Autor

Wszystkie

Archiwum

KacperSzurek
KacperSzurek
  • 90
Używasz ResolveUrl? Słyszałeś o Cookieless? #od0dopentestera
Twój kod odwołuje się do skryptu #js

">
Ciężko znaleźć tu błąd. Chyba, że wczytamy się w instrukcję.
Dawno temu nie każda przeglądarka obsługiwała ciasteczka.
Serwisy chciały jednak w jakiś sposób zapamiętywać stan sesji użytkownika.
Wymyślono więc, że informacje na ten temat będą przekazywane w adresie URL.

Adres:
http://example.com/aplikacja/home.aspx
Zamieniano na:
http://example.com/aplikacja/(A(XXXX)S(XXXX)F(XXXX))/home.aspx

W miejscu XXXX aplikacja automatycznie doklejała identyfikator sesji.
Dziś mało kto
KacperSzurek - Używasz ResolveUrl? Słyszałeś o Cookieless? #od0dopentestera Twój kod...
KacperSzurek
KacperSzurek
  • 178
Twoja strona pozwala na przesyłanie plików zip? Powinieneś uważać na dwa wektory ataku. #od0dopentestera
Zip Slip
Gdy użytkownik wysyła archiwum – zazwyczaj musisz je otworzyć i przeanalizować każdy plik z osobna (chociażby dla obrazków wygenerować odpowiednie miniatury).
Prosty algorytm będzie wyglądał mniej więcej tak:
1. Stwórz katalog tymczasowy na dysku (/tmp/katalog)
2. Otwórz archiwum (zewnętrzną biblioteką) i pobierz nazwy plików
3. Połącz ścieżkę katalogu tymczasowego (z kroku pierwszego) z nazwą
KacperSzurek - Twoja strona pozwala na przesyłanie plików zip? Powinieneś uważać na d...
KacperSzurek
KacperSzurek
  • 4
@programik: Jeżeli generujesz własną nazwę (niepowiązaną z nazwą z archiwum) to jest OK (no chyba, ze to symlink).
Pytanie czy chcesz przechowywać w bazie takie nazwy.
Teraz pamiętasz, że ta wartość od użytkownika jest potencjalnie niebezpieczna.
Ale może w przyszłości inny programista użyje jej nie będąc tego świadomym?
Generalnie raczej bym odrzucał pliki z ../.
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 210
Jakie narzędzia są używane podczas symulowanych ataków na firmy? #od0dopentestera
USB Rubber Ducky – wygląda jak pendrive ale jest emulatorem klawiatury, potrafi wysłać wcześniej zaprogramowaną sekwencję klawiszy po umieszczeniu w porcie USB. Jeżeli nie blokujesz komputera gdy od niego odchodzisz – można włożyć taki przedmiot do portu i wykonać na nim dowolną komendę zamiast pisać ją na klawiaturze.
USB Ninja – podobne narzędzie jednak wyglądem przypomina zwyczajny kabel używany do
KacperSzurek - Jakie narzędzia są używane podczas symulowanych ataków na firmy? #od0d...
KacperSzurek
KacperSzurek
  • 7
Wołam zainteresowanych (181) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @umiarkowany_ekstremista @bartex121 @madox @Ravciu @brudny @luznoluzno @phund @int @sebekk23 @Melisandre @kintoro @Narrorek @nick230 @3denos
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 64
Jak rozpocząć swoją przygodę z testami penetracyjnymi? #od0dopentestera
Spróbuj zrozumieć OWASP Top 10
Znajdź swój pierwszy błąd w specjalnie podatnej aplikacji. Jeżeli Ci się nie uda – przeczytaj rozwiązanie
Zobacz błędy odnalezione przez innych
Poszukaj programu Bug Bounty małej firmy i sprawdź ile już umiesz
Bądź na bieżąco z nowymi badaniami innych osób
Przejrzyj publicznie dostępne raporty z pentestów

Chcesz dowiedzieć się więcej?
- Zobacz
KacperSzurek - Jak rozpocząć swoją przygodę z testami penetracyjnymi? #od0dopentester...
Bordomir
Bordomir
  • 8
@gixihot252 nie sugerowałbym się tymi poradnikami, zwłaszcza napalaniem się na bug bounty po przeczytaniu standardu i write upu z jakiegoś przypadkowego zadania w internecie xD załóż sobie konto na hacktheboxie czy coś. I nie spuszczaj się tak nad web appkami, bo zostaniesz testerem aplikacji webowych, a nie bezpiecznikiem.
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 180
Jeżeli jesteś programistą to wiesz, że wytłumaczenie technicznych kwestii osobom decyzyjnym bywa trudne.
Jak wytłumaczyć co to jest XSS – czyli wykonanie groźnego kodu JS w obrębie naszej domeny? #od0dopentestera
Jeżeli rozmawiasz z biznesem możesz skupić się na skutkach, jakie niesie tego rodzaju podatność.
Jednym z pomysłów może być opisanie działania XSS worm, który podobnie jak wirus w normalnym świecie próbuje zarazić jak największą liczbę użytkowników.

Jak to działa?
1. Załóżmy,
KacperSzurek - Jeżeli jesteś programistą to wiesz, że wytłumaczenie technicznych kwes...
KacperSzurek
KacperSzurek
  • 15
Praca zdalna to dla Ciebie nowość? Oto kilka porad poprawiających bezpieczeństwo. #od0dopentestera
- Nie publikuj zdjęć ekranu laptopa w mediach społecznościowych
- Uważaj na zmiany numerów kont bankowych kontrahentów
- Sprawdź czy dysk jest zaszyfrowany
- Unikaj drukowania dokumentów na domowej drukarce
- Sprawdź czy w telekonferencji uczestniczą tylko autoryzowane osoby
- Przygotuj zapasowe połączenie z Internetem
- Unikaj skanowania dokumentów telefonem

Więcej porad znajdziesz:
W formie infografik w pliku
KacperSzurek - Praca zdalna to dla Ciebie nowość? Oto kilka porad poprawiających bezp...
KacperSzurek
KacperSzurek
  • 2
@adam-gancarczyk:
Jest kilka powodów:
1. Pytanie czy możesz drukować dane firmowe (wyobraź sobie pracownika banku, który drukuje w domu informacje na temat klientów).
2. Niektóre drukarki posiadają wewnętrzną pamięć w której zapisują wydrukowane dokumenty. Trzeba pamiętać żeby wyłączyć tą opcje/wyczyścić dane (mowa tutaj głównie o droższych urządzeniach).
3. Co zrobisz z fizycznie wydrukowaną kartką gdy już skończysz z nią pracować. Masz w domu niszczarkę? Zachowasz dokumenty w segregatorze? Zaniesiesz je potem
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 169
Zamiana liter z dużych na małe to prosta operacja, no chyba, że korzystasz z UTF 8.
Czy może być niebezpieczna? #od0dopentestera
Czy słyszałeś o Unicode Case Mapping Collisions?
Przykład w #python

>>> 'ß'.upper()
'SS'
Jedna litera została zamieniona na dwie - a to może być niebezpieczne.
Sprawdźmy prostą funkcje resetowania hasła:

details = request.form
email = details['email']
cur = mysql.connection.cursor()
cur.execute("SELECT email from users WHERE email = %s", [email.lower()])
rv =
KacperSzurek - Zamiana liter z dużych na małe to prosta operacja, no chyba, że korzys...
KacperSzurek
KacperSzurek
  • 164
Podczas tworzenia nowych aplikacji nie zawsze wszystko działa jak należy. #od0dopentestera
Czasami trzeba coś przeanalizować.
Ale co jeśli przez pomyłkę w ostatecznej wersji produktu pozostawimy opcje służące do rozwiązywania problemów?
Jeżeli używasz narzędzia Flask to wiesz, że podczas tworzenia aplikacji udostępnia on Wekzeug Debugger.
Jeżeli gdzieś kod działa nieprawidłowo to zamiast komunikatu błędu otrzymujemy interaktywny interfejs służący do dynamicznej analizy programu.
Możemy wyświetlać wartości zmiennych oraz wykonywać dowolny kod
KacperSzurek - Podczas tworzenia nowych aplikacji nie zawsze wszystko działa jak nale...
KacperSzurek
KacperSzurek
  • 2
@muskel: Dzięki :)
@zortabla_rt: I tak i nie.
Rozpatrujemy tutaj sytuacje gdy strona posiada błąd pozwalający na pobranie dowolnego pliku z serwera.
I rzeczywiście – jeżeli nie jest wykorzystywany load balancer to istnieje spora szansa, że będzie możliwe pobranie pliku z kluczem prywatnym SSL.
Ten plik można potem w odpowiednich warunkach wykorzystać do podsłuchania transmisji bądź podszycia się pod daną domenę.
I to właściwie tyle.
Gdy serwer pozwala na dostęp
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 20
Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? #od0dopentestera
Wojciech Dworakowski - prezes firmy SecuRing opowiada o organizacji OWASP.
Dowiesz się ile średnio trwa test penetracyjny i czy zdarza się nie znajdować błędów bezpieczeństwa.
Rozmawiamy o tym jak powinien wyglądać raport z przeprowadzonego pentestu oraz co to jest modelowanie zagrożeń.
Wojtek opowiada również jakie podatności są najczęściej ignorowane i czy udostępnianie kodu źródłowego przez firmy
KacperSzurek - Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą tes...
KacperSzurek
KacperSzurek
  • 35
Praktycznie każdy serwis internetowy posiada różne rodzaje kont użytkownika.
Ale jak sprawdzić czy uprawnienia do nich przypisane działają prawidłowo? #od0dopentestera
Można to robić ręcznie – logować się na każde konto z osobna i na każdej podstronie sprawdzać czy dostęp jest prawidłowy.
Czynność tą można również zautomatyzować przy użyciu narzędzia AutoRepeater.
Działa ono na zasadzie znajdź-zamień znanego z edytorów tekstu.
Jest to rozszerzenie do programu Burp.
Najpierw modyfikujemy ustawienia przeglądarki aby
KacperSzurek - Praktycznie każdy serwis internetowy posiada różne rodzaje kont użytko...
KacperSzurek
KacperSzurek
  • 86
Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycznie jest to możliwe.
Jest to przykład ataku race condition – kiedy to wysyłamy do serwera dwa żądania w tym samym czasie i patrzymy jak na nie zareaguje. #od0dopentestera
Szkolnym przykładem tego problemu są kupony rabatowe/karty podarunkowe a w szczególności te, które można wykorzystać tylko raz.
Jak testować taką podatność?
W materiale prezentuję narzędzie Turbo Intruder.
Za jego pomocą można w
KacperSzurek - Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycz...
KacperSzurek
KacperSzurek
  • 3
Wołam zainteresowanych (164) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @umiarkowany_ekstremista @bartex121 @madox @Ravciu @brudny @luznoluzno @phund @int @sebekk23 @Melisandre @kintoro @Narrorek @nick230 @3denos
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 501
Praktycznie każdy z nas posiada w mieszkaniu router.
Na jakie elementy powinniśmy zwrócić uwagę z punktu widzenia bezpieczeństwa? #od0dopentestera
- wyłącz opcję WPS,
- używaj WPA2 z AES z odpowiednio długim i skomplikowanym hasłem,
- wyłącz UPnP jeżeli go nie potrzebujesz,
- urządzenia IOT podłącz do odseparowanej sieci gościa,
- sprawdź otwarte porty w zakładce port forwarding,
- o ile nie zarządzasz urządzeniem zdalnie wyłącz logowanie do panelu admina
KacperSzurek - Praktycznie każdy z nas posiada w mieszkaniu router. Na jakie element...
KacperSzurek
KacperSzurek
  • 24
Co to jest red teaming? Czym różni się od testu penetracyjnego?
Na te i inne pytania odpowiada Marcin Ludwiszewski - szef zespołu "Cyber" w Deloitte. #od0dopentestera
Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa.
W rozmowie opowiada o ciekawych sytuacjach ze swojej pracy i używanych narzędziach.
Poruszamy aspekty prawne oraz kwestie finansowe red teamingu.
Dowiesz się na czym polega wstępne rozpoznanie oraz jak najmniejszym
KacperSzurek - Co to jest red teaming? Czym różni się od testu penetracyjnego? Na te...
KacperSzurek
KacperSzurek
  • 38
Błędy typu SQL Injection pozwalają na wykonanie nieautoryzowanych zapytań do naszej bazy danych.
Ale co jeszcze można uzyskać za ich pomocą? #od0dopentestera
MariaDB pozwala na zainstalowanie dodatkowych funkcji, tak zwany User-Defined Functions.
Nas interesuje taka, która umożliwia wykonanie kodu na serwerze poprzez zapytanie SQL.
Najpierw sprawdzamy wersje systemu operacyjnego oraz lokalizacje katalogu z rozszerzeniami:

SHOW GLOBAL VARIABLES LIKE '%version%';
SHOW VARIABLES LIKE 'plugin_dir';
Teraz tworzymy nową tabele i kopiujemy do niej
KacperSzurek - Błędy typu SQL Injection pozwalają na wykonanie nieautoryzowanych zapy...
KacperSzurek
KacperSzurek
  • 27
Używasz komunikatora Signal ale nie wiesz co to kod zabezpieczenia?
Dostałeś kiedyś komunikat o zmianie numeru bezpieczeństwa i nie wiesz o co chodzi?
Aby nasza komunikacja była prywatna musi być zaszyfrowana.
W dużym skrócie potrzebujemy do tego klucza publicznego i prywatnego.
Problem w tym, że każdy z nas może w dowolnej chwili wygenerować nowy, unikalny klucz.
Jak zatem powiązać osobę po drugiej stronie z jej kluczem aby mieć pewność, że rozmawiamy z
KacperSzurek - Używasz komunikatora Signal ale nie wiesz co to kod zabezpieczenia? D...
KacperSzurek
KacperSzurek
  • 1
Wołam zainteresowanych (155) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @umiarkowany_ekstremista @bartex121 @madox @Ravciu @brudny @luznoluzno @phund @int @sebekk23 @Melisandre @kintoro @Narrorek @Lizbona @nick230
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 22
Jeżeli jesteś #programista15k i używasz #aws to wiesz jak wiele usług jest tam dostępnych. #od0dopentestera
Gdy serwer EC2 musi mieć dostęp do S3 - gdzieś należy przechowywać klucze API.
Zamiast wpisywać je na sztywno do kodu aplikacji - stosuje się EC2 Instance Metadata Service.
Problem pojawia się, gdy użytkownik może podać adres domeny, z której pobieramy i wyświetlamy treść.
W taki sposób może pobrać dane z Metadata Service.
Taki atak
KacperSzurek - Jeżeli jesteś #programista15k i używasz #AWS to wiesz jak wiele usług ...
KacperSzurek
KacperSzurek
  • 50
Jak wygląda praca osoby zajmującej się bezpieczeństwem w banku? #od0dopentestera
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.
W wywiadzie opowiada na czym polega threat hunting i co jest najtrudniejsze w tej pracy.
Posłuchasz o metodach działania przestępców oraz dlaczego pakiet Office tak często używany jest do ataków na firmy.
Adam tłumaczy co to jest phishing i gdzie możemy zgłosić złośliwą witrynę.
Rozmawiamy także
KacperSzurek - Jak wygląda praca osoby zajmującej się bezpieczeństwem w banku? #od0do...
KacperSzurek
KacperSzurek
  • 54
Kilka lat temu The Guardian zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jakich rad udzielają swoim dzieciom aby uchronić je, przed zagrożeniami znajdującymi się w Internecie.
Czy te odpowiedzi dalej są aktualne? #od0dopentestera
1. Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie.
Tryb prywatny w przeglądarce nie zapewnia anonimowości.
Wiadomości na zaszyfrowanych komunikatorach są tajne – chyba, że ktoś przekaże je policji.
Cyberprzemoc to wyśmiewanie z wykorzystaniem
KacperSzurek - Kilka lat temu The Guardian zapytał osoby profesjonalnie zajmujące się...
Lils
Lils
  • 13
@KacperSzurek:

Zablokowałeś Facebooka? A czy nie zapomniałeś o narzędziach Google?

Google Docs bowiem może zostać wykorzystany jako interaktywny czat.


Co to jest za rada w ogóle xD Blokowanie mediów społecznościowych i narzędzi? Może zablokujcie od razu internet xD Aż mnie trzęsie od takich głupot.

To samo PEGI. Te rady są dla dzieci czy rodziców? Bo we wpisie jest o dzieciach, a dwa ostatnie punkty są skierowane do rodziców. Jeśli do dzieci,
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 34
Większość z nas korzysta z Google, Gmaila czy też Chrome'a.
Od bezpieczeństwa tych narzędzi zależy bezpieczeństwo naszych danych. #od0dopentestera
Krzysztof Kotowicz to osoba, która o możliwościach ataków na serwisy internetowe wie wiele - pracuje jako Senior Software Engineer w Google.
W wywiadzie opowiada co to jest XSS i jak przekonać biznes do zainteresowania się tematami związanymi z zabezpieczeniem stron.
Dowiesz się jak działa Trusted Types a także jak wygląda praca podczas
KacperSzurek - Większość z nas korzysta z Google, Gmaila czy też Chrome'a. Od bezpie...
iamtehwin
iamtehwin
iamtehwin
via Wykop Mobilny (Android)
  • 7
@jalop: tyle za ile jesteś w stanie sprzedać swoje osobiste poglądy i godność, w imię różnorodności i wywyższania kobiet, facetów o innym kolorze skóry niż biały i lgbtqwerty
  • Odpowiedz
KacperSzurek
KacperSzurek
  • 28
W pracy #od0dopentestera potrzebujemy narzędzia, które rejestruje i ponownie wykonuje żądania http.
Jednym z nich jest Repeater z pakietu Burp.
Teoretycznie to prosty mechanizm. Po lewej treść żądania a po prawej odpowiedź serwera.
Ale istnieje trochę opcji, których mogłeś nie znać.

1. Żądania przechowywane są w ponumerowanych zakładkach.
Można zmienić ich nazwę klikając na daną zakładkę dwa razy.
2. W rogu zakładki, znajduje się przycisk „X” zamykający naszą pracę.
W najnowszej wersji
KacperSzurek - W pracy #od0dopentestera potrzebujemy narzędzia, które rejestruje i po...

Powiązane tagi