pozbyć się zbytecznych meetingów w pracy? wprowadzić opłaty za używanie sali konferencyjnej ;)

@imlmpe: pracowałem w firmie, która rozszerzyła ten model zarządzania na wszystkie aspekty. Wszystko było płatnym zasobem, na każdy projekt dostawałeś budżet z którego miałeś opłacić wszystkie rzeczy potrzebne do realizacji projektu. Wszystkie wydruki, korzystanie z auta, korzystanie z sal konferencyjnych były opłacane z budżetu projektowego. Żeby było jeszcze zabawniej, premia na koniec projektu była wypłacana w postaci

24.06.2019, 04:41:19

126

Jak działa kradzież karty SIM? Co to jest SIM swap?
Dlaczego banki chcą abyśmy zrezygnowali z potwierdzania przelewów przy użyciu SMSów?
O tym dzisiaj w #od0dopentestera

Zazwyczaj sam login i hasło bankowości elektronicznej nie wystarczą aby zlecić przelew.
Bank chce mieć pewność, że to my zleciliśmy transakcję dlatego wykorzystuje idee dwuskładnikowej weryfikacji.

24.06.2019, 04:43:02

3

Wołam zainteresowanych (112) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak

24.06.2019, 18:02:45

2

@KacperSzurek:
Warto wiedzieć bo kiedyś (na ile mi się wydaje) nie było.
Jak piszesz nie zabezpiecza całkowicie bo były wykopy bądź czytałem poza serwisem że gość wtopił gdy pożyczono na niego kasę w firmach które nie widziały sensu by cokolwiek sprawdzać.
Mimo że używam niemal od zarania to wydaje mi się że na obecnym poziomie bezpieczeństwa bankowość elektroniczna wydaje się coraz bardziej emocjonującą zabawą jeśli dotyczy relatywnie sporych kwot.
Sporych

29.05.2019, 07:14:12

23

Co to jest błąd typu 0 day oraz 1 day? #od0dopentestera
Kim jest black hat oraz white hat?
Jaka jest różnica pomiędzy responsible a full disclosure.
A także na czym polega polityka 90 dni?

Nowoczesne aplikacje wykorzystują sporo kodu stworzonego przez inne osoby.

konto usunięte 29.05.2019, 07:45:34 via iOS

2

Treść przeznaczona dla osób powyżej 18 roku życia...

29.05.2019, 17:57:44

3

@terwer358: ja p------e czemu tu jest taka patola
Gościu coś robi, żeby wam coś wytłumaczyć, ma zajawke, a Ty z mordą, grzecznie wystarczy powiedzieć żeby już nie wołał i tyle.

Wykop spada na psy, 15 plusów dla takiego wpisu, a jakieś patologiczne magicale mają 1000+.

@KacperSzurek: super temat, oby tak dalej ( ͡° ͜ʖ ͡°)

21.05.2019, 15:55:19

2

Nagrałem podcast z osobistymi przemyśleniami i wrażeniami po obejrzeniu dokumentu braci Sekielskich. Ciekawi mnie, co myślicie o prawnym utransparentnieniu związków wyznaniowych w taki sposób, jak teraz jest to np. w przypadku organizacji pożytku publicznego.

https://randomseed.pl/pod/randomcase/002-tylko-nie-mow-nikomu-reakcja/

#tylkoniemownikomu #podcast #jawnosc #polska #kosciol #ediscovery

22.04.2019, 08:35:22

17

Treść przeznaczona dla osób powyżej 18 roku życia...

22.04.2019, 08:59:06

4

@KacperSzurek: Myślałeś może o zrobieniu listy linków do tematów które omawiasz w jednym zbiorczym miejscu? Bo znaleźć po jakimś czasie jakiś link to trzeba się trochę pobawić

22.04.2019, 09:26:19 via iOS

4

@PrawieJakBordo: Ciekawy pomysł, pomyśle nad implementacją.

09.04.2019, 02:58:18

60

Co to jest atak BadUSB? Czyli jak podpinając #raspberrypi do routera można monitorować ruch w danej sieci.
Co oznacza termin trust on first use - jak sprawdzać, kto czai się po drugiej stronie komunikatora.
Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy.
Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento?
Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar.

Subskrybuj

09.04.2019, 03:00:03

1

09.04.2019, 03:00:04

1

29.03.2019, 07:40:00

102

W większości języków programowania możemy tworzyć obiekty - czyli instancje klas.
Serializacja to sposób na przechowywanie obiektów lub struktur tak aby mogły być łatwo transmitowane.
Z deserializacją niezaufanych obiektów mamy do czynienia jeżeli użytkownik kontroluje zawartość zserializowanego obiektu.
Serwer aby przetworzyć tak zapisany obiekt, musi bowiem wykonać operację odwrotną nazywaną deserializacją.
W niektórych językach podczas tej procedury, pewne metody są wywoływane automatycznie.
W PHP te metody nazywane są magicznymi i zaczynają się od podwójnego podkreślenia.

29.03.2019, 07:58:55

25

Z deserializacją niezaufanych obiektów mamy do czynienia jeżeli użytkownik kontroluje zawartość zserializowanego obiektu.

@KacperSzurek: Nie zrobił tego nikt nigdy.

Co za absurdalny pomysł. Wektor ataku wymyślony tak na siłę, że aż się śmiać chce. Serializacji nie używa aby przesyłać obiekty pomiędzy systemami. To bez sensu choćby ze względu na fakt, że w takim przypadku nie ma możliwości zmiany kodu klasy bez łamania kontraktu. Pomijam szereg innych powodów jak np. separacja warstw oprogramowania.

29.03.2019, 08:09:59

4

Komentarz usunięty przez autora

ZaufanaTrzeciaStrona

27.03.2019, 09:31:49 via iOS

7

Jak dostać 122 miliony dolarów od Facebooka i Googla? Trzeba założyć firmę i wysłać kilka fałszywych dokumentów - i już: http://www.wykop.pl/link/4865707/jak-przedsiebiorczy-litwin-oszukal-google-i-facebooka-na-122-mln-dolarow/
#bezpieczenstwo #security #zaufanatrzeciastrona

źródło: comment_tQO3sRFj2pOHBKFMVMfvsqpEKaZhvFs0.jpg

25.03.2019, 11:55:07

12

Czy wiesz co można odnaleźć w zakładce Ważne miejsca w #iphone
Jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs.
Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym.
Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons.
Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com
A także o badaniu pokazującym kiedy programiści piszą swój kod w

konto usunięte 25.03.2019, 12:43:01

1

@KacperSzurek: warto dodać, że dostęp do tych danych chroniony jest kodem. A Google też zapisuje takie dane o naszym urządzeniu jak nie wyłączymy tej opcji na swoim koncie a mamy appki Google w których jesteśmy zalogowanii

25.03.2019, 16:54:35

1

@some_dev: Jeżeli nie lubisz filmów, to to samo masz dostępne w formie tekstu na stronie.

23.03.2019, 09:39:48

3

Wypuścił ransomware żeby promować youtubera. "Jeśli osiągnie 100M fanów, wypuszczę klucz deszyfrujący".

https://sekurak.pl/wypuscil-ransomware-zeby-promowac-youtubera-jesli-osiagnie-100m-fanow-wypuszcze-klucz-deszyfrujacy/

#sekurak #ransomware #idioci

źródło: comment_K7ba6IaIXB49deujYzc0020YknucVUgN.jpg

23.03.2019, 09:40:53 via iOS

0

konto usunięte 23.03.2019, 14:49:43

0

@sekurak: Dalej nie przebił wystrzałowej akcji marketingowej z Nowej Zelandii

22.03.2019, 08:33:03

15

W atakach XSS treść podana przez użytkownika jest wyświetlana bezpośrednio w przeglądarce.
Wygląd każdej strony internetowej opiera się na połączeniu HTML, CSS i JavaScript.
Jeżeli użytkownik kontroluje to, co się wyświetla - może dodać swój własny kod do naszej strony.

Podatności XSS możemy podzielić na 3 główne rodzaje.

W

22.03.2019, 08:34:04

1

konto usunięte 23.03.2019, 08:05:01 via Wykop Mobilny (Android)

1

@KacperSzurek: super robota! Tylko dlaczego nie ma ostatniego odcinka na Spotify?

19.03.2019, 04:04:17

27

Czy próbowałeś kiedyś swoich sił w konkursach CTF?
Capture The Flag to drużynowe turnieje, w których próbujemy złamać zabezpieczenia w zadaniach przygotowanych przez organizatorów.
Dzisiaj w ramach #od0dopentestera prezentuję rozwiązania dwóch zadań, które miały miejsce w ramach CONFidence CTF 2019.
W pierwszym z nich mamy do czynienia z kodem #php
Tłumaczę tam dlaczego porównywanie stringa z liczbą przy użyciu == nie jest najlepszym pomysłem.
W drugim przykładzie natomiast próbujemy wykonać atak XSS przy

konto usunięte 19.03.2019, 04:05:19 via Android

2

@KacperSzurek kurde zawsze chcialem sie nauczyc hackowac...

19.03.2019, 04:06:06

1