Biometria jest bezpieczniejsza – o tym jak malware okrada użytkowników Androidów

AndroidAtakOverlayBank

Niniejszy wpis został zainspirowany świetną prezentacją Jana Seredynskiego z THS 2023. Cyberbezpieczeństwo nie jest kwestią binarną – nie istnieją tutaj rozwiązania gwarantujące 100% bezpieczeństwa. W rzeczywistości chodzi bardziej o ocenę ryzyka i wybieranie rozwiązań, które są mniej podatne na ataki. Przykładem takiej oceny w kontekście bankowości jest fakt, że potwierdzanie… Continue reading

Najbardziej przydatne wtyczki do Burp Suite

Burp Suite hacker

Niniejszy wpis jest uzupełnieniem mojej prezentacji w ramach The Hack Summit 2023, gdzie przedstawię, jak za pomocą kilku wtyczek do Burp Suite można przyspieszyć i ułatwić przeprowadzanie testów penetracyjnych aplikacji webowych. Poniżej znajduje się zestawienie najbardziej przydatnych wtyczek do Burp Suite, z których sam korzystam. Część z nich nie jest… Continue reading

Co w pentestach piszczy – przykłady, narzędzia, porady. The Hack Summit 2021

Co w pentestach piszczy - przykłady, narzędzia, porady. The Hack Summit 2021

„Co w pentestach piszczy – przykłady, narzędzia, porady” – prezentacja, którą miałem przyjemność przedstawić w ramach konferencji The Hack Summit 2021. Znajduje się w niej trochę statystyk z testów penetracyjnych, narzędzi, przykładów znalezionych podatności oraz porad jak sobie z nimi radzić.

Turbo Intruder w testowaniu Race Condition

Race condition wielowątkowość

Czy wiesz, że będąc wystarczająco szybkim, możesz wykorzystać lukę, której przy zachowaniu „standardowej” prędkości wysyłania żądań http do serwera nie udałoby się zidentyfikować? Czasami przy szukaniu błędów bezpieczeństwa trzeba zmierzyć się w wyścigu z kodem programisty i serwerem. Race Condition jest typem błędu wynikającym między innymi ze starego podejścia do… Continue reading

HopLa – autouzupełnianie dla Burp Suite

HopLa autouzupełnianie BURP

Wystarczy jedna literówka i payload, który miał zadziałać, nie zadziała. Dobrze jeżeli zostanie to zauważone i poprawione. Nierzadko jednak pewnie w ten sposób dochodzi do sytuacji gdy jakaś podatność nie została wykryta. Kilka dni temu mój kolega Dawid podesłał mi wtyczkę do Burpa, która pomaga przeciwdziałać tego typu wpadkom. HopLa… Continue reading

Łamanie PDFa z hasłem w kilka sekund – PZU i ich iluzoryczna ochrona. NN Investment Partners również powiela złe praktyki.

łamanie pdf z hasłem

Iluzja bezpieczeństwa jest gorsza od świadomości o jego braku, bo prowadzi do decyzji podjętych na błędnych przesłankach. Informacje przekazywane przez instytucje zaufania publicznego typu „Chronimy Twoje dane osobowe” jest często właśnie takową iluzją bezpieczeństwa. Przestudiujmy dwa tego przypadki na przykładzie plików PDF z hasłami. Dostałem maila od PZU z propozycją… Continue reading

Porady zwiększające bezpieczeństwo w sieci

cybercrime

W ostatnim czasie niepokojąco dużo dostaje od was wiadomości z prośbą o pomoc – „ktoś mnie zhakował, co mogę zrobić?”. Pamiętaj, że żadna firma nie będzie dbała o bezpieczeństwo Twoich danych jeżeli nie będzie mieć w tym interesu. To Ty musisz sama/sam o to zadbać. W temacie cyberbezpieczeństwa podobnie jak… Continue reading

Automatyczne wykrywanie dowolnego ciągu znaków (klucze api, hasła, komunikaty o błędach) – RegexFinder

RegexFinder error message

BurpSuite mimo bycia najlepszym narzędziem do testów penetracyjnych web aplikacji, z jakim dane mi było pracować, posiada nadal obszary, do rozwoju. Niedawno został on uzupełniony w moduł „Logger”, który de facto działa tak samo co wtyczka „Flow” z której korzystam na codzie. Mianowicie archiwizuje cały ruch przechodzący przez proxy Burpa…. Continue reading

Jak podnieść swoje bezpieczeństwo w sieci

cyberbezpieczeństwo

Niedawno zostałem zaproszony na kanał 180 stopni do rozmowy, o tym czym zajmuję się zawodowo i bezpieczeństwie naszego cyfrowego życia. Poniżej jest dostępne wideo/podcast będący wynikiem tego dosyć nietypowego spotkania w nagraniowym busie. Jeżeli chciałabyś/chciałbyś dowiedzieć się jak utrudnić życie hackerom i nie zostać ofiarą ich ataków, oraz jakie zagrożenia… Continue reading

Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

1. Przedstawienie Firmy: Opis zakresu działalności wirtualnej firmy Firma  AGD.COM Sp. z o.o. istnieje od roku 1999, prowadząc od początku działalność opartą o dystrybucję sprzętu AGD/RTV. Jako jedna z pierwszych firm na naszym rynku wprowadziła zasadę – „TANIO I SOLIDNIE”. AGD.COM jest dużym dystrybutorem sprzętu AGD/RTV, który posiada hale magazynowe… Continue reading