W tym tygodniu w #od0dopentestera trochę nietypowo – dziele się bowiem
moimi notatkami z konferencji Security PWNing 2018.

W ramach tego filmu opisuje 9 prezentacji, w których brałem udział.

Jest to więc skrót tego co można było na niej zobaczyć.

Większość prelekcji była nagrywana, więc jeżeli coś Cię zaciekawi –
nic straconego.

W tym wideo opowiadam o:

- Hackowanie zamków elektronicznych w pokojach na wynajęcie
- Metody ataku na sieci bezprzewodowe wPokaż całość

Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- podszywanie się pod twórcę Tesli na Twitterze przy użyciu zweryfikowanych kont,
- cookie stuffing czyli jak oszukiwać na afiliacjach w Internecie,
- ile kosztuje oprogramowanie typu ransomware na czarnym rynku,
- co to jest atak supply chain.

Podcast dostępny również na Google i Apple Podcasts

Jeżeli chcesz być wołany dodaj się do Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je naPokaż całość

Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.

Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
Nie zna bowiem prawidłowej wartości oczekiwanej przez serwer - takPokaż całość

Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- atak na osoby pobierające Chrome przy użyciu reklam w wyszukiwarce Bing,
- jak wyłączyć wszystkie iPhony w danym pomieszczeniu,
- co może zmienić najnowsza wersja projektu reCaptcha,
- urząd skarbowy zastanawia się nad wprowadzeniem technologii rozpoznawania mowy na infolinii podatkowej.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na tematPokaż całość

Funkcjonalność wysyłania plików to miejsce kluczowe dla bezpieczeństwa.
Dzisiaj w #od0dopentestera omówię rozszerzenia na które warto zwrócić szczególną uwagę.

Jakie formaty graficzne znasz?

ALLOWED_EXTENSIONS = set(['pdf', 'png', 'jpg', 'svg', 'swf', 'jpeg', 'gif'])
Flash lata swojej świetności ma dawno za sobą.
Większość użytkowników kojarzy go z prostych mini gier dostępnych parę lat temu.
Posiada on jednak możliwość wykonywania kodu #javascript.
Jeżeli więc pozwalamy na wysyłkę i wyświetlanie plików swf, musimy liczyćPokaż całość

Zestawienie najciekawszych #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- czy sprzedał byś swoje dane za kubek ciepłej kawy,
- czytajmy regulaminy - sprzątanie toalet za darmowe WIFI,
- dlaczego twórcy aplikacji mobilnych śledzą proces deinstalacji,
- jak rozpoznawanie twarzy jest wykorzystywane w Chinach.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupiePokaż całość

Dzisiaj w #od0dopentestera o Reflected File Download.
Błąd ten występuje zazwyczaj w endpointach jsonp, kiedy nie sprawdzamy nazwy callbacku.
Przy jego pomocy możemy pobrać plik o dowolnym rozszerzeniu i z kontrolowaną przez nas treścią.
Załóżmy, że posiadamy API, które zwraca bieżący czas jako json i chcemy pobrać te dane przy pomocy #javascript
Przeglądarki nie pozwalają na wysłanie żądania ajax do innej domeny, chroni przed tym mechanizm Same Origin Policy.

header('Content-Type: application/json');
header("Content-Disposition:Pokaż całość

Garść #ciekawostki ze świata #security - #podcast Szurkogadanie.
Tym razem:
- kto ma dostęp do rejestru PESEL,
- fałszywe karty graficzne podbijają serwisy aukcyjne,
- malware na platformę KODI,
- co spowodowało błąd w jQuery File Upload.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#Pokaż całość

Często korzystając z serwisów internetowych spotykamy się przekierowaniami.
Jeżeli część zasobów witryny dostępna jest tylko dla zalogowanych użytkowników - po przejściu na taką podstronę jako niezalogowana osoba jesteśmy, przekierowywani do formularza logowania.
W adresie URL możemy dostrzec parametry nazwane redirect czy też next, wskazujące na podstronę, która ma się wyświetlić po zalogowaniu.

Dzisiaj w #od0dopentestera, krótki przykład w #java symulujący tą funkcjonalność:

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

public classPokaż całość

#ciekawostki o #security - #podcast Szurkogadanie
W tym odcinku:
- metody ataków na systemy bezkluczykowe w samochodach,
- dlaczego radio bluetooth może być niebezpieczne,
- jak oszukać automaty na napoje używając wirtualnych portfeli NFC,
- oraz jak dzieci hackują komputery rodziców.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#od0dopentestera #informatyka #it #nauka #technologia

Funkcji assert używamy głównie podczas debugowania kodu – aby sprawdzić, czy wyrażenie jest prawdziwe.
Tym razem w #od0dopentestera o tym, dlaczego przekazywanie parametrów od użytkownika do tej konstrukcji w #php jest niebezpieczne.
Film jest nieco dłuższy niż zazwyczaj ponieważ rozwiązuje w nim zadanie Baby PHP z Hack.lu CTF 2018.

Oprócz funkcji assert() dowiesz się tam również:
- o nietypowym użyciu file_get_contents,
- dlaczego nie przekazywać array() do sha1(),
-Pokaż całość

Czy eksportowanie plików CSV ze strony internetowej może być niebezpieczne?
Dzisiaj w #od0dopentestera o CSV Injection czyli wykonaniu kodu przy użyciu Excela.

Każdy arkusz kalkulacyjny posiada wbudowane funkcje, które upraszczają prowadzenie rachunkowości.
Oprócz matematycznych operacji możemy dla przykładu stworzyć odnośnik do strony internetowej:

=HIPERŁĄCZE("[https://szurek.pl](https://szurek.pl)"; "Moja strona")
#excel pozwala także na wykonywanie zewnętrznych programów przy pomocy dynamicznej wymiany danych - DDE.
Jeżeli więc strona internetowa posiada funkcjonalność eksportu do CSV i przekonamy użytkownikaPokaż całość

Najciekawsze newsy o bezpieczeństwie – #podcast Szurkogadanie.

Dzisiaj o:
- jak firmy próbują usunąć kompromitujące dla siebie materiały przy pomocy fałszywych wezwań DMCA,
- co to są honey-tokeny i jak przy ich pomocy wykryć włamanie do naszej infrastruktury,
- dlaczego warto wyłączyć pocztę głosową u naszego operatora – o przejmowaniu kont WhatsApp,
- oraz jak przy pomocy platformy Webex dotrzeć do CEO największych firm na świecie.

Jeżeli materiały w tym stylu CiPokaż całość

Sporo programistów #python wie, aby nie używać pickle na danych od użytkownika ponieważ podczas ich deserializacji może dojść do ataku object injection i wykonania złośliwego kodu.
Ale co z innymi formatami? Czy również są niebezpieczne?
W kolejny odcinku #od0dopentestera o plikach yaml.

import yaml
with open("test.yaml", "r") as s:
y = yaml.load(s)
print y['imie']
Format yaml nie jest tak prosty jak mogło by się wydawać.
W standardowym użyciu sam rozpoznaje onPokaż całość

Każdy #programista15k przynajmniej raz w swoim życiu spotkał się z terminem XSS - czyli wykonaniem kodu #javascript w przeglądarce.
Ale czy można przeprowadzić taki atak bez użycia tagu html?
O tym w dzisiejszym odcinku #od0dopentestera

< ?php
$s = str_replace('<', '<', $ _GET['s']);
echo str_replace('>', '>', $s);
?>
Przy pomocy funkcji #php str_replace zamieniam tutaj wszystkie znaki większości oraz mniejszości na odpowiadające im encję.
Symuluje zatem wykonanie funkcji htmlspecialchars.
Dzięki temuPokaż całość

Nowości ze świata bezpieczeństwa komputerowego w formie #podcast - Szurkogadanie
W tym odcinku:
- phising na użytkowników Steam przy pomocy fałszywego obrazka logowania – czyli o ataku picture in picture
- do czego nie używać serwisu Trello – o wyciekach danych z publicznie dostępnych tablic
- czy menadżery haseł na Androida są bezpieczne – jak aplikacje z fałszywym identyfikatorem mogą wykraść nasze hasła
- dlaczego Facebook zresetował tokeny dostępowe 50 milionom użytkownikówPokaż całość

Generowanie wartości losowych w komputerze nie jest tak proste jak rzut kostką w rzeczywistości.
Dlaczego więc nie warto używać Random w #java ? #od0dopentestera

Każdy szanujący się serwis posiada funkcjonalność resetowania hasła.
Użytkownik podaje na stronie swój adres email powiązany z kontem.
W tym momencie serwer sprawdza czy taki użytkownik istnieje w bazie danych.
Jeśli tak - generuje unikalny ciąg, który jest następnie zapisywany i wysyłany w emailu.
Następnie użytkownik odczytuje emailPokaż całość

W czasach spaghetti code warstwa aplikacji przeplatała się z warstwą widoku czyniąc kod trudnym do utrzymania.
Obecnie używamy zaawansowanych silników szablonów np. Jinja2.
Można powiedzieć, że silniki te same w sobie są swego rodzaju językami programowania.
Umożliwiają bowiem dostęp do wielu potencjalnie niebezpiecznych czynności.
Dzisiaj w #od0dopentestera o SSTI czyli Server-Side Template Injection.

imie = request.values.get('imie')
return Jinja2.from_string('Hej ' + imie).render()
Pobieramy tutaj parametr imie a następnie wyświetlamy go używając funkcji from_stringPokaż całość

Dzisiaj w #od0dopentestera różnica pomiędzy escapeshellcmd oraz escapeshellarg.
Wywoływanie systemowych komend z poziomu #php brzmi jak proszenie się o kłopoty:

$komenda = 'wget --directory-prefix=..\temp '.$url;
system(escapeshellcmd($komenda));
Ten kod umożliwia pobranie treści dowolnej strony internetowej do katalogu temp.
#programista użył jednak błędnej funkcji.

escapeshellcmd zapewnia, że wykonana zostanie tylko jedna komenda.
Ale - komenda ta może zawierać nieskończoną liczbę parametrów.
Atakujący może zatem podać kolejny parametr --directory-prefix wskazujący na inny katalog.Pokaż całość

Jak co tydzień w #od0dopentestera #podcast Szurkogadanie – czyli przegląd najciekawszych informacji z branży bezpieczeństwa.
W tym odcinku:
- jeżeli używasz ekranu dotykowego i #windows Twoje hasła i prywatne wiadomości mogły zostać zapisane do pliku waitlist.dat aby usprawnić rozpoznawanie tekstu pisanego

- atak na serwer www przy użyciu funkcji eksportu do PDF – opowieść o tym dlaczego warto monitorować zewnętrzne biblioteki używane w naszym oprogramowaniu

- jak Amazon radzi sobie ze kradzieżąPokaż całość