Bezpieczeństwo IT - Strona 2 z 7

Łamanie PDFa z hasłem w kilka sekund – PZU i ich iluzoryczna ochrona. NN Investment Partners również powiela złe praktyki.

przez Michał | 8 marca, 2022 - 7:22 pm |8 marca, 2022 Bezpieczeństwo IT

Iluzja bezpieczeństwa jest gorsza od świadomości o jego braku, bo prowadzi do decyzji podjętych na błędnych przesłankach. Informacje przekazywane przez instytucje zaufania publicznego typu „Chronimy Twoje dane osobowe” jest często właśnie takową iluzją bezpieczeństwa. Przestudiujmy dwa tego przypadki na przykładzie plików PDF z hasłami. Dostałem maila od PZU z propozycją… Continue reading →

Porady zwiększające bezpieczeństwo w sieci

przez Michał | 10 lutego, 2022 - 6:33 pm |10 lutego, 2022 Bezpieczeństwo IT

Dodaj komentarz

W ostatnim czasie niepokojąco dużo dostaje od was wiadomości z prośbą o pomoc – „ktoś mnie zhakował, co mogę zrobić?”. Pamiętaj, że żadna firma nie będzie dbała o bezpieczeństwo Twoich danych jeżeli nie będzie mieć w tym interesu. To Ty musisz sama/sam o to zadbać. W temacie cyberbezpieczeństwa podobnie jak… Continue reading →

Linki The Hack Summit 2021

przez Michał | 4 listopada, 2021 - 6:55 pm |4 listopada, 2021 Bezpieczeństwo IT

Dodaj komentarz

Co w pentestach piszczy? Przykłady, narzędzia, porady.

Linki do prezentacji z The Hack Summit 2021 Continue reading →

Automatyczne wykrywanie dowolnego ciągu znaków (klucze api, hasła, komunikaty o błędach) – RegexFinder

przez Michał | 19 września, 2021 - 5:28 pm |19 września, 2021 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

BurpSuite mimo bycia najlepszym narzędziem do testów penetracyjnych web aplikacji, z jakim dane mi było pracować, posiada nadal obszary, do rozwoju. Niedawno został on uzupełniony w moduł „Logger”, który de facto działa tak samo co wtyczka „Flow” z której korzystam na codzie. Mianowicie archiwizuje cały ruch przechodzący przez proxy Burpa…. Continue reading →

FFUF i EyeWitness – przyśpieszenie procesu wyszukiwania

przez Michał | 27 lipca, 2021 - 9:59 pm |27 lipca, 2021 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

Sytuacja wygląda następująco — FFUF znalazł kilkadziesiąt/kilkaset „ukrytych” zasobów. Możesz ręcznie kopiować adresy do przeglądarki, żeby sprawdzić każdy z nich pod kątem ciekawych wyników albo nieco zautomatyzować cały proces. Polecam to drugie podejście i podsyłam gotowy skrypt, który część pracy wykona za nas. Pierwszym krokiem do stworzenia użytecznego jedno liniowca… Continue reading →

Eksploitacja XXE arkuszem kalkulacyjnym .XLSX

przez Michał | 12 lipca, 2021 - 9:40 pm |19 lipca, 2021 Bezpieczeństwo IT, Przydasie

1 Comment

Podatność XML External Entity (XXE) polega na tym, że podczas parsowania struktury dokumentu XML zwanej Document Type Definition (DTD) dopuszczone jest definiowanie własnych encji XML-owych. W zależności od silnika przetwarzającego XML-a po stronie serwerowej i konfiguracji środowiska możliwe jest różnorakie wykorzystanie tego typu podatności. Począwszy od listowania katalogów na systemie,… Continue reading →

Wyszukuj/Fuzzuj szybciej z FFUF

przez Michał | 10 czerwca, 2021 - 6:28 pm |10 czerwca, 2021 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

„Niektóre treści na stronach internetowych są pozornie ukryte – to znaczy, że nie posiadając ich adresu, nie jesteśmy w stanie się do nich dostać. Często są to jakieś pozostałości jeszcze z etapu tworzenia aplikacji – programista miał je później usunąć, ale zapomniał ¯\_(ツ)_/¯ .” – to ze wspominek o DIRB…. Continue reading →

Automatyzacja testów przesyłania plików – Upload Scanner

przez Michał | 30 maja, 2021 - 7:30 pm |2 kwietnia, 2022 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

„Unrestricted File Upload” czyli nieograniczone przesyłanie plików należy do mojej ulubionej grupy podatności aplikacji webowych. Spowodowane jest to tym, że jeżeli już uda mi się zlokalizować tego typu błąd bezpieczeństwa, prowadzi on najczęściej do zdalnego przejęcia kontroli nad serwerem. Skoro można przesyłać obrazki to dlaczego by nie spróbować przesłać na… Continue reading →

(nie) Bezpieczeństwo kamer IP

przez Michał | 9 kwietnia, 2021 - 7:20 pm |23 września, 2021 Bezpieczeństwo IT

7 komentarzy

Niedawno w moje ręce wpadła tania chińska kamera IP. Jako że lubię wiedzieć jak dany sprzęt działa, trafiła ona na mój bezpiecznikowy warsztat. Rezultaty poniżej. Co na portach piszczy Szybkie skanowanie nmap-em urządzenia wskazało kilka otwartych portów: Port 80 : Tutaj znajduje się interfejs webowy do zarządzania kamerą. Zabezpieczony jest… Continue reading →

Raport za 0 punktów EY GDS Poland Cybersecurity Challenge via Challenge Rocket

przez Michał | 31 marca, 2021 - 9:35 pm |31 marca, 2021 Bezpieczeństwo IT

Dodaj komentarz

Niniejszy wpis podzielony jest na dwie części. W pierwszej publikuję opis podatności, które udało mi się zidentyfikować w ramach „EY GDS Poland Cybersecurity Challenge”. W drugiej natomiast opisuję moje zastrzeżenia co do formy przeprowadzenia rzeczonego „wyzwania” i oraz wyjaśnienie, dlaczego to robię. Część 1 – wykryte błędy bezpieczeństwa 1. Reflected… Continue reading →

Search for:


Cześć podróżniku!

Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...

Subskrypcja
Otrzymaj listę 15 najbardziej przydatnych narzędzi przy testach penetracyjnych!
Zapisz się i bądź informowany o nowych wpisach (zero spamu! - tylko informacje o nowych artykułach). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)

Subskrypcja

Wspieraj tę stronę