Hackują elektroniczne nianie – omijanie firewalla „to nie bug – to ficzer”

22 czerwca 2018, 10:34 | Aktualności | 1 komentarz
Hackują elektroniczne nianie – omijanie firewalla „to nie bug – to ficzer”

Zaczęło się od ciekawego badania opisanego tutaj. Otóż wielu producentów urządzeń IoT (choćby kamer) daje opcję, która umożliwia bezpośrednie połączenie z Internetu (z serwera backend producenta) bezpośrednio do LAN-u klienta. Nie pomoże firewall blokujący nawiązanie połączenia z zewnątrz, bo odpowiednie pakiety przychodzą komunikacją zwrotną.

Czytaj dalej »

XSS w Google Colaboratory + obejście Content-Security-Policy

19 czerwca 2018, 22:00 | Teksty | komentarzy 6
XSS w Google Colaboratory + obejście Content-Security-Policy

W tekście opisany jest ciekawy XSS znaleziony w lutym 2018 w aplikacji Google Colaboratory. Pokazane jest nie tylko bezpośrednio, gdzie był ten XSS, ale również jakie zostały poczynione próby, by tego XSS-a znaleźć i jakie po drodze były ślepe zaułki. Ponadto, pokazany jest przykład obejścia Content-Security-Policy z użyciem tzw. script gadgets.

Czytaj dalej »

Czym jest Integer Overflow? Definicja / atak / prewencja

13 czerwca 2018, 16:00 | Teksty | komentarzy 12
Czym jest Integer Overflow? Definicja / atak / prewencja

Pamięć komputera jest podzielona na maleńkie rejony – bajty. Jeden bajt to wystarczająca ilość pamięci, żeby przechować literę alfabetu lub małą liczbę. Każdy bajt jest podzielony na osiem mniejszych rejonów – bitów. Nazwa bitu pochodzi od połączenia słów binary digit. Bity można sobie wyobrazić jako przełączniki, które mogą być włączone…

Czytaj dalej »

RODO a gromadzenie danych z wizytówek – spostrzeżenia praktyczne

25 maja 2018, 10:26 | Aktualności | komentarzy 28
RODO a gromadzenie danych z wizytówek – spostrzeżenia praktyczne

Wiele osób zastanawia się – co z tak prozaiczną biznesową czynnością dnia codziennego, jak zbieranie wizytówek naszych partnerów oraz rejestrowanie danych kontaktowych na nich zawartych w kontekście RODO?

Oczywiście, jak w większości praktycznych kwestii trudno doszukiwać się bezpośredniego doregulowania tego zagadnienia w samym rozporządzeniu. Natomiast postaram się podzielić z Wami moimi spostrzeżeniami w tym zakresie oraz wskazać kilka praktycznych rozwiązań, jakie możemy zaimplementować w naszej pracy.

Czytaj dalej »

Bezpieczeństwo API REST – unikalna wiedza od sekuraka

07 maja 2018, 19:07 | Aktualności | komentarze 4
Bezpieczeństwo API REST – unikalna wiedza od sekuraka

Około 40 świeżych, realnych przypadków podatności w API REST (niektóre raptem sprzed miesiąca), rekonesans API, omijanie restrykcji do metod HTTP, niebezpieczeństwa JWT, wycieki kluczy API, ponad 60 punktowa checklista ułatwiająca sprawdzić swoje API pod względem bezpieczeństwa, ćwiczenia warsztatowe – to tylko kilka punktów które realizujemy na naszych warsztatach z bezpieczeństwa API REST.  

Czytaj dalej »
Strona 1 z 4712345...102030...Ostatnia »