Wpisy z tagiem "www"

Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać

Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać

Oczywiście liczymy na to, że nie boicie się pytać, zdajemy sobie też sprawę, że całkiem możliwe, że o błędach SSRF można napisać jeszcze więcej – ale postaraliśmy się je opisać wystarczająco wyczerpująco dla większości czytelników. Zapraszamy do lektury.… Czytaj dalej

Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.… Czytaj dalej

O ciekawym błędzie w serwisie Wykop.pl (i pewnie nie tylko)

O ciekawym błędzie w serwisie Wykop.pl (i pewnie nie tylko)

Jeden z Wykopowiczów odkrył prostą podatność, z której istnienia nie zdaje sobie sprawy część osób zajmujących się zawodowo tworzeniem witryn WWW czy ich bezpieczeństwem. Błąd nie jest krytyczny – ale warto o nim pamiętać.… Czytaj dalej

Dane osobowe i podróże tysięcy klientów LeoExpress były dostępne w sieci

Dane osobowe i podróże tysięcy klientów LeoExpress były dostępne w sieci

W tej historii jest wszystko, czego można oczekiwać po dobrym CSI:Cyber. Niewalidowane tokeny, iteracja po przewidywalnym ID, dane produkcyjne na serwerze testowym, a nawet zawoalowane groźby firmy, której problemy dotyczyły.… Czytaj dalej

Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy

Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy

W wielu miastach popularność zyskują platformy, dzięki którym mieszkańcy mogą wskazywać urzędnikom problemy takie jak popsuta infrastruktura miejska czy przewrócone drzewa. Czasem jednak system ujawnia za dużo danych.… Czytaj dalej

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Poniedziałek z trenerem – modyfikacja jednego parametru za 10 000 dolarów

Kiedy zaczynaliśmy cykl „Poniedziałek z Trenerem” nie byliśmy pewni, czy co tydzień znajdzie się błąd w aplikacji WWW, który można opisać. Tymczasem wygląda na to, że materiału do kolejnych wydań szybko nie zabraknie.… Czytaj dalej

Poniedziałek z trenerem – cztery błędy do zdalnego wykonania kodu

Poniedziałek z trenerem – cztery błędy do zdalnego wykonania kodu

Minęły już czasy, kiedy każdy atak opierał się na wykorzystaniu jednego (często trywialnego) błędu. Dzisiaj, by dostać się do systemu, często trzeba tych błędów znaleźć kilka i sprytnie połączyć w jeden atak. Taki przykład znajdziecie poniżej.… Czytaj dalej

Poniedziałek z trenerem – dwa proste błędy w kodzie Facebooka

Poniedziałek z trenerem – dwa proste błędy w kodzie Facebooka

Nawet firmom bardzo dbającym o kwestie bezpieczeństwa nie jest łatwo ustrzec się błędów w aplikacjach, szczególnie, jeśli aplikacje te są dość rozbudowane. Warto zatem takich błędów szukać – bo można na tym sporo zarobić.… Czytaj dalej

Jak wdrożyć automatycznie odnawiane, darmowe certyfikaty SSL od Let’s Encrypt

Jak wdrożyć automatycznie odnawiane, darmowe certyfikaty SSL od Let’s Encrypt

Kiedyś certyfikaty SSL dla stron WWW były trudne we wdrożeniu i kosztowne, przez co niewiele serwisów ich używało. Dzisiaj większość wymówek już zniknęła – pokażemy Wam jak można mieć swój certyfikat za darmo i bez problemu.… Czytaj dalej

Nowy zin Sekuraka – bezpieczeństwo aplikacji WWW

Nasi przyjaciele z Sekuraka odwalają kawał dobrej roboty i właśnie wydali drugi już numer swojego magazynu poświęconego bezpieczeństwu aplikacji WWW. Jeśli nie czytaliście części pierwszej to znaczy że macie dwie do nadrobienia!

Spis treści wygląda następująco:

  • Mechanizm Service Workers
  • Wszystko o CSP 2.0 – Content Security Policy jako uniwersalny strażnik bezpieczeństwa aplikacji webowej
  • Ochrona podatnych aplikacji webowych za pomocą wirtualnych poprawek w ModSecurity
  • Czym jest atak Padding Oracle
  • Czym jest Bit-Flipping
  • Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu
  • Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych
  • Czym jest i jak wykorzystać podatność Relative Path Overwrite/Path–Relative Style Sheet Import (RPO/PRSSI)
  • Mechanizm HTTP Public Key Pinning

Zapraszamy do lektury.… Czytaj dalej

Jak pewien komercyjny serwis aukcyjny przykłady OWASP Top 10 wdrożył

Jak pewien komercyjny serwis aukcyjny przykłady OWASP Top 10 wdrożył

Gdy ktoś szuka w sieci przykładów błędów w aplikacjach WWW to często musi się trochę napracować. Problem ten postanowiła rozwiązać pewna polska firma, która w swoim serwisie aukcyjnym wdrożyła ich imponującą liczbę.… Czytaj dalej

Świetny materiał Sekuraka na temat bezpieczeństwa aplikacji WWW – polecamy!

Świetny materiał Sekuraka na temat bezpieczeństwa aplikacji WWW – polecamy!

Interesuje Cię bezpieczeństwo aplikacji webowych? Chcesz zacząć je poznawać lub rozwinąć swoją wiedzę i umiejętności? Polecamy w tym celu lekturę świetnie opracowanej paczki materiałów prosto od sprawdzonego dostawcy – Sekuraka.… Czytaj dalej

Offensive HTML, SVG, CSS and other Browser-Evil – szkolenie w Polsce

Offensive HTML, SVG, CSS and other Browser-Evil – szkolenie w Polsce

Zapraszamy naszych Czytelników na ciekawe szkolenie warsztatowe “Offensive HTML, SVG, CSS and other Browser-Evil” prowadzone (po angielsku) przez znanego badacza bezpieczeństwa aplikacji webowych – Mario Heidericha.… Czytaj dalej

Elektroda.pl i Wiocha.pl zainfekowane

Dzisiaj ok. godziny 14 Google uznało, że serwery jednego z największych polskich forów, http://elektroda.pl, rozsiewają złośliwe oprogramowanie. Według wyjaśnień zamieszczonych na forum, początkowo za źródło problemu uznano obrazki zamieszczane w treści postu z zewnętrznego, zainfekowanego serwera dex.net.pl, jednak później okazało się, że źródłem problemów były reklamy na stronie głównej serwowane przez zainfekowany, zewnętrzny system OpenX.… Czytaj dalej

infopraca.pl infekowała odwiedzających

Osoby, które wczoraj lub dzisiaj przed południem odwiedziły serwis infopraca.pl i jednocześnie nie korzystały z przeglądarek ze zaktualizowanymi wtyczkami, mogły paść ofiarą złośliwego oprogramowania.

Obecnie próba wejścia na stronę infopraca.pl owocuje ostrzeżeniem od Google o możliwej infekcji. Analiza kodu strony nie wskazuje na żadne „dodatkowe” atrakcje – być może złośliwy kod został już usunięty. … Czytaj dalej

Strony KWP Szczecin – sześć włamań od początku roku

Strony KWP Szczecin – sześć włamań od początku roku

Jak wiadomo, z zabezpieczeniami serwerów www bywa bardzo różnie. Większość z nich padła lub padnie ofiarą włamywaczy. Co jednak można powiedzieć o serwisie Komendy Wojewódzkiej Policji, do którego ktoś włamuje się średnio co miesiąc?… Czytaj dalej

Nowe standardy bezpieczeństwa dla aplikacji www

Nowe standardy bezpieczeństwa dla aplikacji www

W świecie szybko rozwijających się technologii czasem bezpieczeństwo nie nadąża za funkcjonalnością. Przydają się wtedy standardowe, łatwe do wdrożenia rozwiązania. Właśnie powstala propozycja takiego standardu dla aplikacji www.… Czytaj dalej