W tym tygodniu w #od0dopentestera trochę nietypowo – dziele się bowiem
moimi notatkami z konferencji Security PWNing 2018.

W ramach tego filmu opisuje 9 prezentacji, w których brałem udział.

Jest to więc skrót tego co można było na niej zobaczyć.Pokaż całość

Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- podszywanie się pod twórcę Tesli na Twitterze przy użyciu zweryfikowanych kont,
- cookie stuffing czyli jak oszukiwać na afiliacjach w Internecie,
- ile kosztuje oprogramowanie typu ransomware na czarnymPokaż całość

Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.

Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.Pokaż całość

Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- atak na osoby pobierające Chrome przy użyciu reklam w wyszukiwarce Bing,
- jak wyłączyć wszystkie iPhony w danym pomieszczeniu,
- co może zmienić najnowsza wersja projektuPokaż całość

Funkcjonalność wysyłania plików to miejsce kluczowe dla bezpieczeństwa.
Dzisiaj w #od0dopentestera omówię rozszerzenia na które warto zwrócić szczególną uwagę.

Jakie formaty graficzne znasz?

ALLOWED_EXTENSIONS = set(['pdf', 'png', 'jpg', 'svg', 'swf', 'jpeg', 'gif'])Pokaż całość

Zestawienie najciekawszych #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- czy sprzedał byś swoje dane za kubek ciepłej kawy,
- czytajmy regulaminy - sprzątanie toalet za darmowe WIFI,
- dlaczego twórcy aplikacji mobilnych śledzą procesPokaż całość

Dzisiaj w #od0dopentestera o Reflected File Download.
Błąd ten występuje zazwyczaj w endpointach jsonp, kiedy nie sprawdzamy nazwy callbacku.
Przy jego pomocy możemy pobrać plik o dowolnym rozszerzeniu i z kontrolowaną przez nas treścią.
Załóżmy, że posiadamy API, które zwraca bieżący czas jako json i chcemy pobrać te dane przy pomocy #javascript
Przeglądarki nie pozwalają na wysłanie żądania ajax do innej domeny, chroni przed tym mechanizm Same Origin Policy.

header('Content-Type:Pokaż całość

Garść #ciekawostki ze świata #security - #podcast Szurkogadanie.
Tym razem:
- kto ma dostęp do rejestru PESEL,
- fałszywe karty graficzne podbijają serwisy aukcyjne,
- malware na platformę KODI,
- co spowodowało błąd w jQuery File Upload.Pokaż całość

Często korzystając z serwisów internetowych spotykamy się przekierowaniami.
Jeżeli część zasobów witryny dostępna jest tylko dla zalogowanych użytkowników - po przejściu na taką podstronę jako niezalogowana osoba jesteśmy, przekierowywani do formularza logowania.
W adresie URL możemy dostrzec parametry nazwane redirect czy też next, wskazujące na podstronę, która ma się wyświetlić po zalogowaniu.

Dzisiaj w #od0dopentestera, krótki przykład w #java symulujący tąPokaż całość

#ciekawostki o #security - #podcast Szurkogadanie
W tym odcinku:
- metody ataków na systemy bezkluczykowe w samochodach,
- dlaczego radio bluetooth może być niebezpieczne,
- jak oszukać automaty na napoje używając wirtualnych portfeli NFC,
- oraz jak dzieci hackują komputery rodziców.Pokaż całość

Funkcji assert używamy głównie podczas debugowania kodu – aby sprawdzić, czy wyrażenie jest prawdziwe.
Tym razem w #od0dopentestera o tym, dlaczego przekazywanie parametrów od użytkownika do tej konstrukcji w #php jest niebezpieczne.
Film jest nieco dłuższy niż zazwyczaj ponieważ rozwiązuje w nim zadanie Baby PHP z Hack.lu CTF 2018.

Oprócz funkcji assert() dowiesz się tam również:
- o nietypowym użyciuPokaż całość

Czy eksportowanie plików CSV ze strony internetowej może być niebezpieczne?
Dzisiaj w #od0dopentestera o CSV Injection czyli wykonaniu kodu przy użyciu Excela.

Każdy arkusz kalkulacyjny posiada wbudowane funkcje, które upraszczają prowadzenie rachunkowości.
Oprócz matematycznych operacji możemy dla przykładu stworzyć odnośnik do strony internetowej:

=HIPERŁĄCZE("[https://szurek.pl](https://szurek.pl)";Pokaż całość

Najciekawsze newsy o bezpieczeństwie – #podcast Szurkogadanie.

Dzisiaj o:
- jak firmy próbują usunąć kompromitujące dla siebie materiały przy pomocy fałszywych wezwań DMCA,
- co to są honey-tokeny i jak przy ich pomocy wykryć włamanie do naszej infrastruktury,
- dlaczego warto wyłączyć pocztę głosową u naszego operatora – o przejmowaniu kont WhatsApp,Pokaż całość

Sporo programistów #python wie, aby nie używać pickle na danych od użytkownika ponieważ podczas ich deserializacji może dojść do ataku object injection i wykonania złośliwego kodu.
Ale co z innymi formatami? Czy również są niebezpieczne?
W kolejny odcinku #od0dopentestera o plikach yaml.

import yaml
with open("test.yaml", "r") asPokaż całość

Każdy #programista15k przynajmniej raz w swoim życiu spotkał się z terminem XSS - czyli wykonaniem kodu #javascript w przeglądarce.
Ale czy można przeprowadzić taki atak bez użycia tagu html?
O tym w dzisiejszym odcinku #od0dopentestera

< ?php
$s = str_replace('<', '<', $ _GET['s']);Pokaż całość

Nowości ze świata bezpieczeństwa komputerowego w formie #podcast - Szurkogadanie
W tym odcinku:
- phising na użytkowników Steam przy pomocy fałszywego obrazka logowania – czyli o ataku picture in picture
- do czego nie używać serwisu Trello – o wyciekach danych z publicznie dostępnych tablic
- czy menadżery haseł na Androida są bezpieczne – jak aplikacje z fałszywym identyfikatorem mogą wykraść nasze hasła
- dlaczego Facebook zresetował tokeny dostępowe 50 milionom użytkowników – o błędziePokaż całość

Generowanie wartości losowych w komputerze nie jest tak proste jak rzut kostką w rzeczywistości.
Dlaczego więc nie warto używać Random w #java ? #od0dopentestera

Każdy szanujący się serwis posiada funkcjonalność resetowania hasła.
Użytkownik podaje na stronie swój adres email powiązany z kontem.
W tym momencie serwer sprawdza czy taki użytkownik istnieje w bazie danych.Pokaż całość

W czasach spaghetti code warstwa aplikacji przeplatała się z warstwą widoku czyniąc kod trudnym do utrzymania.
Obecnie używamy zaawansowanych silników szablonów np. Jinja2.
Można powiedzieć, że silniki te same w sobie są swego rodzaju językami programowania.
Umożliwiają bowiem dostęp do wielu potencjalnie niebezpiecznych czynności.
Dzisiaj w #od0dopentestera o SSTI czyli Server-Side Template Injection.

imiePokaż całość

Dzisiaj w #od0dopentestera różnica pomiędzy escapeshellcmd oraz escapeshellarg.
Wywoływanie systemowych komend z poziomu #php brzmi jak proszenie się o kłopoty:

$komenda = 'wget --directory-prefix=..\temp '.$url;
system(escapeshellcmd($komenda));
Ten kod umożliwia pobranie treści dowolnej strony internetowej do kataloguPokaż całość

Jak co tydzień w #od0dopentestera #podcast Szurkogadanie – czyli przegląd najciekawszych informacji z branży bezpieczeństwa.
W tym odcinku:
- jeżeli używasz ekranu dotykowego i #windows Twoje hasła i prywatne wiadomości mogły zostać zapisane do pliku waitlist.dat aby usprawnić rozpoznawanie tekstu pisanego

- atak na serwer www przy użyciu funkcji eksportu do PDF – opowieść o tym dlaczego warto monitorować zewnętrzne biblioteki używane w naszym oprogramowaniu

-Pokaż całość