#od0dopentestera - strona 7 :: Wykop.pl

Autor

Wszystkie

Archiwum

04.02.2019, 14:22:01

23

Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
Kopiowanie kodu ze StackOverflow początkiem problemów.
Jak powinien wyglądać dobry raport z testu penetracyjnego?
Historia wspólnego klucza prywatnego używanego przez wiele stron.
Co to jest "domain hijacking" i jak się przed nim bronić.
Quiz na temat phishingu od Google.
Jak przejąć domenę poprzez błędny rekord DNS?
Dlaczego tajny token do podpisywania ciasteczek musi być losowy?
Poradnik bezpieczeństwa dla Iphona.

Masz pytanie

KacperSzurek - Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
K...

04.02.2019, 14:23:03

2

Wołam zainteresowanych (83) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @

04.02.2019, 14:23:04

2

31.01.2019, 07:58:36

198

CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wykonania jakiejś akcji przez zalogowanego użytkownika – chociażby stworzenia nowego konta administratora.
Dzisiaj w #od0dopentestera wytłumaczę jak działa ten mechanizm.

Przesyłając dane do strony zazwyczaj używamy formularza.
Serwer odpowiednio procesuje wysłane przez nas informacje i na ich podstawie wykonuje daną akcję.
Ale nic nie stoi na przeszkodzie, żeby ten sam formularz umieścić na jakiejś innej stronie – nie powiązanej z tą, do której

KacperSzurek - CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wyk...

31.01.2019, 11:38:09

7

@KacperSzurek: to trochę nie do końca jest tak z CSRF

Stąd też atakujący może dla przykładu umieścić formularz mający za zadanie stworzyć nowego administratora na swojej stronie a następnie musi przekonać nas, abyśmy będąc zalogowanymi odwiedzili jego witrynę. Wtedy to dane z formularza zostaną automatycznie przesłane razem z naszym ciasteczkiem – a ponieważ, byliśmy zalogowani – serwer wykona żądaną akcję.

Po pierwsze ludzie tak jak w przypadku fałszywych linków w banku

31.01.2019, 11:51:21

6

@jack_:

Co ma sesja w PHP, ciastku, SSL i same-origin policy do opisanego przypadku, kiedy w formularzu w action wpisujesz adres serwera i request idzie do niego? Gdzie nawet użytkownik o tym nie musi wiedzieć bo wchodząc na stronę można zrobić w javascripcie kliknięcie na submit, gdzie nastąpi przekierowanie do strony docelowej postem bez tokenu w formularzu :)

28.01.2019, 07:16:37

23

Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na Instagramie?
Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych?
Garść porad na temat poszukiwania ukrytych kamer.
Nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi.
Atakowanie dźwigów na budowie.
Wykrywanie dronów na podstawie analizy wifi.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się

KacperSzurek - Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na In...

28.01.2019, 07:18:03

0

Wołam zainteresowanych (62) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @

28.01.2019, 07:18:03

0

25.01.2019, 04:24:31

130

Spring Boot Actuator to narzędzie które pozwala nam na monitorowanie naszej aplikacji napisanej w #spring.
Dzisiaj w #od0dopentestera nieco inne spojrzenie na ten mechanizm.

W standardowej konfiguracji z poziomu interfejsu webowego dostępne są endpointy health oraz info.
Wygodny programista może jednak użyć gwiazdki - aby udostępnić na stronie wszystkie funkcjonalności.
Pod niektórymi adresami możemy odnaleźć ciekawe informacje.

Często używamy zmiennych środowiskowych i to właśnie w nich przechowujemy jakieś tajne dane

KacperSzurek - Spring Boot Actuator to narzędzie które pozwala nam na monitorowanie n...

walic_nowy_odtwarzacz

25.01.2019, 12:51:06

7

@KacperSzurek: Czy to prawda ze Spring jest tak kijowym i topornym frameworkiem ze musial powstac Spring Boot zeby w ogole te ustrojstwo wyystartowac? ( ͡° ͜ʖ ͡°)

konto usunięte 26.01.2019, 00:10:52

1

@walic_nowy_odtwarzacz: Spring Boot ma wbudowany serwer więc nie trzeba kombinować z tomcatami i innymi syfami które potrafią się wywalić na starcie. To po prostu działa. Konfiguracja też jest o wiele prostsza. Po to właśnie powstał Spring boot. Spring to bardzo przyjemny framework i da się na nim zbudować potężne aplikacje. To czy jest toporny zostawiam bardziej doświadczonym kolegom, ja nie narzekam

21.01.2019, 12:56:16

18

Jak działa atak większościowy 51% na kryptowalutę Ethereum?
O błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji.
Jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji
Czy kurz na kamerze może się komuś przydać?
Dlaczego zaatakowano urządzenia Google Chromecast służące do strumieniowania treści na telewizorze?
Slack jako skarbnica wiedzy dla atakującego.
Wykorzystanie funkcjonalności OAuth razem z błędami XSS.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od

KacperSzurek - Jak działa atak większościowy 51% na kryptowalutę Ethereum?
O błędzie...

21.01.2019, 12:57:02

0

Wołam zainteresowanych (48) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @

18.01.2019, 04:12:12

77

NGINX to szybki i wydajny serwer HTTP. Ale czy wiesz jak go prawidłowo i bezpiecznie skonfigurować?
W dzisiejszym odcinku #od0dopentestera kilka przykładów błędnych konfiguracji, które mogą narazić nas na atak.

location /frytki {
 alias /test/;
}

Jeżeli location nie kończy się slashem / możliwe jest pobieranie treści poza katalogiem test:

http://strona.local/frytki../plik_poza_katalogiem.html

add_header X-Frame-Options SAMEORIGIN;
location /xss/ {
 add_header X-XSS-Protection "1; mode=block";
 alias /test/;
}

Jeżeli add_header używany jest w polu nadrzędnym

KacperSzurek - NGINX to szybki i wydajny serwer HTTP. Ale czy wiesz jak go prawidłowo...

18.01.2019, 10:10:34 via Android

1

@KacperSzurek
Dlatego na początek tylko apaczi, z prostym konfiguraczi, w każdym direktoraczi własne .htaccess ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

18.01.2019, 15:13:58

0

@KacperSzurek: gotowe! dzięki :>, czekam na następne rzeczy :)

14.01.2019, 13:36:11

14

Google Dorks - znajdowanie podatności przy użyciu wyszukiwarki.
Opis ataku "Pass the cookie".
Phishing wykorzystujący nietypowe czcionki.
Konkursy typu CTF wstępem do nauki bezpieczeństwa.
Niebezpieczne kody QR na bankomatach.
Jak udało się złamać projekt reCaptcha?

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #

KacperSzurek - Google Dorks - znajdowanie podatności przy użyciu wyszukiwarki.
Opis ...

14.01.2019, 13:38:02

0

Wołam zainteresowanych (35) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu

11.01.2019, 04:24:59

56

Czasami programiści zakładają, że niektóre funkcje są bezpieczne ze względu na swoją naturę.
Co bowiem złego może się stać podczas sprawdzania czy dany plik istnieje na dysku.
Funkcja file_exists przyjmuje tylko jeden parametr i zwraca prawdę lub fałsz.
Ale jak to w #od0dopentestera bywa - diabeł tkwi w szczegółach.

class aplikacja {
function construct($name) {
$this->name = 'pliki/'.$name;

if (strpos($this->name, "..") !== false) {
die('HACKER');
}

if (!fileexists($name)) {
echo 'PLIK

KacperSzurek - Czasami programiści zakładają, że niektóre funkcje są bezpieczne ze wz...

11.01.2019, 04:26:58

22

@KacperSzurek: o nie php

Voque - @KacperSzurek: o nie php — źródło: comment_gyLE1QLZiB0e9GyFKYazjnYTcS5XjJ9l.jpg
Pobierz

konto usunięte 11.01.2019, 06:00:53

24

@Voque: po co się w ogóle odzywasz, skoro Cię wątek nie interesuje?

07.01.2019, 13:34:59

21

Co to są Canary Tokens i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie.
Jakie informacje na temat naszych zakupów posiada Google?
Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł?
Jak przekonać użytkownika do zainstalowania złośliwego oprogramowania przy pomocy HTML?
O metodzie ataku poprzez kabel USB podpinany do komputera.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli

KacperSzurek - Co to są Canary Tokens i jak można wykorzystać je do wykrycia włamania...

07.01.2019, 15:04:11

1

phishingiem bo po pierwsze tak jak wspomniałeś atakujący może prosić o całe hasło.

Nic też nie stoi na przeszkodzie, żeby prosił tylko o kilka liter – tak jak prawdziwa strona.
Atakujący może bowiem spróbować zalogować się przy pomocy podanego loginu – sprawdzić których liter żąda strona a następnie poprosić użytkownika tylko o nie.
Musiałby działać w czasie rzeczywistym i bardzo szybko, myślę że takie rzeczy to tylko w targetowanym ataku. Nie widziałem

07.01.2019, 15:21:26

2

@KacperSzurek: @sebask: pytaniem otwartym pozostaje też ile podmiotów z maskowanym hasłem trzyma je w bezpieczny sposób, a ile w plaintexcie...

24.12.2018, 09:19:23

9

Jak działa atak Business Email Compromise?
Czy phishing może doprowadzić do ewakuacji szkoły?
Jak nie cenzurować internetowych map?
Czy można wykraść tajne dane z telefonu, jeżeli podłączymy go do złośliwej ładowarki?

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki

KacperSzurek - Jak działa atak Business Email Compromise?
Czy phishing może doprowad...

24.12.2018, 09:21:03

0

Wołam zainteresowanych (30) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak

22.12.2018, 12:11:52

11

W nomenklaturze informatycznej również można znaleźć „świąteczne” zwroty.

Christmas tree packet is a packet with every single option set for whatever protocol is in use.
#od0dopentestera #informatyka #it #nauka #technologia #ciekawostki

KacperSzurek - W nomenklaturze informatycznej również można znaleźć „świąteczne” zwro... — źródło: comment_TkN3tsUO0V360mH7B7J3W0bO1Kp3x4jr.jpg
Pobierz

20.12.2018, 08:11:04

18

Poliglota to osoba znająca wiele języków. Ale termin ten ma również znaczenie w odniesieniu do kwestii związanych z bezpieczeństwem.
Dzisiaj w od #od0dopentestera 0dopentestera o plikach polyglot, które przyspieszają testowanie aplikacji internetowych.

Weźmy prosty atak XSS.
Dochodzi do niego jeżeli programista nie będzie odpowiednio filtrował danych pochodzących od użytkownika.
Te dane, mogą być wyświetlane na stronie w różnych miejscach - tak zwanych kontekstach.
Standardowo jeden payload - to jeden kontekst.

Aby

KacperSzurek - Poliglota to osoba znająca wiele języków. Ale termin ten ma również zn...

20.12.2018, 08:12:03

0

Wołam zainteresowanych (28) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut

19.12.2018, 09:47:26

11

CORS – czyli cross-origin resource sharing to mechanizm umożliwiający współdzielenie zasobów pomiędzy serwerami znajdującymi się w różnych domenach.
Zazwyczaj w nagłówku Access-Control-Allow-Origin podajemy adres domeny, która może się łączyć z naszymi zasobami.
Gwiazdka w tym polu oznacza, że zezwalamy na dostęp z każdej domeny.
Czy zatem ustawienie w tym polu wartości null jest prawidłowe i bezpieczne?

#od0dopentestera #security #programista15k #programowanie #informatyka #it #nauka #ciekawostki

KacperSzurek - CORS – czyli cross-origin resource sharing to mechanizm umożliwiający ... — źródło: comment_XDSOQPXteAWWBMumsE6pGeLy7NfUpW3N.jpg
Pobierz

19.12.2018, 10:11:58

1

@matixrr: Przeglądarka ustawia Origin na null jeżeli zapytanie jest wysłane z odpowiednio spreparowanej ramki:

``

Więcej tutaj

19.12.2018, 19:27:06

1

@KacperSzurek: sandbox nie jest konieczny - wystarczy iframe z URL-em typu data:.

13.12.2018, 04:35:03

36

Jak wyglądają realne błędy w aplikacjach?
W dzisiejszym odcinku #od0dopentestera pokażę Ci 4 błędy w oprogramowaniu Kallithea, które umożliwiają dostęp do cudzych danych.

Kallithea to serwer #git napisany w #python

Uprawnienia w całej aplikacji są weryfikowane przy pomocy dekoratorów.

Za każdym razem gdy chcemy sprawdzić czy użytkownik posiada dostęp do danej funkcjonalności - zamiast wywoływać funkcję HasRepoPermission - możemy użyć dekoratorów.

@HasRepoPermissionAllDecorator('repository.admin')
def delete(self, repo_name):

Takie rozwiązanie poprawia czytelność kodu, ale jeżeli

KacperSzurek - Jak wyglądają realne błędy w aplikacjach?
W dzisiejszym odcinku #od0d...

13.12.2018, 04:37:02

2

Wołam zainteresowanych (27) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto

13.12.2018, 09:41:51

2

Takie rozwiązanie poprawia czytelność kodu

@KacperSzurek: takie rozwiązanie, to najczęściej jest odpowiedź na:

#!$%@?, #!$%@?śmy coś w logice aplikacji, ale #!$%@? dekoratory tu i ówdzie, to nie trzeba będzie tego przepisywać.

11.12.2018, 12:41:46

12

Co to jest atak na pomoc techniczną i jak nie dać się nabrać.
Czy kradzież danych z mieszkania przy pomocy żarówek jest możliwa?
Jak wykorzystać Google Translate jako serwer proxy?
Atak gorszy niż spam - email flooding.
Znajdowanie drukarek podpiętych do Internetu przy pomocy serwisu Shodan.

#podcast Szurkogadanie - zestawienie ciekawych informacji o #bezpieczenstwo
Dostępny również na Spotify oraz Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty

KacperSzurek - Co to jest atak na pomoc techniczną i jak nie dać się nabrać.
Czy kra...

11.12.2018, 12:43:36

0

Wołam zainteresowanych (27) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto

konto usunięte 11.12.2018, 12:46:39

12

@KacperSzurek: nie polecam tego podcastu :/ Jeżeli ktoś szuka porządnego szurogadania to powinien raczej sprawdzić pana Kudlińskiego, Chojeckiego, Jabłonowskiego lub ewentualnie niektóre spotkanie w Centrum Edukacyjnym Powiśle. W powyższym podcaście nie ma nic o Żydach, Lechitach ani nawet nie ma jechania po Unii Europejskiej. Dlatego jeśli szukacie szurogadania to absolutnie nie tutaj. To jakieś gadanie o drukarkach z wi-fi. Come on... Można było zrobić program o tym, że przez drukarki służby

09.12.2018, 17:20:02

2

#od0dopentestera Czasami podwójny znak równości w #javascript jest równie nieoczywisty jak == w #php

KacperSzurek - #od0dopentestera Czasami podwójny znak równości w #javascript jest rów... — źródło: comment_bsQXUZKV8Vun2oG0sI2LCwHLnZtL950B.jpg
Pobierz

09.12.2018, 17:27:07

3

@trevoz: Jeśli nie używasz castowania i backend zwraca int / string na zmianę to może się znajdzie xD

09.12.2018, 20:15:45

1

@KacperSzurek: Nie rozumiem co tu jest nieoczywistego?
Sprawdź jaki jest wynik kodu Array(2).toString() i wszystko będzie oczywiste.

07.12.2018, 06:28:43

16

postMessage pozwala na wymienianie danych pomiędzy różnymi domenami przy użyciu #javascript
Dzisiaj w #od0dopentestera o tym, jak sprawdzić źródło wiadomości oraz dlaczego nie używać wyrażeń regularnych do tego celu.

window.addEventListener("message", function(message) {
 alert(message.data);
}

Jeżeli na stronie umieścimy taki kawałek kodu, dowolna inna witryna będzie mogła przesłać do naszej domeny wiadomość i wyświetlić ją użytkownikowi:

document.getElementById("f").contentWindow.postMessage("Wiadomość", "*");
Jest to możliwe ponieważ nie sprawdzamy skąd pochodzi taka wiadomość.
Powinniśmy pozwalać na wykonanie akcji

KacperSzurek - postMessage pozwala na wymienianie danych pomiędzy różnymi domenami pr...

07.12.2018, 07:56:26

1

Sprawdza zatem czy podany tekst znajduje się gdziekolwiek.

if (message.origin.indexOf("www.domena2.local") > 0)

Kod zadziała bo na początku jest jeszcze protokół, ale jeśli sprawdzasz, czy tekst znajduje się gdziekolwiek to powinieneś porównywać > -1:

if (message.origin.indexOf("www.domena2.local") > -1)

"abcd".indexOf("a")
0
"abcd".indexOf("f")
-1

08.12.2018, 23:41:47

2

dlaczego nie używać wyrażeń regularnych do tego celu.

@KacperSzurek: Raczej: "dlaczego należy dobrze wiedzieć jak działa regex gdy się go używa"

03.12.2018, 13:35:47

9

Jak przy pomocy zakupów w supermarketach sprawdzić czy jesteś w ciąży?
Co to jest atak homograficzny na domeny internetowe?
Jak stworzyć odcisk palca pasujący do wielu osób?
Nowa metoda rozpowszechniania złośliwego oprogramowania przy pomocy obrazów iso.
Dlaczego atakujący próbują zdobyć nasze dane do Spotify?

#podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na

KacperSzurek - Jak przy pomocy zakupów w supermarketach sprawdzić czy jesteś w ciąży?...

03.12.2018, 13:37:02

0

Wołam zainteresowanych (27) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.

Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów

Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen

! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto

30.11.2018, 07:39:18

35

Dzisiaj w #od0dopentestera o ataku: Cross-Site Websocket Hijacking na przykładzie #java
Dawniej, aby na stronie treści pojawiały się w czasie rzeczywistym należało z poziomu #javascript co kilka sekund wysyłać żądanie do serwera.
Teraz do tego celu wykorzystuje się websockety.

@ServerEndpoint(value="/endpoint")
public class socketer {
 @OnMessage
 public void onMessage(String message, Session session) {
 session.getBasicRemote().sendText("tajny socket:"+message);
 }
}

Jeżeli coś pojawi się na websockecie - odsyłam tą treść do użytkownika dodając do niej tekst.

KacperSzurek - Dzisiaj w #od0dopentestera o ataku: Cross-Site Websocket Hijacking na ...

30.11.2018, 11:23:12

1

@billy0o: To nie jest atak XSS - zaważ, że nigdzie nie podaje żadnego payloadu, który w jakikolwiek sposób kradł by cokolwiek od użytkownika.

30.11.2018, 12:28:52

0

@billy0o: dokladnie, co ma do tego xss? to wlasnie wykorzystanie cechy websocketu...

26.11.2018, 07:19:05

15

#od0dopentestera Garść #ciekawostki ze świata #bezpieczenstwo.
W tym odcinku:
- jak przestępcy sprzedają noclegi w drogich hotelach wykorzystując punkty lojalnościowe,
- co to jest „swatting” czyli nasyłanie zbrojnych oddziałów policji na swoich znajomych,
- wyłudzanie pieniędzy od przedsiębiorców przy użyciu firm łudząco podobnych do instytucji państwowych,
- dlaczego ta wiadomość jest w folderze „wysłane” - błędne filtrowanie nagłówka „from” w Gmailu,
- jak wykorzystując odpowiednią grafikę przekonać użytkownika iPhone do kupna

KacperSzurek - #od0dopentestera Garść #ciekawostki ze świata #bezpieczenstwo.
W tym ...

26.11.2018, 07:58:47

1

@PiersiowkaPelnaZiol: Ja zajmuje się znajdowaniem błędów głównie w projektach Open Source – a tam zazwyczaj nie ma mowy o żadnych pieniądzach.

PiersiowkaPelnaZiol

26.11.2018, 17:00:17

0

@KacperSzurek: A no tak, to też prawda. Choć nie które oferty na hackerrank widziałem, właśnie w przeszukiwaniu kodu źródłowego.