Dodany: 2018-12-11 13:41:46 | Ostatnio wołany: 2018-12-11 13:42:26


Co to jest atak na pomoc techniczną i jak nie dać się nabrać.
Czy kradzież danych z mieszkania przy pomocy żarówek jest możliwa?
Jak wykorzystać Google Translate jako serwer proxy?
Atak gorszy niż spam - email flooding.
Znajdowanie drukarek podpiętych do Internetu przy pomocy serwisu Shodan.

#podcast Szurkogadanie - zestawienie ciekawych informacji o #bezpieczenstwo
Dostępny również na Spotify oraz Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat #security? Zadaj je na grupie od 0 do pentestera na Facebooku.

#od0dopentestera #programowanie #swiat #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-12-07 07:28:43 | Ostatnio wołany: 2018-12-07 07:29:51


postMessage pozwala na wymienianie danych pomiędzy różnymi domenami przy użyciu #javascript
Dzisiaj w #od0dopentestera o tym, jak sprawdzić źródło wiadomości oraz dlaczego nie używać wyrażeń regularnych do tego celu.

window.addEventListener("message", function(message) {
alert(message.data);
}

Jeżeli na stronie umieścimy taki kawałek kodu, dowolna inna witryna będzie mogła przesłać do naszej domeny wiadomość i wyświetlić ją użytkownikowi:

document.getElementById("f").contentWindow.postMessage("Wiadomość", "*");

Jest to możliwe ponieważ nie sprawdzamy skąd pochodzi taka wiadomość.
Powinniśmy pozwalać na wykonanie akcji tylko zaufanym stroną.
W tym celu przeglądarka do każdej wiadomości dodaje pole origin, w którym zawarta jest nazwa domeny próbującej przesłać wiadomość:

if (message.origin == "http://naszadomena.local")

Ale ciągi znaków można sprawdzać na różne sposoby, na przykład przy użyciu wyrażeń regularnych:

if (/^http\/\/www.domena.local$/.test(message.origin))

Łatwo wtedy zapomnieć, że kropka - oznacza dowolny jeden znak.
Aby sprawdzać czy jest tam rzeczywiście kropka - musielibyśmy poprzedzić ją \.
W tym przypadku dane można również wysłać z wwwXdomena.local czy też wwwYdomena.local.

if (message.origin.indexOf("www.domena2.local") > 0)

Funkcja indexOf zwraca offset pod którym odnalazła poszukiwany ciąg.
Sprawdza zatem czy podany tekst znajduje się gdziekolwiek.
Aby obejść ten filtr możemy stworzyć subdomenę: www.domena2.local.innadomena.local

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

Ps. Zapraszam do obserwowania tagu autorskiego #od0dopentestera

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-12-03 14:35:47 | Ostatnio wołany: 2018-12-03 14:36:43


Jak przy pomocy zakupów w supermarketach sprawdzić czy jesteś w ciąży?
Co to jest atak homograficzny na domeny internetowe?
Jak stworzyć odcisk palca pasujący do wielu osób?
Nowa metoda rozpowszechniania złośliwego oprogramowania przy pomocy obrazów iso.
Dlaczego atakujący próbują zdobyć nasze dane do Spotify?

#podcast Szurkogadanie - cotygodniowe zestawienie najciekawszych wiadomości ze świata bezpieczeństwa komputerowego.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

Ps. Zapraszam do obserwowania tagu autorskiego #od0dopentestera

#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-30 08:39:18 | Ostatnio wołany: 2018-11-30 08:46:23


Dzisiaj w #od0dopentestera o ataku: Cross-Site Websocket Hijacking na przykładzie #java
Dawniej, aby na stronie treści pojawiały się w czasie rzeczywistym należało z poziomu #javascript co kilka sekund wysyłać żądanie do serwera.
Teraz do tego celu wykorzystuje się websockety.

@ServerEndpoint(value="/endpoint")
public class socketer {
@OnMessage
public void onMessage(String message, Session session) {
session.getBasicRemote().sendText("tajny socket:"+message);
}
}

Jeżeli coś pojawi się na websockecie - odsyłam tą treść do użytkownika dodając do niej tekst.
Równocześnie mamy stronę, która próbuje się połączyć z endpointem.

var w = new WebSocket('ws://dobradomena.local/endpoint');
w.onmmessage = function(e) {
alert(e.data);
};
w.onopen = function(e) {
w.send('Hej!');
};

Jak działa taka komunikacja?

Nasza strona wysyła żądanie HTTP, w którym informuje, że chce przejść na websockety.
W odpowiedzi, serwer zwraca kod 101 i od tego momentu komunikacja odbywa się na podstawie ramek.

Gdzie jest błąd?

Aby uprościć przykład - nie jest w nim widoczna żadna metoda autoryzacji.
Załóżmy więc, że aby połączyć się z endpointem użytkownik musi posiadać prawidłowe ciasteczko.

Skopiujmy teraz nasz kod i umieśćmy go na innej domenie.
Tam również będzie działał prawidłowo. Dlaczego?

W kodzie #js odnosimy się do dobrejdomeny.
Podczas inicjalizacji połączenia z websocketem najpierw wysyłane jest żądanie HTTP.
Przeglądarka widząc więc dobradomena.local dołączyła do niej pasujące ciasteczko.
Serwer sprawdził ciasteczko i zwrócił odpowiedni socket.
Tym samym zła domena może odczytywać oraz zapisywać do niego dowolne dane.

Atakujący nie musiał posiadać hasła użytkownika.
Wystarczy, że atakowana osoba była wcześniej zalogowana.

Jak zatem uchronić się przed tym atakiem?

Przeglądarka do żądań dodaje również nagłówek origin, w którym zawiera nazwę domeny, od której pochodzi dane zapytanie.
Możemy zatem sprawdzać jego treść po stronie serwera - i weryfikować czy żądanie pochodzi z naszej witryny.
Wtedy - nawet jeżeli ciasteczko jest prawidłowe - a żądanie pochodzi z obcej domeny - będziemy je w stanie rozpoznać.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

Ps. Zapraszam do obserwowania tagu autorskiego #od0dopentestera

#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-26 08:19:05 | Ostatnio wołany: 2018-11-26 08:19:48


#od0dopentestera Garść #ciekawostki ze świata #bezpieczenstwo.
W tym odcinku:
- jak przestępcy sprzedają noclegi w drogich hotelach wykorzystując punkty lojalnościowe,
- co to jest „swatting” czyli nasyłanie zbrojnych oddziałów policji na swoich znajomych,
- wyłudzanie pieniędzy od przedsiębiorców przy użyciu firm łudząco podobnych do instytucji państwowych,
- dlaczego ta wiadomość jest w folderze „wysłane” - błędne filtrowanie nagłówka „from” w Gmailu,
- jak wykorzystując odpowiednią grafikę przekonać użytkownika iPhone do kupna drogiego abonamentu.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku

#podcast #programowanie #informatyka #it #nauka #technologia #security #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-22 06:00:14 | Ostatnio wołany: 2018-11-22 06:01:33


W tym tygodniu w #od0dopentestera trochę nietypowo – dziele się bowiem
moimi notatkami z konferencji Security PWNing 2018.

W ramach tego filmu opisuje 9 prezentacji, w których brałem udział.

Jest to więc skrót tego co można było na niej zobaczyć.

Większość prelekcji była nagrywana, więc jeżeli coś Cię zaciekawi –
nic straconego.

W tym wideo opowiadam o:

- Hackowanie zamków elektronicznych w pokojach na wynajęcie
- Metody ataku na sieci bezprzewodowe w firmach
- Bezpieczeństwo tokenów JWT
- Jak wygląda poszukiwanie błędów w bankach
- Metody oszustw internetowych stosowanych w naszym kraju
- Jak uruchomić plik pod #linux bez zapisywania go na dysk twardy

Jeżeli chcesz być wołany dodaj się do
Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do
pentestera na Facebooku

#programowanie #informatyka #it #nauka #technologia #security
#ciekawostki #warszawa

Przejdź do wpisu

Dodany: 2018-11-19 08:49:40 | Ostatnio wołany: 2018-11-19 08:51:15


Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- podszywanie się pod twórcę Tesli na Twitterze przy użyciu zweryfikowanych kont,
- cookie stuffing czyli jak oszukiwać na afiliacjach w Internecie,
- ile kosztuje oprogramowanie typu ransomware na czarnym rynku,
- co to jest atak supply chain.

Podcast dostępny również na Google i Apple Podcasts

Jeżeli chcesz być wołany dodaj się do Mirkolisty.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku

#od0dopentestera #podcast #programowanie #informatyka #it #nauka #technologia #security

Przejdź do wpisu

Dodany: 2018-11-15 05:10:16 | Ostatnio wołany: 2018-11-15 05:10:42


Jak przekonać użytkownika do usunięcia swojego konta w serwisie internetowym bez jego zgody?
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.

Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
Nie zna bowiem prawidłowej wartości oczekiwanej przez serwer - tak działa mechanizm CSRF (Cross-site request forgery).

HTML pozwala na osadzanie we wnętrzu naszej strony zewnętrznych witryn.
Można tego dokonać przy pomocy tagu IFRAME.
W parametrze src podajemy adres, którego treść ma się u nas pojawić.
Możemy dowolnie modyfikować wielkość osadzonej ramki a także zmieniać jej położenie względem naszej strony

Używając narzędzia Burp Clickbandit możemy spreparować ramkę wyświetlaną na naszej stronie w taki sposób, aby nie była widoczna dla użytkownika.
Jednocześnie - w miejscu przycisku "Usuń konto" pozycjonujemy inną grafikę - na przykład z informacją o wygraniu w loterii.
Teraz wystarczy już tylko przekonać zalogowanego użytkownika do odwiedzenia naszej strony i kliknięcia w interesującą grafikę.

Atakowany, myśli że klika w nią aby odebrać jakąś nagrodę - a tak naprawdę wysyła formularz usunięcia konta na innym serwisie internetowym.
Pod tą grafiką bowiem znajdował się przycisk, wyświetlany poprzez mechanizm iframe.
Użytkownik klikając w grafikę tak naprawdę klikał zatem w ten guzik wysyłając tym samym odpowiedni token do serwera.

Jak obronić się przed tym atakiem?
Jeżeli nie chcesz aby Twoja strona była osadzana przy użyciu mechanizmu ramek - dodaj do niej specjalny nagłówek X-Frame-Options: DENY.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #java #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2018-11-12 09:29:21 | Ostatnio wołany: 2018-11-12 09:29:56


Zestawienie #ciekawostki ze świata #bezpieczenstwo.

W tym odcinku:
- atak na osoby pobierające Chrome przy użyciu reklam w wyszukiwarce Bing,
- jak wyłączyć wszystkie iPhony w danym pomieszczeniu,
- co może zmienić najnowsza wersja projektu reCaptcha,
- urząd skarbowy zastanawia się nad wprowadzeniem technologii rozpoznawania mowy na infolinii podatkowej.

Podcast dostępny również na Google i Apple Podcasts.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#od0dopentestera #podcast #programowanie #informatyka #it #nauka #technologia #security

Przejdź do wpisu

Dodany: 2018-11-08 05:18:44 | Ostatnio wołany: 2018-11-08 05:20:15


Funkcjonalność wysyłania plików to miejsce kluczowe dla bezpieczeństwa.
Dzisiaj w #od0dopentestera omówię rozszerzenia na które warto zwrócić szczególną uwagę.

Jakie formaty graficzne znasz?

ALLOWED_EXTENSIONS = set(['pdf', 'png', 'jpg', 'svg', 'swf', 'jpeg', 'gif'])

Flash lata swojej świetności ma dawno za sobą.
Większość użytkowników kojarzy go z prostych mini gier dostępnych parę lat temu.
Posiada on jednak możliwość wykonywania kodu #javascript.
Jeżeli więc pozwalamy na wysyłkę i wyświetlanie plików swf, musimy liczyć się z konsekwencjami.

Ja użyje pliku xss.swf oraz Internet Explorera.
Dlaczego IE? Chrome od wersji 57 w standardowej konfiguracji nie uruchamia tych plików automatycznie.

xss.swf?a=eval&c=alert(document.domain)

Drugie potencjalnie niebezpieczne rozszerzenie to svg - czyli format grafiki wektorowej.
On również może zawierać w sobie kod #js.
Przykładowy plik można pobrać ze strony Sekuraka.

Jak popularny jest to błąd?
Na wysyłanie plików swf pozwalało DokuWiki czyli prosta alternatywa dla Wikipedii.
Podobna sytuacja z WordPressem.

W przeszłości pliki swf używane były do kopiowania tekstu ze strony do schowka.
Dalej więc na wielu witrynach można odnaleźć podatne pliki.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#python #security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 133
Wołań: 64
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2019-09-17 08:02:44
@KacperSzurek zawołał do wpisu


2019-09-14 08:57:59
@500ml dołączył do listy


2019-09-11 22:50:45
@Qrzysio dołączył do listy


2019-09-11 22:21:36
@sapieha dołączył do listy


2019-09-11 21:36:46
@te1000 dołączył do listy


2019-09-11 21:20:48
@lisek91 dołączył do listy


2019-09-11 11:12:10
@devopsiarz dołączył do listy


2019-09-11 07:35:57
@KacperSzurek zawołał do wpisu


2019-09-04 04:50:05
@KacperSzurek zawołał do wpisu


2019-09-02 10:30:05
@centaurusX dołączył do listy