#security - strona 209

Wszystko

Najnowsze

Archiwum

30.11.2018, 07:39:18

Dzisiaj w #od0dopentestera o ataku: Cross-Site Websocket Hijacking na przykładzie #java
Dawniej, aby na stronie treści pojawiały się w czasie rzeczywistym należało z poziomu #javascript co kilka sekund wysyłać żądanie do serwera.
Teraz do tego celu wykorzystuje się websockety.

@ServerEndpoint(value="/endpoint")
public class socketer {

KacperSzurek

30.11.2018, 11:23:12

@billy0o: To nie jest atak XSS - zaważ, że nigdzie nie podaje żadnego payloadu, który w jakikolwiek sposób kradł by cokolwiek od użytkownika.

aka-mikado

30.11.2018, 12:28:52

@billy0o: dokladnie, co ma do tego xss? to wlasnie wykorzystanie cechy websocketu...

Wyciekły źródła i hasła japońskiego oddziału eBay

tl;dr źle zabezpieczony git

z dodany: 29.11.2018, 18:18:36

niebezpiecznik-pl

28.11.2018, 20:24:54

Uwaga na SMS-y od Paczkomatów, które pod pretekstem "oczekujacej paczki" nakłaniają do pobrania złośliwej aplikacji na Androida. https://niebezpiecznik.pl/post/m-inpost-sms/

Otrzymujemy wiele sygnałów, więc kampania z gatunku "szerszych".

#security #bezpieczenstwo #niebezpiecznik #malware na #android

niebezpiecznik-pl - Uwaga na SMS-y od Paczkomatów, które pod pretekstem "oczekujacej ... — **źródło:** comment_0cge11qMG4zhkxZyBtLZ4MUVN8BVY4OJ.jpg
Pobierz

interface

28.11.2018, 11:00:54

A mkinitcpio hook for Arch Linux to check if the machine was tampered with, before typing the passphrase of the root partition.
#hacking #security #linux #archlinux
https://gitlab.com/artefact2/sd-chkcryptoboot

#interfacesmieci

u.....3

konto usunięte 28.11.2018, 12:23:18

@interface: Co w wypadku gdy sam sd-chkcryptoboot zostanie tez zmodyfikowany? ( ͡° ͜ʖ ͡°)

interface

28.11.2018, 12:24:40

@ur_0x6a73: wtedy i tak odpalasz wszystko na zbackdoorowanym intelu wiec nie ma roznicy

Mozilla odpowiada na pytanie: „który sprzęt szpieguje”?

"Szpiegowanie" - czy to nieco wydumane, czy też realne to temat bardzo chętnie podnoszony w serwisie Antyweb: głównie przez komentatorów, którzy słusznie mają pewne wątpliwości co do intencji wielkich firm informatycznych. A co jeśli...

z dodany: 28.11.2018, 10:00:14

Gynvael

28.11.2018, 07:55:12

Cześć,

Prawdopodobnie dzisiaj będzie fajny livestream (gwiazdka/drobny druk: ale po angielsku).
TL;DR: https://www.youtube.com/watch?v=omvRF4H4vjo 20:00 czasu polskiego

W skrócie, trochę przez przypadek zrobiłem na nasze zawody CTFowe grę MMORPG (choć to trochę duże słowo) w stylu starożytnych gier typu Ishar, Eye of Beholder, Dungeon Master czy wczesnych Might & Magic (nie mylić z HOMM). Gra wygląda na zrzutach ekranu jak typowy FPS, ale w praktyce obracać można się jedynie o 90°, a chodzić jedynie

Gynvael - Cześć,

Prawdopodobnie dzisiaj będzie fajny livestream (gwiazdka/drobny d... — **źródło:** comment_GGEWgb97QjfKDnj5r5wnEindYMumyBl3.jpg
Pobierz

oknie

28.11.2018, 10:04:42

@Gynvael: Kurła, betrayal at krondor

M.....t

konto usunięte 28.11.2018, 11:40:37

trochę przez przypadek zrobiłem na nasze zawody grę MMORPG (choć to trochę duże słowo)

@Gynvael: Zabrzmiało jak bethesda ;)

laskoka

28.11.2018, 07:31:34

Kto rzeczowo pisze o bezpieczeństwie w it prócz niebezpiecznika, z3s i sekuraku? Na jakie strony/blogi można zaglądać i się posiłkować? Fajne też są jeszcze grupy na FB związane z bezpieczeństwem.
Ja zerkam jeszcze na:
cert.pl
dyzurnet.pl

#cyberbezpieczenstwo #security #csiwykop #bezpieczenstwo

bi-tek

28.11.2018, 09:03:33

@Just666: Odpuściłem temat, chciałem iść do pomocy ale za późno sobie przypomnieli o szukaniu ludzi (w nd dostałem sms ) i niestety ale w pracy mam z-------l.

Just666

28.11.2018, 09:34:06

@laskoka: Zapomniałem o http://malware.prevenity.com/

niebezpiecznik-pl

27.11.2018, 21:33:07

Treść przeznaczona dla osób powyżej 18 roku życia...

The_Pelek

27.11.2018, 21:37:18 via Android

@niebezpiecznik-pl Mogłeś zrobić znalezisko.

p.....8

konto usunięte 28.11.2018, 07:52:45

@niebezpiecznik-pl:

Jeśli dysponuje się tzw. IMSI Catcherem (czyli takim przenośnym BTS-em)

a ja bym raczej skłaniał się do prostszego, bardziej życiowego rozwiązania zagadki. Przecież w tej gminie mógł sobie jakiś Janusz wysłać do kumpla z pracy albo kumpla somsiada SMS-a a potem mieli z tego beke w firmie. A że śmieszny ten mem to se go po prostu zwyczajnie wrzucili do internetów. Albo na jakimś forum gminnym sobie w heheszkach

Malwarebytes potrafi into marketing

''Ostatnio w wyniku błędu Malwarebytes można było kupić antywirusa za ok. 23zł na 2 lata. Patrzcie co właśnie wysłali na maila''

z dodany: 27.11.2018, 21:04:21

3mpty

27.11.2018, 18:07:12 via Android

A pendrive do utylizacji szykuję tak #opsec #bezpieczenstwo #security może trochę paranoik

3mpty - A pendrive do utylizacji szykuję tak #opsec #bezpieczenstwo #security może tr... — **źródło:** comment_1H7ulGqwV1wLfMZQ7QFDy4DZBRE9VJEd.jpg
Pobierz

hokuspokus123

27.11.2018, 18:08:02 via Android

Komentarz usunięty przez moderatora

3mpty

27.11.2018, 19:29:06

@xyzzy: w przypadku flash musiałbym pamięci tym magnesem okładać żeby cokolwiek to dało ;)

Gennwat

27.11.2018, 17:15:44

W sumie to w jaki sposób możliwe jest włamanie się komuś na kamerkę i do tego puszczanie z niej muzyki? Gdzieś albo na sekuraku/z3s/nbzp widziałem właśnie możliwość kupienia dostępu do strony, która skanuje (?) i udostępnia urządzenia z otwartymi portami (jak dobrze zrozumiałem) i w taki sposób wyszukuje się kamery niezabezpieczone + z otwartymi portami. No okej, ale w jaki sposób można nimi zdalnie kierować? Webcamy mają jakiś swoje narzędzie do zdalnej

L.....e

konto usunięte 27.11.2018, 17:21:26

@Gennwat: Jest możliwe. Strona o której mówisz to Shodan.io. Szukasz kamerek i otwartych paneli i stamtąd puszczasz. Albo do panelu jest domyślne hasło.

ksab

28.11.2018, 23:31:12

@Gennwat: Część się powtarza, to nie jest PWNing

sekurak

27.11.2018, 16:07:09

Wysłano sfałszowane SMS-y z Rządowego Centrum Bezpieczeństwa. W akcji ABW i Policja:

https://sekurak.pl/ktos-wyslal-sms-y-podszywajac-sie-pod-alert-rzadowego-centrum-bezpieczenstwa/
#sekurak #security #sms #gsm

sekurak - Wysłano sfałszowane SMS-y z Rządowego Centrum Bezpieczeństwa. W akcji ABW i... — **źródło:** comment_a6eGLZV0ue6wAE1MXARu5t2MBxRh6Jul.jpg
Pobierz

i.....j

konto usunięte 27.11.2018, 12:14:14

#nodejs #npm #javascript #security #fail #bitcoin

https://www.wykop.pl/link/4665205/zlosliwy-kod-w-ekosystemie-npm-nastawiony-na-kradziez-bitcoinow/

i.....j - #nodejs #npm #javascript #security #fail #bitcoin

https://www.wykop.pl/l... — **źródło:** comment_JIwORfk9m8oD34gbJETaRfJHek6YABOi.jpg
Pobierz

c.....c

konto usunięte 27.11.2018, 12:25:00

@inhibitor-pompy-protonowej:

pisałem kilka razy, że bitcoin leży od strony zabezpieczenia usera końcowego,
co z tego że system jest odporny na double spending, jak przeciętnemu userowi albo ukradą kasę na giełdzie albo ukradną dostępy do portfela

w dzisiejszym świecie łatwiej być okradzionym z btc niż z kasy w kieszeni

interface

27.11.2018, 12:35:46

Komentarz usunięty przez autora

Złośliwy kod w ekosystemie npm nastawiony na kradzież bitcoinów

tl;dr Sprawdźcie swoje zależności w projektach! W zminifikowanej wersji pakietu `flatmap-stream` (0.1.1, prawdopodobnie także w 0.1.2) znalazł się złośliwy kod kradnący bitcoiny.

z dodany: 27.11.2018, 12:05:25

niebezpiecznik-pl

27.11.2018, 12:04:40

CYBERweek w Niebezpieczniku. Jeśli do końca tygodnia zapiszesz się na któreś z naszych szkoleń (lub kupisz VOUCHER na 2019), dostaniesz bilet (lub dwa) na dowolny termin naszego wykładu "Jak Nie Dać Się Zhackować?" oraz inne limitowane niebezpiecznikowe gadżety :)
https://niebezpiecznik.pl/post/cybertydzien-bilet-na-wyklad-niebezpiecznika-gratis-do-kazdego-szkolenia/

#niebezpiecznik #bezpieczenstwo #security #hacking #mirkoreklama

niebezpiecznik-pl - CYBERweek w Niebezpieczniku. Jeśli do końca tygodnia zapiszesz si... — **źródło:** comment_4qDcNNAvtZUsfUD1QGPKJQNWH19Hjjpm.jpg
Pobierz

a.....y

konto usunięte 27.11.2018, 12:05:15

@niebezpiecznik-pl: taaaak, klikaj w linki a dostaniesz darmowe rzeczy i zniżki, nie zemną te numery panie haker

niebezpiecznik-pl

27.11.2018, 12:06:58

@adgebworthy: daj adres zamieszkania, to podeślemy Ci wydruk treści spod linku ;)

interface

27.11.2018, 11:00:52

Introduction to T-Pot - The all in one honeypot #security #hacking
https://northsec.tech/introduction-to-t-pot-the-all-in-one-honeypot/

#interfacesmieci

Profil Zaufany. Ministerstwo Finansów ostrzega przed SMS-ami od oszustów

Ministerstwo Cyfryzacji ostrzega przed fałszywymi wiadomościami SMS sugerującymi możliwość wykonania operacji finansowej z użyciem serwisu Profil Zaufany. "Tego typu informacje nie pochodzą od administratorów systemu, a od oszustów" - podkreślili przedstawiciele resortu w komunikacie...

z dodany: 27.11.2018, 08:59:43

niebezpiecznik-pl

26.11.2018, 20:42:11

Jeśli dostaliście dziś (lub dostaniecie) SMS od Profilu Zaufanego w sprawie “zlecenia pożyczki”... to wiedzcie, że wcale nie dostaliście pożyczki, ale za to możecie stracić wszystkie oszczędności. Czyli (nareszcie!) nowy wariant ataku przez spoofowane SMS-y. Tym razem nie lewy Dotpay/PayU a lewy Profil Zaufany. Odważnie! Bo ile osób w Polsce wie czym jest Profil Zaufany?
https://www.wykop.pl/link/4664251/jesli-dostales-sms-od-profilu-zaufanego-w-sprawie-zlecenia-pozyczki/

#bezpieczenstwo #niebezpiecznik #hacking #security #banki #

niebezpiecznik-pl - Jeśli dostaliście dziś (lub dostaniecie) SMS od Profilu Zaufanego... — **źródło:** comment_DiUgvFzkvqubdPLPOUaHS7kAtohRw6Vl.jpg
Pobierz

jascen

26.11.2018, 21:58:23 via Wykop Mobilny (Android)

@PrawieJakBordo: napisałem "było" z myślą o wykopie. :D. Na głównej nawet.

PrawieJakBordo

26.11.2018, 21:59:36

Komentarz usunięty przez autora

L.....e

konto usunięte 26.11.2018, 20:21:37

Halo bezpieczniki - Humble Bundle razem z Packt wystawiło bardzo fajną paczkę książek, w cenie jednej fizycznej książki z empiku ( ͡~ ͜ʖ ͡°) Bierzcie póki ciepłe.

https://www.humblebundle.com/books/cybersecurity-packt-books

#it #itsec #security #bezpieczenstwo

L.....e - Halo bezpieczniki - Humble Bundle razem z Packt wystawiło bardzo fajną pacz... — **źródło:** comment_xgOWC99KW7R4Emn0yEeEi9B1GmThXB1A.jpg
Pobierz

Boczyslawo

29.11.2018, 20:27:11

Słyszałem na reddicie, że są słabe. Jak chcecie to łapcie linka https://www.reddit.com/r/humblebundles/comments/a0may4/humble_book_bundle_cybersecurity_by_packt/

Boczyslawo

29.11.2018, 20:28:03

Ktoś już miał styczność z książkami z Packtu?

KacperSzurek

26.11.2018, 07:19:05

#od0dopentestera Garść #ciekawostki ze świata #bezpieczenstwo.
W tym odcinku:
- jak przestępcy sprzedają noclegi w drogich hotelach wykorzystując punkty lojalnościowe,
- co to jest „swatting” czyli nasyłanie zbrojnych oddziałów policji na swoich znajomych,
- wyłudzanie pieniędzy od przedsiębiorców przy użyciu firm łudząco podobnych do instytucji państwowych,
- dlaczego ta wiadomość jest w folderze „wysłane” - błędne filtrowanie nagłówka „from” w

KacperSzurek

26.11.2018, 07:58:47

@PiersiowkaPelnaZiol: Ja zajmuje się znajdowaniem błędów głównie w projektach Open Source – a tam zazwyczaj nie ma mowy o żadnych pieniądzach.

PiersiowkaPelnaZiol

26.11.2018, 17:00:17

@KacperSzurek: A no tak, to też prawda. Choć nie które oferty na hackerrank widziałem, właśnie w przeszukiwaniu kodu źródłowego.