@sekurak: nie no, faktycznie tego jeszcze nie grali. Czy oni już cakiem rozum stracili w tym Conexancie?

@majsterV2: wiem, 11 zainstalowałem na zapasowym kompie, na chwilę obecną tylko tyle (nawet nie zrobiłem jeszcze aktualizacji). Jeszcze nie miałem czasu na większe testy.

@sekurak: w życiu bym nie pomyślał, że (względnie przecież niskiej jakości) głośniki telewizorów i mikrofony smartfonów są zdolne odtwarzać i nagrywać ultradźwięki. Do tej pory myślałem, że to tylko takie foliarstwo, ale skoro i wy o tym piszecie...

@sekurak: @xDrope: @VoltageControlled: https://media.ccc.de/v/33c3-8336-talking_behind_your_back tutaj cala prezentacja gdzie atak zostal opisany i zademonstrowany

@asdasdce2w: ważne są bugi których jeszcze nie znamy - jak śpiewał artysta

@sekurak: A jak ktoś ma całe życie wyłączonego Defendera, to też problem i trzeba się bawić w aktualizacje?

@NukeOps: securitum/sekurak robi szkolenia, niebezpiecznik i od niedawna z3s.

@NukeOps: Compendium robi stacjonarne kursy z testów penetracyjnych, trochę tego mają:
--> https://www.compendium.pl/szkolenia/compendium/pentesting/
--> http://www.compendium.pl/szkolenie/4027/
--> http://www.compendium.pl/szkolenie/5315/szkolenie-autoryzowane-mile2-cpte-certified-penetration-testing-engineer
--> http://www.compendium.pl/szkolenie/5316/

@sekurak: żeby to zadziałało trzeba mieć a) wordpressa ustawionego na domyślnym vhoście, b) mieć aktywną funkcje mail w php, c) serwer pocztowy na localhoście który pozwala zespoofować from: i return-path:. Nie mówię, że taki zestaw jest niemożliwy - tak w końcu wygląda domyślna instalacja - ale jeśli ktoś ma tak ustawiony serwer to na pewno ma też inne rzeczy dziurawe albo niezabezpieczone.

Według mnie ciekawsza jest ta druga dziura, teżPokaż całość

@sekurak: ale taguj #mrrobot

Pokaż spoiler

@carver: oraz #plytaglowna #klejnotmopsu

Pokaż spoiler

@sekurak: super sprawa. Coś dla osób, które dopiero zaczynają swoją przygodę.

Jeeezu ale będę grepować @sekurak:

@sekurak: to pobieramy ;)
ciekawe czy moje się tam pojawią :)

Chociaż wczoraj się już pojawiło: http://www.wykop.pl/wpis/23699027/security-hacking-protip-https-github-com-berzerk0-/ ;)

@emerjot: tak, mapa obrazuje skalę pożarów powstałych w wyniku tej akcji

@Tank1991: ja fakam , gaśnica już stoi przy kompie, dzięki!!! ;)

@sekurak: pewnie npm do tego już jest ( ͡° ͜ʖ ͡°)

@wczoraj: sublime miał plugin który podpowiadał snippety ze stacka. Stack Driven development!!!

@bi-tek: straszne!

@sekurak: niezła akcja! Tak z grubiej rury na święta :)

@sekurak: to zamazanie ostatniego oktetu adresów IP mnie rozbawiło :D

@Wladyslaw_Jagiello: ale nawet w tej grafice na mirko tak jest

@sekurak Zawsze można tym pasować HTMLa żeby było ciekawiej ( ͡° ͜ʖ ͡°)

@majsterV2: Poza niektórymi switchami które są ok.

To wbij sie na switcha TP-Linka.

@DiKey: uprawnienia użytkownika root (zobacz jakie ma uprawnienia taki user) na telewizorze (to takie duże czarne, zwykle w pokoju gościnnym) za pomocą tego podłużnego przedmiotu mieszczącego się w ręce. Ten podłużny przedmiot steruje tym dużym czarnym z pokoju. (ʘ‿ʘ)

@przepelnieniebuforu, teraz to już w ogóle wiem jeszcze mniej niż wcześniej ( ͡º ͜ʖ͡º)

@sekurak: Czyli trzeba przejść na FLOSS Android. Jak to dobrze, że Wifi nie działa tam (i kilka innych rzeczy) :P

@sekurak: można nie lubić Apple, ale zanim przeczytałem o tej podatności to miałem to już załatane :)

@sekurak: > W skrócie otworzenie książki w formacie epub umożliwiło m.in. zdalne odczytywanie plików z filesystemu ofiary.

Poważnie? Remote readowanie z filesystemu victima?

@sekurak: XXE działa tez z docx i metadanymi w PDF albo... plikach graficznych (nie tylko svg), udało mi się kilka takich znaleźć ;-)

@sekurak: GET /../../../../../../../../../../../../etc/shadow HTTP/1.1
XD XD

Pokaż spoiler

@Rak-Pustelnik: A kogo ty obchodzisz? Gdyby rzesza lemingów miała nie podłączać, takiej funkcji by nie dodawali.

@irondew: Nie widzę takiej możliwości. Pewnie support możę Ci dać takie info tylko

@irondew: support powie ze takie dane sie daje tylko policji albo prokuratorowi.