CSP Evaluator – czy Twoja polityka CSP jest bezpieczna?

csp evaluator

CSP (Content Security Policy) jest mechanizmem bezpieczeństwa zaimplementowanym we wszystkich współczesnych popularnych przeglądarkach internetowych. Jego głównym celem jest ochrona przed atakami działającymi po stronie frontendu – w szczególności przed podatnościami typu XSS. Pewne powszechne błędy popełniane przy tworzeniu polityki CSP powodują możliwość jej obejścia. Aby upewnić się, że takowych nie… Continue reading

Ukryte treści – czy wiesz czego szukać? Gotowy dobry słownik.

słowniki

Narzędzia służące do enumeracji takie jak DIRB wymagają do swojego działania specjalnie przygotowanego słownika zawierającego czasami setki tysięcy najpopularniejszych nazw folderów i plików. Technologie wykorzystywane w IT ciągle się zmieniają, a wraz z nimi ścieżki do pozornie ukrytych treści. Aby skutecznie przeprowadzać ataki polegające na enumeracji, trzeba takowy słownik ciągle… Continue reading

PassiveTotal – znajdź ukryte poddomeny

passive total lista subdomen

Podczas brania udziału w bug bunty czy też testów penetracyjnych -niezwykle istotne jest pozyskanie jak największej ilości informacji o celu swojego ataku. Nazywamy to fazą rekonesansu. Czasami ciekawe efekty można uzyskać poprzez odwołanie się do starych, zapomnianych lub z pozoru ukrytych domen, poddomen czy też adresów IP. Ślepe strzelanie w… Continue reading

Przykładowa polityka haseł

polityka haseł

Poniższa przykładowa polityka haseł bierze pod uwagę stan wiedzy na temat wydajności i możliwości różnego rodzaju ataków na systemy kryptograficzne w 2020 roku. W miarę możliwości będę starał się ja uaktualniać (gdy okaże się, że jest już za słaba). Statyczne hasła w systemach IT powinny: być długości nie mniejszej niż… Continue reading

Serpico – zautomatyzuj pisanie raportów

serpico

Chyba większość pentesterów na pytanie, “za czym najmniej przepada w testach penetracyjnych?” – zgodnie odpowie, że za pisaniem raportów z tychże testów. Jest to dość żmudny proces, zajmujący wiele czasu i wymagający opisania znalezionych podatności pod kątem różnego rodzaju odbiorców. Pisałem o tym tutaj – “Jak powinien wyglądać dobry raport… Continue reading

LinEnum czyli znajdź dziurę w Linuxie i eskaluj swoje uprawnienia

linenum

Umiejętność eskalacji uprawnień to kompetencja niezbędna w pracy każdego dobrego hakera. Sam w sobie jest to często dosyć czasochłonny proces i w miarę możliwości warto go automatyzować. Z pomocą przychodzi nam tutaj skrypt LinEnum.sh – niezwykle przydatny przy eskalacji uprawnień w systemach Linux. Eskalacja uprawnień polega na wykorzystaniu określonych podatności… Continue reading

Drukarze dla szpitali czyli niezwykła akcja w walce z pandemią koronawirusa

Jak wszyscy wiemy epidemia COVID-19 w naszym kraju przyśpiesza. Aby nie powtórzył się u nas tragiczny scenariusz, który obserwujemy we Włoszech jeżeli tylko możemy – zostańmy w domu. W odpowiedzi na apel dotyczącym ogromnych braków w sprzęcie ochronnym szpitali, placówek medycznych oraz innych służb publicznych organizowane są różnego rodzaju akcje… Continue reading

Fiberlogy PP Polipropylen ustawienia dla Prusy MK3/MK3S

Fiberlogy PP Polipropylen ustawienia dla Prusy MK3/MK3S

Szukając informacji o profilach druku dla nowego materiału fiberlogy nie trafiłem na żaden gotowy przeznaczony do Prusy MK3/MK3S więc stworzyłem własny i dziele się nimi z każdym kto takowego szuka. Jako, że polipropylen posiada duży skurcz i klei się dobrze jedynie właściwie sam do siebie, niezbędne jest przy drukowaniu pokrycie… Continue reading

Retire.js – odpowiedź na pytanie czy nie używasz przestarzałych komponentów

komponenty ze znanymi podatnościami

Ręczne przekopywanie się przez kod źródłowy w celu identyfikacji wszystkich przestarzałych i podatnych na atak bibliotek naszej aplikacji webowej jest ogromnie czasochłonne. Możemy to zadanie nieco zautomatyzować za pomocą narzędzia Retire.js. Jest ono dostępne zarówno z poziomu przeglądarki (Chrome, Firefox) jak i wtyczki do Burpa. „Używanie komponentów ze znanymi podatnościami”… Continue reading

Litofan czyli sposób na unikalny prezent

litofan lampka

Jak możemy przeczytać na stronie wikipedii pierwsze litofany (ang. lithophane, a z greckiego: λίθος – kamień i φαίνειν – dający widoczność) powstały już w XVIII wieku. Mi one kojarzą się z okiennymi witrażami, ale dzięki swojej trójwymiarowej strukturze są w stanie przedstawić dużo realniejszy obraz. Światło przechodzące przez jego warstwy… Continue reading