Większość systemów informatycznych posiada różne rodzaje kont użytkowników. Mamy więc administratorów, redaktorów czy też subskrybentów. Każdy z niech posiada dostęp do różnych miejsc i funkcjonalności. Naszym zadaniem jako pentesterów - jest sprawdzenie, czy wszystko działa jak należy.

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi. Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?

Sporo sklepów umożliwia obniżenie cen produktów przy użyciu kodów rabatowych. Ale jak zaimplementować taką funkcję tak, aby nie można było użyć tego samego kodu dwa razy? Dzisiaj zademonstruje atak race condition z wykorzystaniem narzędzia Turbo Intruder.

Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia.

Błędy typu SQL Injection pozwalają na wykonanie dowolnego zapytania do naszej bazy danych. Ale co jeszcze można uzyskać za ich pomocą?

TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo

Jak wygląda przekręt na pomoc techniczną? Oszustwo z wykorzystaniem zwrotu środków. Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny gov?

Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon. Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony. Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych. Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków.