Treść przeznaczona dla osób powyżej 18 roku życia...
Wszystko
Najnowsze
Archiwum
dla mnie to wygląda na zwykły skan i tyle, wiem jak to brzmi, ale gdybyś chciał monitorować każde zdarzenie sieciowe to cały czas by coś wyskakiwało.Nie masz się czego obawiać według mnie. Ewentualnie przeskanuj kompa czy nie ma wirów i innych syfów.
@Virsky: tego nie wiem, ale wiem tyle że w sieci jest od cholery skanerów portów itd, wystarczy mieć hosting który na to pozwala i tyle.
Wyjaśnienie błędu w Log4j - [Kacper Szurek]
![Wyjaśnienie błędu w Log4j - [Kacper Szurek]](https://wykop.pl/cdn/c3397993/link_1639705049PPKdOlrhRwT4B6cOC3ZdKf,w220h142.jpg)
Na czym polega błąd w bibliotece Log4j2? Jak może wyglądać podatny kod? Do czego można wykorzystać tą podatność? Co zrobić i jak się ochronić?
z- 1
- #
- #
- #
- #
- #
- #
Jak działają cyberprzestępcy? Oto popularne metody oszustów
Podcast Urzędu Komisji Nadzoru Finansowego (UKNF) – „Finanse pod nadzorem” to cykl nagrań o charakterze edukacyjnym, odnoszących się do zagadnień z zakresu rynku finansowego z jakimi spotykają się uczestnicy tego rynku. W tym odcinku Paweł Piekutowski – Kierownik w Departamencie...
z- 0
- #
- #
- #
- #
- #
- #
Programujesz? Nie wiesz o co chodzi z tym "Log4j"? #od0dopentestera
Próbuję to wyjaśnić w najnowszym filmie pokazując podatność CVE-2021-44228 na prostym kawałku kodu.
• Dowiesz się jak użyć Canary Tokens do wykrycia podatności w swoich aplikacjach.
• Zobaczysz, że można wykraść zmienne środowiskowe korzystając z interactsh
• Pokazuję, że podatne mogą być wszystkie wersję Javy - te nowsze i te starsze.
• Zmienna "LOG4JFORMAT
Próbuję to wyjaśnić w najnowszym filmie pokazując podatność CVE-2021-44228 na prostym kawałku kodu.
• Dowiesz się jak użyć Canary Tokens do wykrycia podatności w swoich aplikacjach.
• Zobaczysz, że można wykraść zmienne środowiskowe korzystając z interactsh
• Pokazuję, że podatne mogą być wszystkie wersję Javy - te nowsze i te starsze.
• Zmienna "LOG4JFORMAT
@KacperSzurek: u nas korzystamy naszczescie ze starszej wersji xDdd
@KacperSzurek: Brakuje memów - https://log4jmemes.com
Moim głównym kontem pocztowym jest gmail. Pod niego mam podpięty mail z wp.pl (nie chcę usuwać), czyli gmail pobiera mi pocztę z wp i przez gmail odpowiadam na maile przez serwery pocztowe wp.
Zabezpieczyłem ostatnio konto wp weryfikacją dwuetapową za pomocą kodu. Mogę się tak logować tylko przez www. Jeśli nadal chcę używać programu pocztowego (wysyłać z gmaila), to muszę użyć hasła (screen), ale wtedy brakuje uwierzytelnienia dwuskładnikowego. Da się coś robić,
Zabezpieczyłem ostatnio konto wp weryfikacją dwuetapową za pomocą kodu. Mogę się tak logować tylko przez www. Jeśli nadal chcę używać programu pocztowego (wysyłać z gmaila), to muszę użyć hasła (screen), ale wtedy brakuje uwierzytelnienia dwuskładnikowego. Da się coś robić,
źródło: comment_1639570056Rq116PzVCAP36Kl1npSW7j.jpg
Pobierz
O co chodzi z podatnością "log4j"? #od0dopentestera
Szybkie wyjaśnienie dla osób nietechnicznych.
1. Log4j to bardzo popularna biblioteka używana w aplikacjach stworzonych w języku Java.
Służy ona do zapisywania logów z działania programu.
Log to chronologiczny zapis tego co dzieje się w
Szybkie wyjaśnienie dla osób nietechnicznych.
1. Log4j to bardzo popularna biblioteka używana w aplikacjach stworzonych w języku Java.
Służy ona do zapisywania logów z działania programu.
Log to chronologiczny zapis tego co dzieje się w
źródło: comment_1639471713qCJ3iDT198reWpU0LG5jO1.jpg
Pobierz@diablik: Wydaje mi się, że opinia: "nie jest na 100% skuteczne" wynika z tego, że nigdy nie wiadomo czy aby inny komponent systemu (gdzieś po drodze) nie korzysta czasem z log4j.
Co z tego, że my załatamy swoją aplikację - jeśli jakiś inny komponent tego nie zrobi ;)
Co z tego, że my załatamy swoją aplikację - jeśli jakiś inny komponent tego nie zrobi ;)
@KacperSzurek: w swojej aplikacji masz kontrolę nad tym, co trafi do wynikowego jara. Problemem są np. aplikacje, które odpalają inne komponenty "gdzieś obok". Kolejki, indeksowanie itd.
Przykład - bitbucket jako taki nie ma log4j2, ale odpala sobie obok elasticsearch do indeksowania repozytoriów. A ten elasticsearch ma log4j2 w podatnej wersji.
Dość absurdalnie wygląda to w kubernetes, gdzie środowiska OKD/Openshift mają poinstalowany stos ELK do przechowywania logów. Także można przesłać ten
Przykład - bitbucket jako taki nie ma log4j2, ale odpala sobie obok elasticsearch do indeksowania repozytoriów. A ten elasticsearch ma log4j2 w podatnej wersji.
Dość absurdalnie wygląda to w kubernetes, gdzie środowiska OKD/Openshift mają poinstalowany stos ELK do przechowywania logów. Także można przesłać ten
CBA dostało zakaz używania Pegasusa. Co teraz? - [Niebezpiecznik]
O utracie dostępu do Pegasusa przez CBA, przełamywaniu zabezpieczeń certyfikatów covidowych i cyberprzestępczych sądach, które rozstrzygają spory między oszustami.
#security #ciekawostki #cba #pegasus #cyberbezpieczenstwo #hacking #niebezpiecznik
O utracie dostępu do Pegasusa przez CBA, przełamywaniu zabezpieczeń certyfikatów covidowych i cyberprzestępczych sądach, które rozstrzygają spory między oszustami.
#security #ciekawostki #cba #pegasus #cyberbezpieczenstwo #hacking #niebezpiecznik
![M.....T - CBA dostało zakaz używania Pegasusa. Co teraz? - [Niebezpiecznik]
O utraci...](https://wykop.pl/cdn/c3201142/comment_16394273088iuuSQeouaxOLW6yLCCpey,w400.jpg)
Komentarz usunięty przez moderatora
Komentarz usunięty przez autora
CERT Polska ostrzega przed cyberatakami. "Wykryto krytyczną podatność"
CERT Polska poinformował, że obserwuje coraz więcej prób ataków na strony napisane w języku Java, które korzystają z biblioteki Apache Log4j. "Wykryto krytyczną podatność pozwalającą na zdalne wykonanie kodu z uprawnieniami danej aplikacji".
z- 1
- #
- #
- #
- #
- #
- #
Serious Log4j Security Flaw Puts The Entire Internet At Risk, Even iCloud...
A bug in Java logging software included in almost every web-facing app offers remote code execution with admin privileges. W skrócie - internet w ogniu
z- 0
- #
- #
- #
@MaxVerstapen: bo ograniczają siłę hasła niepotrzebnie, tak jakby im to przeszkadzało że chce miec haslo którego nie da się scrackować
a tak serio to hasło ma być łatwe do zapamiętania
@MaxVerstapen: ja uzywam menedzera hasel i sam nie znam ani jednego ze swoich 200 hasel ( ͡° ͜ʖ ͡°)
Najbardziej krytyczna luka ostatniej dekady jest “fully weaponized”.
Krytyczna luka w powszechnie stosowanym oprogramowaniu - wykorzystana w grze online Minecraft - szybko staje się poważnym zagrożeniem dla organizacji na całym świecie. Log4Shell zapewnia łatwy dostęp do sieci wewnętrznych, czyniąc je podatnymi na kradzież i utratę danych. [ENG]
z- 1
- #
- #
- #
- #
- #
- #
Podatność w serwerach (i klientach) Minecraft – przez wpisanie exploita na chacie można przejąć serwer oraz innych graczy ;-/
aka tylko demonstracja możliwości najnowszej podatności w log4j, CVE-2021-44228
https://sekurak.pl/podatnosc-w-serwerach-minecraft-wpisujesz-exploita-na-chacie-i-przejmujesz-serwer-oraz-innych-graczy-log4j-cve-2021-44228/
#sekurak #minecraft #bezpieczenstwo #java #programowanie #security
aka tylko demonstracja możliwości najnowszej podatności w log4j, CVE-2021-44228
https://sekurak.pl/podatnosc-w-serwerach-minecraft-wpisujesz-exploita-na-chacie-i-przejmujesz-serwer-oraz-innych-graczy-log4j-cve-2021-44228/
#sekurak #minecraft #bezpieczenstwo #java #programowanie #security
źródło: comment_1639151906RcVxbUUk7l8p9pIkK9d6my.jpg
Pobierz@lovox: Podatna jest biblioteka więc wystarczy wykonywać analizę komponentów. Czyli generujesz SBOMy i ładujesz je do odpowiedniego narzędzia, np. https://dependencytrack.org/. Z tego co widzę CVE nie ma jeszcze ustawionych CPE więc alertu byś nie dostał. Natomiast narzędzie agreguje wszystkie użycia biblioteki więc wystarczyłoby wpisać "log4j" w wyszukiwarce i miałbyś listę podatnych projektów.
@sekurak: Dlaczego w 2021 ważna biblioteka zaniedbuje sanityzację inputów? Przecież ten exploit jest dość durny.
Całkiem sprytna sztuczka. Sprzedajesz komputer, kupujący prosi o benchmarka. Uruchamiasz benchmarka a twój komputer zaczyna kopać Monero - ale nie dla ciebie.
https://www.wykop.pl/link/6405011/sprzedajesz-komputer-uwazaj-na-ten-nowy-nietypowy-rodzaj-ataku/
#zaufanatrzeciastrona. #bezpieczenstwo #security
https://www.wykop.pl/link/6405011/sprzedajesz-komputer-uwazaj-na-ten-nowy-nietypowy-rodzaj-ataku/
#zaufanatrzeciastrona. #bezpieczenstwo #security
źródło: comment_1639129014gthnRWYvsiHBNB8svlSNaV.jpg
Pobierz@oslet: Też sądzę, że się na tym autor ataku nie dorobił, ale wektor infekcji wymyślił całkiem sprytnie. Nie będę podpowiadał, co mógł poprawić w samym payloadzie ;)
/Adam
/Adam
@oslet
@ZaufanaTrzeciaStrona a może to jest tak naprawdę targetowany atak? Urząd skarbowy sprawdza czy osoby kupujące laptopy o znacznej wartości grzecznie odprowadzają podatek. Sprawdziliście czy to na pewno tylko kopie (;?
@ZaufanaTrzeciaStrona a może to jest tak naprawdę targetowany atak? Urząd skarbowy sprawdza czy osoby kupujące laptopy o znacznej wartości grzecznie odprowadzają podatek. Sprawdziliście czy to na pewno tylko kopie (;?
Krytyczna podatność w bibliotece log4j – łatajcie, bo zaczęło się masowe exploitowanie.
Wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft).
https://sekurak.pl/krytyczna-podatnosc-w-log4j-latajcie-bo-zaczelo-sie-masowe-exploitowanie/
#programowanie #bezpieczenstwo #java #sekurak #security
Wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft).
https://sekurak.pl/krytyczna-podatnosc-w-log4j-latajcie-bo-zaczelo-sie-masowe-exploitowanie/
#programowanie #bezpieczenstwo #java #sekurak #security
źródło: comment_1639122082K5NIwxEeWLib2lS1n7Jh4C.jpg
PobierzSprzedajesz komputer – uważaj na ten nowy, nietypowy rodzaj ataku
Wojtek otrzymał wiadomość w serwisie Allegro Lokalnie od niezarejestrowanego użytkownika. Oto jej zrzut ekranu i wersja tekstowa: "...Czy można by było wysłać raport z chociaż 5 minutowego testu CPU + MEMORY + 3D + VRAM programem OCCT PRO? Raport generuje się jako obraz po kliknięciu ikony..."
z- 36
- #
- #
- #
- #
- #
#it #security #bezpieczenstwo #siecikomputerowe
Siemka - co na dzień dzisiejszy można polecić jako dobre zabezpieczenie dwuskładnikowe? Głównie chodzi o zabezpieczenie dostępu do poczty/hostingu/serwisów - super jakby miało NFC (do użycia z telefonem)
Z tego co się wstępnie rozglądałem najsensowniejszy wydaje się być YubiKey 5 NFC - ale być może jest coś lepszego?
Korzysta ktoś z jednego YubiKey 5 NFC i zapasowego nano
Siemka - co na dzień dzisiejszy można polecić jako dobre zabezpieczenie dwuskładnikowe? Głównie chodzi o zabezpieczenie dostępu do poczty/hostingu/serwisów - super jakby miało NFC (do użycia z telefonem)
Z tego co się wstępnie rozglądałem najsensowniejszy wydaje się być YubiKey 5 NFC - ale być może jest coś lepszego?
Korzysta ktoś z jednego YubiKey 5 NFC i zapasowego nano
źródło: comment_1639049497DplxjdkJEVfsUwEd85z2nV.jpg
PobierzTor’s system of proxy servers in Russia had partly stopped working at around 5:21pm Moscow time on December 2.
//
#tor #internet #bezpieczenstwo #security #siecikomputerowe #sieci #programista15k
//
#tor #internet #bezpieczenstwo #security #siecikomputerowe #sieci #programista15k
@wytrzzeszcz: nie poczułeś się teraz jak Dolas (Rany Julek! Ale nawarzyłem bigosu!) w czołówce "Jak rozpętałem ..."?
//
//
@kjjbox: lekko
Mam jakieś demo które używa prostego "backendu" na firebase.
Jest cały auth, i prosty realtimeDatabase. Wiem że są reguły w firebase. Reguły użytkowników żeby zapisany np json
nie został nadpisany przez inną osobę. Taką
https://firebase.google.com/docs/projects/api-keys