#security - strona 205

Wszystko

Najnowsze

Archiwum

08.11.2018, 04:18:44

Funkcjonalność wysyłania plików to miejsce kluczowe dla bezpieczeństwa.
Dzisiaj w #od0dopentestera omówię rozszerzenia na które warto zwrócić szczególną uwagę.

Jakie formaty graficzne znasz?

ALLOWED_EXTENSIONS = set(['pdf', 'png', 'jpg', 'svg', 'swf', 'jpeg', 'gif'])

KacperSzurek

08.11.2018, 13:28:04 via iOS

@kiedystobyl0: @zielonymirek: @gileski: Czasami można takie sprawdzanie obejść szczególnie jeśli mówimy o plikach graficznych zawierających kod js. Tutaj przykład png omijającego funkcje getimagesize w php a tutaj prawidłowy plik jpg z kodem javascript.

t.....2

konto usunięte 08.11.2018, 17:21:54

@KacperSzurek: ciężko było zdobyć pracę jako pen tester?

niebezpiecznik-pl

07.11.2018, 19:32:31

Ile zarabia cyberpolicjant w Polsce? Czy ściganie cyberprzestępców jest stresujące? Skąd policja pozyskuje wartościowe informacje i co najczęściej gubi internetowych rzezimieszków? O tym opowiada ktoś, kto na co dzień czyści polskie internety z patologii. https://niebezpiecznik.pl/post/wywiad-z-cyberpolicjantem/

#policja #sluzbyspecjalne #olx #allegro #bezpieczenstwo #security #hacking #prawo #niebezpiecznik

@Pienio69: pomidor

@Pienio69: Sektor budżetowy w tym wypadku ssie bo kasy brak na wszystko ale masz dostęp do rozwiązań które są przeznaczone tylko dla służb (na to kasa jest)

Do służb tego typu idziesz z kilku powodów:
- doświadczenie
- układy
- dostęp do poufnych danych nie

D.....1

konto usunięte 07.11.2018, 13:49:58

Ciekawi mnie sposób namierzania komputera w sieci. Wiadomo, że po zdobyciu IP służby/etc. łatwo mogą namierzyć router, z którego korzysta komputer. Co dalej? Zdobędą adres MAC poszukiwanego komputera (logi z routera?) i pozostaje sprawdzić wszystkie komputery w ramach danego routera?
Co w sytuacji jak ktoś skorzysta z Internetu podłączając się z np.: galerii handlowej? Czy sam adres MAC wystarczy do zlokalizowania komputera (w końcu jest to ruch tylko na warstwie łącza danych)?

Futrzasty

08.11.2018, 08:36:18

@wawero @Dapson @Daroo1 @SirArthur: występują do twojego ISP o podanie informacji kto w danym momencie był użytkownikiem ip zewnętrznego, dostają Twoje dane osobwe i to już im wystarczy. Jeżeli Twoja sieć jest zabezpieczona to można, założyć, że Ty z niej korzystałeś więc mogą wszystko Tobie przyklepać. Jak masz otwartą wifi to możesz próbować się wybronić tym, że ktoś się dostał do Twojej sieci, oczywiście wszystkie kompy są

Futrzasty

08.11.2018, 10:30:20

@wawero: najlepiej nie robić nic nielegalnego to ci nic nie udowodnią ( ͡° ͜ʖ ͡°)

imlmpe

06.11.2018, 13:36:47

◢ #unknownews ◣

Oddaje w wasze ręce kolejne, jeszcze cieplutkie zestawienie newsów jakie wyłowiłem na znanych portalach z linkami (hakcer news, lobsters, product hunt, devto, medium i z 20 innych).

1) Bardzo niefortunny błąd w systemie OCR... jak bardzo źle można rozpoznać słowo "arms"?
https://wraabe.wordpress.com/2009/03/07/an-ocr-cliche-into-hisher-anus/

imlmpe - ◢ #unknownews ◣

Oddaje w wasze ręce kolejne, jeszcze cieplutkie zestawien... — **źródło:** comment_7uTFx24nhwn8BlG0GUFAgxOhwlfjP1sd.jpg
Pobierz

j557

06.11.2018, 18:39:38

uważasz, że w porządku jest wrzucanie paywallowanych linków na mirko (zwłaszcza do artykułów do których nijak nie masz praw majątkowych ani autorskich)

@aseeon_ : nie płacisz za kontent, tylko za usługę wyszukania przez @imlmpe ciekawego kontentu. To jakbyś miał pretensje do biura nieruchomości, że zarabiają na mieszkaniach, do których nie mają praw. To zupełnie nie tak.

aseeon_

06.11.2018, 18:43:27

To jakbyś miał pretensje do biura nieruchomości

@j557: ale zdajesz sobie sprawę, że to właściciele "dodają" swoje nieruchomości do biura, a tutaj autorzy tych linków tego nie robią?

To powiedziawszy, absolutnie zdaje sobie sprawę, że to legalne, po prostu uważam, że to godzi w podstawowe idee wolności informacji która przyświeca sporej ilości autorów z tego zestawienia i jest poniżej wszelkiej godności, tylko tyle :)

Omijanie kodu blokady iPhone'a w najnowszym wydaniu iOS 12.1

Nowy, prosty sposób na dostęp do kontaktów, bez podawania kodu... ;/

z dodany: 06.11.2018, 10:11:52

Opera dla Androida ukryje informacje o cookies, wymuszone przez RODO

Opera ponownie wychodzi naprzeciw użytkownikom i wprowadza funkcję, która uczyni przeglądanie stron internetowych wygodniejszym. W przeglądarce dla Androida…

z dodany: 06.11.2018, 10:02:32

Portsmash – nowy atak na procesory Intela. Jako przykład pokazali kradzież...

Szybka dawka informacji

z dodany: 06.11.2018, 10:00:05

Cowiekgunwo

05.11.2018, 21:37:21

Treść przeznaczona dla osób powyżej 18 roku życia...

Cowiekgunwo

05.11.2018, 22:01:53

Treść przeznaczona dla osób powyżej 18 roku życia...

temokkor

06.11.2018, 09:23:18

@Cowiekgunwo: zacznę post od tego, żeby byłą jasność że nie pochwalam tego co gościu robi. Jednak zwróć uwagę na to że dopóki ludzie korzystają z telefonów i innej elektroniki która zapisuje ich dane w pamięci, dopóty będą też sprzedawać swoje używane sprzęty. A dopóki ludzie będą sprzedawać używane sprzęty, dopóty znajdą się ludzie którzy będą je kupować i używać tych danych w niecnym celu. Tak więc filmik tego gościa (odbiegając

mariusz-laszczka

05.11.2018, 17:40:34

#java #security

Jakiego typu używacie to przechowania w aplikacji (Spring) haseł? Aktualnie pobieram z propertisów Stringa (jest zakodowany, żeby nie było widoczne na repo), następnie odkodowuje go (też do postaci Stringa) i używam. Chodzi mi o hasła do połączenia z bazą, ldapem itd.

Słyszałem, że lepiej jest przechowywać hasła w tablicy charów, ale większość zewnętrznych klas (np do połączenia z ldapem), wymaga podania hasła w Stringu.. Jaka jest

ppawel

05.11.2018, 17:56:01

Aktualnie pobieram z propertisów Stringa (jest zakodowany, żeby nie było widoczne na repo),

@mariusz-laszczka: a co to daje? przecież jak ktoś ma dostęp do repo, to i tak sobie to zdekoduje (ostatecznie nawet bez myślenia zapnie debuggera w miejscu, gdzie property jest w użyciu)

rozwiązanie to nie wrzucanie produkcyjnych credentiali do repo z kodem (developerskie czasem się wrzuca, głównie dla wygody)

btw, jeśli jest to aplikacja serwerowa, to kombinacje z

S.....s

konto usunięte 05.11.2018, 18:01:13

@mariusz-laszczka: nie zostanie, chyba że sam zawołasz na nim .intern()

Kolejne oszustwo SMS Premium. UOKiK może mieć problemy z egzekwowaniem...

W internecie można od niedawna trafić na stronę, która rzekomo daje dostęp do filmów, ale tak naprawdę jest kolejnym oszustwo SMS premium. Co gorsza, nie wiadomo czy poradzi sobie z nim UOKiK głównie ze względu na trudność w dostępie do tej usługi – pojawia się ona tylko, gdy klikamy...

z dodany: 05.11.2018, 15:15:01

niebezpiecznik-pl

04.11.2018, 19:18:15

Krótkie przypomnienie dla śledzących nas Mirków i Mirabelek ze stolicy i Śląska ❗️Już jutro jesteśmy z naszym wykładem w #katowice a w czwartek w #warszawa. Na oba zostały ostatnie wolne miejsca. Gwarantujemy niejeden opad szczęki , pokazy ataków na żywo i pełno praktycznych porad jak nie dać się zhackować w internecie, jak dbać o prywatność i jak bezpiecznie korzystać z #banki internetowe i robić #

niebezpiecznik-pl

04.11.2018, 19:40:44

@lis6502: Sposób przekazywania wiedzy jest taki, żeby nawet Pani Krysia zrozumiała (o ile potrafi wysyłać maile i samodzielnie kupiła coś w internecie lub korzysta z konta w e-banku). Natomiast poziom jest taki, że nawet goście z IT, którzy wpadają na te wykłady uczą się wielu nowych rzeczy (ale nie da się ukryć, że ludzie zawodowo związani z bezpieczeństwem raczej nie mają czego szukać na tym wykładzie w sekcji samych porad

niebezpiecznik-pl

04.11.2018, 19:42:40

@FHA96: pamiętamy Cię ;) (#usunkonto)

yomvevixi

04.11.2018, 19:11:59 via iOS

Treść przeznaczona dla osób powyżej 18 roku życia...

PiersiowkaPelnaZiol

04.11.2018, 19:24:32

@yomvevixi: Ja rozumiem kolego ale bez przesady foliowe czapki nsa i te sprawy. Normalny człowiek z biometrycznymi zabezpieczeniami jest bezpieczny.

PiersiowkaPelnaZiol

04.11.2018, 19:34:58

@yomvevixi: spoki :)

yomvevixi

04.11.2018, 09:29:44 via iOS

Do czego służy lista mailingowa security-announce od Apple?

#security #bezpieczenstwo #apple

SMS-owi naciągacze ukrywają się przed UOKiK za Google Adwords.

Czy da się dziś naciągać na Premium SMS-y nie zwracając uwagi UOKiK-u? Ktoś właśnie próbuje. Pewna strona, rzekomo dająca dostęp do filmów, ewidentnie wprowadza odwiedzających w błąd. Jeśli jednak urzędnik otworzy tę stronę w swojej przeglądarce, może zobaczyć tylko niepozorną usługę bez premium...

z dodany: 03.11.2018, 05:55:21

blasted

02.11.2018, 18:44:31

Hakierzy, ktoś się bawi na #hackthebox? Może by sklecić jakiś teamik?
#security

Just666

02.11.2018, 19:45:13

@blasted: zapiszę w kalendarzu. Pozdrawiam.( ͡° ͜ʖ ͡°)

Just666

02.11.2018, 19:45:35

@blasted: nie usuwaj wpisu. Podlinkuję.

niebezpiecznik-pl

02.11.2018, 15:23:35

Nowy operator Rebtel zaliczył kilka poważnych wpadek. Nawet jeśli nie korzystasz z jego usług, możesz zostać "ofiarą" błędów w procedurach Rebtela, bo ktoś może po prostu ukraść Twój numer, jeśli zna Twoje dane: https://www.wykop.pl/link/4622933/operator-rebtel-ma-problemy-i-ty-tez-mozesz-nawet-jesli-nie-jestes-klientem/

#rebtel #telekomunikacja #bezpieczenstwo #security #hacking #niebezpiecznik #telefony #smartfon #gsm

niebezpiecznik-pl - Nowy operator Rebtel zaliczył kilka poważnych wpadek. Nawet jeśli... — **źródło:** comment_wrFZU5M0ZylekFmeo1L5k1za9e8zTFei.jpg
Pobierz

Cesarz_Polski

02.11.2018, 15:59:12

@niebezpiecznik-pl: @Rebtel xDDDDDDDDDDd

Bitdefender przejmuje RedSocks Security

Bitdefender, lider bezpieczeństwa sieciowego, chroniący ponad 500 milionów użytkowników w ponad 150 krajach, ogłosił akwizycję RedSocks Security BV (RedSocks). Celem przejęcia jest pozyskanie nowych technologii z zakresu bezpieczeństwa sieciowego oraz ekspansja na rynkach europejskich.

z dodany: 02.11.2018, 15:11:09

» Operator REBTEL ma problemy i Ty też możesz, nawet jeśli nie jesteś klientem

Pasmo porażek nowego operatora Rebtel. Ma problemy z weryfikacją tożsamości swoich klientów, a to umożliwia kradzież wybranego numeru telefonu dowolnej osoby, o ile zna się jej dane. W dodatku Rebtel wysyła karty SIM na złe adresy...

z dodany: 02.11.2018, 11:35:11

Luki zero day oraz ataki bezplikowe najgroźniejsze dla firm

Blisko 2/3 największych firm zostało skutecznie zaatakowanych przez cyberprzestępców w ciągu ostatniego roku. Podczas przeprowadzania ataków przestępcy najczęściej korzystali z technik bazujących na lukach „zero day” oraz tzw. atakach bezplikowych (fileless).

z dodany: 02.11.2018, 09:02:42

ZaufanaTrzeciaStrona

01.11.2018, 13:00:12 via iOS

Skąd może się wziąć astronomiczny rachunek za komórkę? Okazuje się że na przykład z błędów w routerze http://www.wykop.pl/link/4620729/jak-kamery-i-routery-nabily-klientom-orange-pokazne-rachunki-za-sms-y/ #security #bezpieczenstwo #zaufanatrzeciastrona