XSS Omijanie filtrów

XSS Omijanie filtrów Przy wielu projektach pentesterskich trafiamy na różnego rodzaju sposoby ochrony przed atakami Cross-Site Scripting. Nie zapominajmy jednak, że ataki można przeprowadzać na wiele różnych sposobów – począwszy od łączenia parametrów wyświetlanych na podatnej stronie, kończąc na stosowaniu specjalnych operatorów dostępnych w samym środowisku JS. Poniżej zaprezentowane są przykłady automatycznie wykonywach payloadów XSS […]

Race Condition plus LFI dla serwerów Windows i PHP

Race Condition plus LFI dla serwerów Windows i PHP Zacznijmy od początku, atak Race Condition polega na wykonaniu złośliwej akcji przed warunkiem sprawdzającym jej poprawność (np. pod kątem bezpieczeństwa). Załóżmy, że istnieje aplikacja bankowa, która pozwala na wykonanie przelewu. Ustalmy, że posiadamy na koncie 1000 PLN, wykonując pojedynczy przelew na taką kwotę, kolejny nie powinien się […]

PHP Shell Bypass

PHP Shell Bypass Testując bezpieczeństwo aplikacji internetowych, często udaje się uzyskać dostęp do kodu PHP (PHP Code Injection/PHP Object Injection). Audytor zazwyczaj powinien wtedy spróbować eskalować w celu uzyskania uprawnień do wywołania komend systemowych. W tym celu najprostszym rozwiązaniem może być użycie polecenia: exec(’pwd’); Komenda pwd ma tylko ujawnić aktualną ścieżkę (demo). Jeżeli środowisko jest […]

Chat GPT wsparcie, czy zagrożenie…

CHAT GPT WSPARCIE, CZY ZAGROŻENIE… Chat GPT, czyli zaawansowany system sztucznej inteligencji, może stanowić nieocenione wsparcie dla tworzenia narzędzi przydatnych w pracy testera penetracyjnego. Dzięki tej technologii możliwe jest generowanie realistycznych scenariuszy ataków, które mogą być wykorzystane w procesie testowania systemów pod kątem bezpieczeństwa. Chat GPT może być wykorzystany do automatycznego generowania kodu skryptów testowych, […]

Mega Sekurak Hacking Party 2020 Kraków

Mega Sekurak Hacking Party 2020 Kraków Dnia 16 Marca 2020 roku odbędzie się kolejne wydarzenie z serii Mega Sekurak Hacking Party, na którym, tym razem nasz konsultant będzie prowadzić prezentację pod tytułem „Kto to Panu tak…. napisał – przykład ciekawej aplikacji desktopowej”. Gorąco zapraszamy do udziału w wydarzeniu – agenda poniżej: Michał Bentkowski – jak atakować przeglądarki / […]

Confidence 2018 Kraków

Confidence 2018 Kraków W dniach 04-06.06.2018, w Krakowie odbyła się impreza zrzeszająca pasjonatów bezpieczeństwa IT – Confidence.Wiele prelekcji zostało przekazanych w przystępnej formie, tak aby materiał został przyswojony nawet osobom nietechnicznym. Podczas konferencji można było spotkać wiele znanych osób z branży oraz wziąć udział w różnych CTF’ach, czy zadaniach np. wykonanie ataku Cross-Site Scripting, za pomocą […]