#od0dopentestera - strona 4

11.05.2020, 04:38:39

90

Używasz ResolveUrl? Słyszałeś o Cookieless? #od0dopentestera
Twój kod odwołuje się do skryptu #js

">
Ciężko znaleźć tu błąd. Chyba, że wczytamy się w instrukcję.
Dawno temu nie każda

KacperSzurek

11.05.2020, 04:43:46

2

Wołam zainteresowanych z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

moxie

11.05.2020, 06:44:22

2

@KacperSzurek: Na pewno do tego chciałeś wołać, a nie do filmu o kradzieży tożsamości?

KacperSzurek

27.04.2020, 06:26:28

178

Twoja strona pozwala na przesyłanie plików zip? Powinieneś uważać na dwa wektory ataku. #od0dopentestera
• Zip Slip
Gdy użytkownik wysyła archiwum – zazwyczaj musisz je otworzyć i przeanalizować każdy plik z osobna (chociażby dla obrazków wygenerować odpowiednie miniatury).
Prosty algorytm będzie wyglądał mniej więcej tak:
1. Stwórz katalog tymczasowy na dysku (/tmp/katalog)
2. Otwórz archiwum (zewnętrzną biblioteką) i pobierz nazwy

KacperSzurek - Twoja strona pozwala na przesyłanie plików zip? Powinieneś uważać na d...

Zsan

27.04.2020, 07:40:51 via Zakop

6

@KacperSzurek: może warto też wspomnieć o zip b----e

KacperSzurek

27.04.2020, 07:58:06

4

@programik: Jeżeli generujesz własną nazwę (niepowiązaną z nazwą z archiwum) to jest OK (no chyba, ze to symlink).
Pytanie czy chcesz przechowywać w bazie takie nazwy.
Teraz pamiętasz, że ta wartość od użytkownika jest potencjalnie niebezpieczna.
Ale może w przyszłości inny programista użyje jej nie będąc tego świadomym?
Generalnie raczej bym odrzucał pliki z ../.

KacperSzurek

10.04.2020, 04:32:58

210

Jakie narzędzia są używane podczas symulowanych ataków na firmy? #od0dopentestera
• USB Rubber Ducky – wygląda jak pendrive ale jest emulatorem klawiatury, potrafi wysłać wcześniej zaprogramowaną sekwencję klawiszy po umieszczeniu w porcie USB. Jeżeli nie blokujesz komputera gdy od niego odchodzisz – można włożyć taki przedmiot do portu i wykonać na nim dowolną komendę zamiast pisać ją na klawiaturze.
• USB Ninja – podobne narzędzie jednak wyglądem przypomina zwyczajny kabel używany do

KacperSzurek

10.04.2020, 04:35:02

7

Wołam zainteresowanych (181) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak

sebask

10.04.2020, 05:48:59

5

Tani i dobrze zaopatrzony sklep w tej tematyce na aliexpress http://ali.pub/4nahqx ;)

KacperSzurek

31.03.2020, 06:52:47

64

Jak rozpocząć swoją przygodę z testami penetracyjnymi? #od0dopentestera
• Spróbuj zrozumieć OWASP Top 10
• Znajdź swój pierwszy błąd w specjalnie podatnej aplikacji. Jeżeli Ci się nie uda – przeczytaj rozwiązanie
• Zobacz błędy odnalezione przez innych
• Poszukaj programu Bug Bounty małej firmy i sprawdź ile już umiesz
• Bądź na bieżąco z nowymi badaniami innych

KacperSzurek - Jak rozpocząć swoją przygodę z testami penetracyjnymi? #od0dopentester...

CoYoT

31.03.2020, 07:33:58 via Wykop Mobilny (Android)

6

@KacperSzurek: Huehue, testy penetracyjne (⌐ ͡■ ͜ʖ ͡■)

Bordomir

31.03.2020, 09:20:22 via Android

8

@gixihot252 nie sugerowałbym się tymi poradnikami, zwłaszcza napalaniem się na bug bounty po przeczytaniu standardu i write upu z jakiegoś przypadkowego zadania w internecie xD załóż sobie konto na hacktheboxie czy coś. I nie spuszczaj się tak nad web appkami, bo zostaniesz testerem aplikacji webowych, a nie bezpiecznikiem.

KacperSzurek

26.03.2020, 07:13:02

180

Jeżeli jesteś programistą to wiesz, że wytłumaczenie technicznych kwestii osobom decyzyjnym bywa trudne.
Jak wytłumaczyć co to jest XSS – czyli wykonanie groźnego kodu JS w obrębie naszej domeny? #od0dopentestera
Jeżeli rozmawiasz z biznesem możesz skupić się na skutkach, jakie niesie tego rodzaju podatność.
Jednym z pomysłów może być opisanie działania XSS worm, który podobnie jak wirus w normalnym świecie próbuje zarazić jak największą liczbę użytkowników.

Jak to

KacperSzurek - Jeżeli jesteś programistą to wiesz, że wytłumaczenie technicznych kwes...

ipoproblemie

26.03.2020, 10:33:06

2

podatność może się rozejść

Tak to jest jak się nie rozumie co się pisze

s.....s

konto usunięte 26.03.2020, 12:34:37

4

s.....s — **źródło:** comment_158522607583pRz6Cr4uaz6XbUO8cr0N.jpg
Pobierz

KacperSzurek

23.03.2020, 05:05:45

15

Praca zdalna to dla Ciebie nowość? Oto kilka porad poprawiających bezpieczeństwo. #od0dopentestera
- Nie publikuj zdjęć ekranu laptopa w mediach społecznościowych
- Uważaj na zmiany numerów kont bankowych kontrahentów
- Sprawdź czy dysk jest zaszyfrowany
- Unikaj drukowania dokumentów na domowej drukarce
- Sprawdź czy w telekonferencji uczestniczą tylko autoryzowane

KacperSzurek - Praca zdalna to dla Ciebie nowość? Oto kilka porad poprawiających bezp...

adam-gancarczyk

23.03.2020, 07:40:25

1

Unikaj drukowania dokumentów na domowej drukarce

@KacperSzurek:
Niby dlaczego?

KacperSzurek

23.03.2020, 13:24:04

2

@adam-gancarczyk:
Jest kilka powodów:
1. Pytanie czy możesz drukować dane firmowe (wyobraź sobie pracownika banku, który drukuje w domu informacje na temat klientów).
2. Niektóre drukarki posiadają wewnętrzną pamięć w której zapisują wydrukowane dokumenty. Trzeba pamiętać żeby wyłączyć tą opcje/wyczyścić dane (mowa tutaj głównie o droższych urządzeniach).
3. Co zrobisz z fizycznie wydrukowaną kartką gdy już skończysz z nią pracować. Masz w domu niszczarkę? Zachowasz dokumenty w segregatorze? Zaniesiesz je potem do firmy?
4. O

KacperSzurek

10.03.2020, 03:53:43

169

Zamiana liter z dużych na małe to prosta operacja, no chyba, że korzystasz z UTF 8.
Czy może być niebezpieczna? #od0dopentestera
Czy słyszałeś o Unicode Case Mapping Collisions?
Przykład w #python

>>>

KacperSzurek - Zamiana liter z dużych na małe to prosta operacja, no chyba, że korzys...

3denos

10.03.2020, 04:31:06

21

@Verbatino: No i?

D.....n

konto usunięte 10.03.2020, 08:00:32

5

@KacperSzurek: świetnie opisane. Wgl mam wrażenie że jesteś trochę underrated. Pozdro byczku

KacperSzurek

19.02.2020, 05:34:02

164

Podczas tworzenia nowych aplikacji nie zawsze wszystko działa jak należy. #od0dopentestera
Czasami trzeba coś przeanalizować.
Ale co jeśli przez pomyłkę w ostatecznej wersji produktu pozostawimy opcje służące do rozwiązywania problemów?
Jeżeli używasz narzędzia Flask to wiesz, że podczas tworzenia aplikacji udostępnia on Wekzeug Debugger.
Jeżeli gdzieś kod działa nieprawidłowo to zamiast komunikatu błędu otrzymujemy interaktywny interfejs służący do dynamicznej analizy programu.
Możemy wyświetlać wartości zmiennych oraz wykonywać dowolny kod –

KacperSzurek - Podczas tworzenia nowych aplikacji nie zawsze wszystko działa jak nale...

zortabla_rt

19.02.2020, 07:26:41 via Wykop Mobilny (Android)

3

@KacperSzurek: tym tokiem rozumowania, ssl też jest niebezpieczny bo wystarczy znać tajemny kod

KacperSzurek

19.02.2020, 13:58:16

2

@muskel: Dzięki :)
@zortabla_rt: I tak i nie.
Rozpatrujemy tutaj sytuacje gdy strona posiada błąd pozwalający na pobranie dowolnego pliku z serwera.
I rzeczywiście – jeżeli nie jest wykorzystywany load balancer to istnieje spora szansa, że będzie możliwe pobranie pliku z kluczem prywatnym SSL.
Ten plik można potem w odpowiednich warunkach wykorzystać do podsłuchania transmisji bądź podszycia się pod daną domenę.

KacperSzurek

05.02.2020, 03:58:05

20

Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? #od0dopentestera
Wojciech Dworakowski - prezes firmy SecuRing opowiada o organizacji OWASP.
Dowiesz się ile średnio trwa test penetracyjny i czy zdarza się nie znajdować błędów bezpieczeństwa.
Rozmawiamy o tym jak powinien wyglądać raport z przeprowadzonego pentestu oraz co to jest modelowanie zagrożeń.
Wojtek opowiada również jakie podatności są najczęściej ignorowane i czy udostępnianie kodu źródłowego przez firmy to normalna praktyka

KacperSzurek

05.02.2020, 04:04:04

0

KacperSzurek

05.02.2020, 04:04:05

0

KacperSzurek

27.01.2020, 08:13:25

35

Praktycznie każdy serwis internetowy posiada różne rodzaje kont użytkownika.
Ale jak sprawdzić czy uprawnienia do nich przypisane działają prawidłowo? #od0dopentestera
Można to robić ręcznie – logować się na każde konto z osobna i na każdej podstronie sprawdzać czy dostęp jest prawidłowy.
Czynność tą można również zautomatyzować przy użyciu narzędzia AutoRepeater.
Działa ono na zasadzie znajdź-zamień znanego z edytorów tekstu.
Jest to rozszerzenie do programu

KacperSzurek

27.01.2020, 08:17:06

0

davoid

03.02.2020, 19:16:48

0

@KacperSzurek: bardziej 403 albo 401 :P

KacperSzurek

24.01.2020, 05:38:27

86

Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycznie jest to możliwe.
Jest to przykład ataku race condition – kiedy to wysyłamy do serwera dwa żądania w tym samym czasie i patrzymy jak na nie zareaguje. #od0dopentestera
Szkolnym przykładem tego problemu są kupony rabatowe/karty podarunkowe a w szczególności te, które można wykorzystać tylko raz.
Jak testować taką podatność?
W materiale prezentuję narzędzie Turbo Intruder.
Za jego pomocą można w prosty sposób wysłać

KacperSzurek

24.01.2020, 05:40:02

3

Wołam zainteresowanych (164) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak

Ghost2

24.01.2020, 11:35:30

1

Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycznie jest to możliwe.

@KacperSzurek: przecież nadal można xDDD

KacperSzurek

15.01.2020, 04:34:05

501

Praktycznie każdy z nas posiada w mieszkaniu router.
Na jakie elementy powinniśmy zwrócić uwagę z punktu widzenia bezpieczeństwa? #od0dopentestera
- wyłącz opcję WPS,
- używaj WPA2 z AES z odpowiednio długim i skomplikowanym hasłem,
- wyłącz UPnP jeżeli go nie potrzebujesz,
- urządzenia IOT podłącz do odseparowanej sieci

KacperSzurek - Praktycznie każdy z nas posiada w mieszkaniu router.
Na jakie element...

Atreyu

15.01.2020, 04:49:07

76

- używaj WPA2 z AES z odpowiednio długim i skomplikowanym hasłem,

- sprawdź listę aktualnie podłączonych urządzeń.

@KacperSzurek: w 95% wystarczy to ( ͡° ͜ʖ ͡°)

cefalotos

15.01.2020, 06:20:18

74

@LazyInitializationException: Access point ktory robi NAT i portforwarding? Do tego UPnP? Ciekawe. Oczywiscie ze to na foto to router.

KacperSzurek

13.01.2020, 04:12:55

24

Co to jest red teaming? Czym różni się od testu penetracyjnego?
Na te i inne pytania odpowiada Marcin Ludwiszewski - szef zespołu "Cyber" w Deloitte. #od0dopentestera
Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa.
W rozmowie opowiada o ciekawych sytuacjach ze swojej pracy i używanych narzędziach.
Poruszamy aspekty prawne oraz kwestie finansowe red teamingu.
Dowiesz się na czym polega wstępne rozpoznanie oraz jak najmniejszym kosztem zwiększyć bezpieczeństwo

KacperSzurek - Co to jest red teaming? Czym różni się od testu penetracyjnego?
Na te...

W.....i

konto usunięte 13.01.2020, 07:41:45

2

@KacperSzurek: de toilette

d0xy

13.01.2020, 09:10:36

2

Dobrze, ze z nim nie pracuje. Wywoluje u mnie wymioty.

KacperSzurek

18.12.2019, 07:51:37

38

Błędy typu SQL Injection pozwalają na wykonanie nieautoryzowanych zapytań do naszej bazy danych.
Ale co jeszcze można uzyskać za ich pomocą? #od0dopentestera
MariaDB pozwala na zainstalowanie dodatkowych funkcji, tak zwany User-Defined Functions.
Nas interesuje taka, która umożliwia wykonanie kodu na serwerze poprzez zapytanie SQL.
Najpierw sprawdzamy wersje systemu operacyjnego oraz lokalizacje katalogu z rozszerzeniami:

KacperSzurek

18.12.2019, 07:58:15

0

KacperSzurek

18.12.2019, 07:58:19

0

KacperSzurek

12.12.2019, 08:45:34

27

Używasz komunikatora Signal ale nie wiesz co to kod zabezpieczenia?
Dostałeś kiedyś komunikat o zmianie numeru bezpieczeństwa i nie wiesz o co chodzi?
Aby nasza komunikacja była prywatna musi być zaszyfrowana.
W dużym skrócie potrzebujemy do tego klucza publicznego i prywatnego.
Problem w tym, że każdy z nas może w dowolnej chwili wygenerować nowy, unikalny klucz.
Jak zatem powiązać osobę po drugiej stronie z jej kluczem aby mieć pewność, że rozmawiamy z nią a nie z kimś,

KacperSzurek

12.12.2019, 08:47:03

1

Wołam zainteresowanych (155) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak

KacperSzurek

12.12.2019, 08:47:10

0

KacperSzurek

28.11.2019, 07:03:15

22

Jeżeli jesteś #programista15k i używasz #aws to wiesz jak wiele usług jest tam dostępnych. #od0dopentestera
Gdy serwer EC2 musi mieć dostęp do S3 - gdzieś należy przechowywać klucze API.
Zamiast wpisywać je na sztywno do kodu aplikacji - stosuje się EC2 Instance Metadata Service.
Problem pojawia się, gdy użytkownik może podać adres domeny, z której pobieramy i wyświetlamy treść.
W taki sposób może pobrać dane z Metadata Service.
Taki

KacperSzurek

28.11.2019, 07:06:04

0

KacperSzurek

28.11.2019, 07:06:05

1

KacperSzurek

20.11.2019, 04:12:15

50

Jak wygląda praca osoby zajmującej się bezpieczeństwem w banku? #od0dopentestera
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.
W wywiadzie opowiada na czym polega threat hunting i co jest najtrudniejsze w tej pracy.
Posłuchasz o metodach działania przestępców oraz dlaczego pakiet Office tak często używany jest do ataków na firmy.
Adam tłumaczy co to jest phishing i gdzie możemy zgłosić złośliwą witrynę.
Rozmawiamy także o wpływie PSD2

KacperSzurek

20.11.2019, 04:18:04

1

nobrainer

20.11.2019, 06:59:21

1

@KacperSzurek: Czyli nowy minister finansów Kosiński, kłamał, ze Polska bezgotówkowa jest całkowicie bezpiecznym pomysłem dla Polaków. Nikt nie będzie w stanie okraść Polaków

KacperSzurek

14.11.2019, 04:13:46

54

Kilka lat temu The Guardian zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jakich rad udzielają swoim dzieciom aby uchronić je, przed zagrożeniami znajdującymi się w Internecie.
Czy te odpowiedzi dalej są aktualne? #od0dopentestera
1. Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie.
Tryb prywatny w przeglądarce nie zapewnia anonimowości.
Wiadomości na zaszyfrowanych komunikatorach są tajne – chyba, że ktoś przekaże je policji.
Cyberprzemoc to wyśmiewanie z wykorzystaniem Internetu.

KacperSzurek - Kilka lat temu The Guardian zapytał osoby profesjonalnie zajmujące się...

WhiteRower

14.11.2019, 06:37:59 via Android

8

@KacperSzurek moja mama znała lepiej mapę Tibii od niektórych tibijczyków. XD

Lils

14.11.2019, 09:47:45

13

@KacperSzurek:

Zablokowałeś Facebooka? A czy nie zapomniałeś o narzędziach Google?

Google Docs bowiem może zostać wykorzystany jako interaktywny czat.

Co to jest za rada w ogóle xD Blokowanie mediów społecznościowych i narzędzi? Może zablokujcie od razu internet xD Aż mnie trzęsie od

KacperSzurek

05.11.2019, 04:11:53

34

Większość z nas korzysta z Google, Gmaila czy też Chrome'a.
Od bezpieczeństwa tych narzędzi zależy bezpieczeństwo naszych danych. #od0dopentestera
Krzysztof Kotowicz to osoba, która o możliwościach ataków na serwisy internetowe wie wiele - pracuje jako Senior Software Engineer w Google.
W wywiadzie opowiada co to jest XSS i jak przekonać biznes do zainteresowania się tematami związanymi z zabezpieczeniem stron.
Dowiesz się jak działa Trusted Types a także jak wygląda praca podczas tworzenia nowych

KacperSzurek - Większość z nas korzysta z Google, Gmaila czy też Chrome'a.
Od bezpie...

jalop

05.11.2019, 07:06:58 via Wykop Mobilny (Android)

4

@KacperSzurek: ile zarabia senior w gogle?

iamtehwin

05.11.2019, 08:36:10 via Wykop Mobilny (Android)

7

@jalop: tyle za ile jesteś w stanie sprzedać swoje osobiste poglądy i godność, w imię różnorodności i wywyższania kobiet, facetów o innym kolorze skóry niż biały i lgbtqwerty

KacperSzurek

15.10.2019, 05:50:39

28

W pracy #od0dopentestera potrzebujemy narzędzia, które rejestruje i ponownie wykonuje żądania http.
Jednym z nich jest Repeater z pakietu Burp.
Teoretycznie to prosty mechanizm. Po lewej treść żądania a po prawej odpowiedź serwera.
Ale istnieje trochę opcji, których mogłeś nie znać.

1. Żądania przechowywane są w ponumerowanych zakładkach.

KacperSzurek

15.10.2019, 05:59:16

3

@Komp15: Pracuje nad pewną nową serią w ramach podcastu.
Jeżeli wszystko pójdzie dobrze, nowości powinny pojawić się w najbliższych tygodniach

event15

15.10.2019, 06:26:07

1

@KacperSzurek: podcasty zawsze mocno na propsie :)