http://security.szurek.pl/
http://github.com/kacperszurek/
http://twitter.com/KacperSzurek
Sekunda przestępna powodem 100% zużycia CPU.
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail.
Sposób na kradzież pieniędzy od użytkowników ebooków.
Phishing przy pomocy tłumacza Google Translate.
Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł?
Co to jest session replay
- czyli jak śledzić poczynania użytkowników aplikacji mobilnych.
Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie VirusTotal
?
Do czego służy Facebook Custom Audiences a także o programach Bug Bounty.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu pokaż całość
pokaż spoiler @Melisandre @kintoro @Narrorek @Lizbona @nick230 @3denos @lucash9 @SpPin @Kryptonim_Janusz @krypsi @Diablo97 @Dupa01 @Najslabszy_Pingwin_w_Stadzie @Powrocilem-Z-UsunKonto @forsa @norwid2 @zajeli-wszystkie-loginy @H4v3n @RJ45 @CheddarDry @Kszyh @xed2 @Wiejcu @3mpty @terwer358 @mafias @motylanogha @WujekL @nusch @ruinsane @Buffalo @moxie @lasso @Smoczers @vorio @imlmpe @Koszmar_zUo @Zsan @Verbatino @pavbi @behereit @abramakabra @kafapre @Gilbertus
pokaż całość
@Kryptonim_Janusz: Jeżeli wszystko pójdzie zgodnie z planem to kolejne 8 odcinków powinno się pojawiać przez następne 8 tygodni. Zazwyczaj będę je publikował albo w czwartki albo w piątki.
#od0dopentestera Kontynuujemy 10 odcinkowy kurs bezpieczeństwa aplikacji internetowych dla początkujących programistów.
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.
W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostać bezpieczne zapisane na przykład w bazie danych – tutaj kłania się haszowanie przy pomocy funkcji jednokierunkowych wraz z losowymi solami.
Gdy użytkownik posiada już konto – może się zalogować.
Ile razy może błędnie podać swoje dane logowania?
Jak zabezpieczyć się przed botami przy użyciu mechanizmu captchy?
Czy użyty został dodatkowy mechanizm dwuskładnikowego uwierzytelnienia - na przykład przy pomocy kodów SMS?
A może któryś z endpointów API nie wspiera tego mechanizmu co sprawia, że staje się on bezużyteczny?
Gdy dane zostaną już prawidłowo sprawdzone – należy wygenerować identyfikator sesji, na podstawie którego użytkownik będzie rozpoznawany w systemie.
Czy jest on dostatecznie losowy i unikalny?
A może opiera się na mailu lub też innej stałej co może doprowadzić do zalogowania się na konto innego użytkownika?
Zazwyczaj identyfikator ten jest przechowywany w ciasteczkach.
One to powinny mieć ustawioną flagę HttpOnly – tak aby nie można się było do nich dostać z poziomu kodu #javascript.
Na koniec – wylogowanie z systemu powinno być nieodwracalne – to znaczy sesje należy zniszczyć, aby nie można się było przy jej pomocy ponownie zalogować.
A może sesja nie jest niszczona a tylko usuwane jest ciasteczko po stronie użytkownika?
Zapraszam do materiału wideo.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k pokaż całość
pokaż spoiler @sebekk23 @Melisandre @kintoro @Narrorek @Lizbona @nick230 @3denos @lucash9 @SpPin @Kryptonim_Janusz @krypsi @Diablo97 @Dupa01 @Najslabszy_Pingwin_w_Stadzie @Powrocilem-Z-UsunKonto @forsa @norwid2 @zajeli-wszystkie-loginy @H4v3n @RJ45 @CheddarDry @Kszyh @xed2 @Wiejcu @3mpty @terwer358 @mafias @motylanogha @WujekL @nusch @ruinsane @Buffalo @moxie @lasso @Smoczers @vorio @imlmpe @Koszmar_zUo @Zsan @Verbatino @pavbi @behereit @abramakabra
pokaż całość
@bzyku95: Nie mówię tutaj o JWT. Bardziej skupiam się na ogólnych pojęciach niż na szczegółach implementacji.
Jak działa zimny i gorący portfel w odniesieniu do kryptowalut?
Czy Twoja firma przetrwa śmierć kluczowego pracownika? O czynniku autobusowym.
Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów?
Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach.
Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon?
Jak sprawdzić czy legitymacja studencka jest sfałszowana?
O bezpieczeństwie skrótów Siri w iPhone.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.
#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat pokaż całość
Wołam zainteresowanych (91) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
pokaż spoiler @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @Dwarg @umiarkowany_ekstremista @bartex121 @madox @porbono @adrpan @thecar @Ravciu @brudny @luznoluzno @phund @int @tomek4
pokaż całość
pokaż spoiler @sebekk23 @Melisandre @kintoro @Narrorek @Lizbona @nick230 @3denos @lucash9 @SpPin @Kryptonim_Janusz @krypsi @Diablo97 @Dupa01 @Najslabszy_Pingwin_w_Stadzie @Powrocilem-Z-UsunKonto @forsa @norwid2 @zajeli-wszystkie-loginy @H4v3n @RJ45 @CheddarDry @Kszyh @xed2 @Wiejcu @3mpty @terwer358 @mafias @motylanogha @WujekL @nusch @ruinsane @Buffalo @moxie @lasso @Smoczers @vorio @imlmpe @Koszmar_zUo @Zsan @Verbatino @pavbi
pokaż całość
OWASP Top 10 to zbiór dziesięciu najpopularniejszych błędów bezpieczeństwa, które można spotkać na stronach internetowych.
Rozpoczynam nowy cykl filmów właśnie na ten temat w ramach #od0dopentestera
Są one przeznaczone dla szerszego grona #webdev oraz #programista15k a nie tylko osób zajmujących się #bezpieczenstwo
Skupiam się tutaj na ogólnym przedstawieniu koncepcji a nie na szczegółowym wytłumaczeniu każdego z błędów.
Można to więc potraktować jako punkty, na które warto zwrócić uwagę podczas #programowanie
Dzisiaj A1: Injection czyli wstrzyknięcie.
Błędy tego rodzaju powstają jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i trafiają one bezpośrednio do zapytania lub jakiegoś polecenia.
Przy pomocy odpowiednio spreparowanego ciągu znaków atakujący ma możliwość pobrania innych rekordów lub wywołania innych komend niż wcześniej zakładano.
Najczęściej tego rodzaju podatności można spotkać w kodzie odpowiedzialnym za zapytania do różnego rodzaju baz danych.
Mogą one występować również gdy używamy funkcji służących do wykonania komend systemowych.
Kluczowe jest zatem odpowiednie filtrowanie danych pochodzących z zewnątrz.
W odniesieniu do SQL Injection - chodzi tutaj o Prepared Statements
.
Zamiast przekazywać parametry bezpośrednio do zapytania - oznaczamy je zazwyczaj używając pytajnika.
A ich podmianą zajmuje się odpowiednia funkcja, która dba o zabezpieczenie całości.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu pokaż całość
Wołam zainteresowanych (84) z listy od0dopentestera
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
pokaż spoiler @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @Dwarg @umiarkowany_ekstremista @bartex121 @madox @porbono @adrpan @thecar @Ravciu @brudny @luznoluzno @phund @int @tomek4
pokaż całość
pokaż spoiler @sebekk23 @Melisandre @kintoro @Narrorek @Lizbona @nick230 @3denos @lucash9 @SpPin @Kryptonim_Janusz @krypsi @Diablo97 @Dupa01 @Najslabszy_Pingwin_w_Stadzie @Powrocilem-Z-UsunKonto @forsa @norwid2 @zajeli-wszystkie-loginy @H4v3n @RJ45 @CheddarDry @Kszyh @xed2 @Wiejcu @3mpty @terwer358 @mafias @motylanogha @WujekL @nusch @ruinsane @Buffalo @moxie @lasso
pokaż całość
...to tylko najnowsze aktywności użytkownika KacperSzurek
Zobacz wszystkie dodane znaleziska, komentarze i wpisy korzystając z menu powyżej.
Drogi Wykopowiczu
w załączonym linku do Polityki Prywatności przypominamy podstawowe informacje z zakresu przetwarzania danych osobowych dostarczanych przez Ciebie podczas korzystania z naszego serwisu. Zamykając ten komunikat (klikając w przycisk “X”), potwierdzasz, że przyjąłeś do wiadomości wskazane w nim działania.
Polityka plików cookies
Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.