Recent searches

No recent searches

Search options

Only available when logged in.
101010.pl is one of the many independent Mastodon servers you can use to participate in the fediverse.
101010.pl czyli najstarszy polski serwer Mastodon. Posiadamy wpisy do 2048 znaków.

Administered by:

Server stats:

487
active users

101010.pl: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.5.0-alpha.1

#websec

1 post1 participant0 posts today
sekurak News

Łatajcie szybko swoje Sharepointy – aktywnie wykorzystywana krytyczna podatność

Zanim przejdziecie do dalszej lektury tego krótkiego newsa, zalecamy abyście zainstalowali KB5002754 (Microsoft SharePoint Server 2019), lub KB5002768 (Microsoft SharePoint Subscription Edition). Dla wersji Server 2016 nie ma jeszcze aktualizacji. Producent zaleca rotację kluczy (po łatce). Kompleksowy skrót informacji został opublikowany na stronie CISA. To teraz na spokojnie, co się...

#WBiegu #Deserializacja #Microsoft #Podatność #Rce #Sharepoint #Websec

sekurak.pl/latajcie-szybko-swo

Sekurak · Łatajcie szybko swoje Sharepointy - aktywnie wykorzystywana krytyczna podatnośćZanim przejdziecie do dalszej lektury tego krótkiego newsa, zalecamy abyście zainstalowali KB5002754 (Microsoft SharePoint Server 2019), lub KB5002768 (Microsoft SharePoint Subscription Edition). Dla wersji Server 2016 nie ma jeszcze aktualizacji. Producent zaleca rotację kluczy (po łatce). Kompleksowy skrót informacji został opublikowany na stronie CISA. To teraz na spokojnie, co się...
sekurak News

Fortinet FortiWeb Fabric Connector i podatności z lat 90’

Nie wiemy jaką dokładnie wartość wskazywał licznik odliczający dni od ostatniej krytycznej podatności w produktach firmy Fortinet, ale w redakcji, mamy wrażenie, że panowie z WatchTowr trzymają tabliczkę z cyfrą “0” w pogotowiu. Tym razem legendarny SinSinology zaprezentował załatanego i krytycznego n-daya w produkcie FortiWeb Fabric Connector – błąd klasy...

#WBiegu #FabricConnector #Fortinet #Podatność #Rce #SQLInjection #Websec

sekurak.pl/fortinet-fortiweb-f

Sekurak · Fortinet FortiWeb Fabric Connector i podatności z lat 90’Nie wiemy jaką dokładnie wartość wskazywał licznik odliczający dni od ostatniej krytycznej podatności w produktach firmy Fortinet, ale w redakcji, mamy wrażenie, że panowie z WatchTowr trzymają tabliczkę z cyfrą “0” w pogotowiu. Tym razem legendarny SinSinology zaprezentował załatanego i krytycznego n-daya w produkcie FortiWeb Fabric Connector – błąd klasy...
sekurak News

Podatności w Sitecore – badacze obnażają poziom bezpieczeństwa CMS dla biznesu

Po raz kolejny na naszych łamach gości watchTowr oraz znakomity Piotr Bazydło. Musimy przyznać, że w redakcji bardzo cenimy sobie techniczne writeupy okraszone uszczypliwym dowcipem. Tym razem przytaczamy bardzo dobry opis podatności w systemie zarządzania treścią (ang. content management system – CMS) Sitecore, który wykorzystywany jest głównie przez duże firmy...

#WBiegu #Cms #Podatność #Sitecore #Websec

sekurak.pl/podatnosci-w-siteco

Sekurak · Podatności w Sitecore - badacze obnażają poziom bezpieczeństwa CMS dla biznesuPo raz kolejny na naszych łamach gości watchTowr oraz znakomity Piotr Bazydło. Musimy przyznać, że w redakcji bardzo cenimy sobie techniczne writeupy okraszone uszczypliwym dowcipem. Tym razem przytaczamy bardzo dobry opis podatności w systemie zarządzania treścią (ang. content management system – CMS) Sitecore, który wykorzystywany jest głównie przez duże firmy...
sekurak News

Zdalne wykonanie kodu bez uwierzytelnienia na Centosie – panel CWP

CentOS Web Panel to darmowe rozwiązanie dostępne na systemach z rodziny CentOS (lub korzystających z RPM), składające się właściwie z dwóch elementów. Oferuje interfejs administratorski do zarządzania serwerem, konfiguracji usług takich jak serwery WWW, poczty e-mail czy DNS. Oprócz tego, na innym porcie udostępniany jest drugi panel dla użytkowników końcowych,...

#WBiegu #Authbypass #Centos #CommandInjection #Cwp #Rce #Websec

sekurak.pl/zdalne-wykonanie-ko

Sekurak · Zdalne wykonanie kodu bez uwierzytelnienia na Centosie - panel CWPCentOS Web Panel to darmowe rozwiązanie dostępne na systemach z rodziny CentOS (lub korzystających z RPM), składające się właściwie z dwóch elementów. Oferuje interfejs administratorski do zarządzania serwerem, konfiguracji usług takich jak serwery WWW, poczty e-mail czy DNS. Oprócz tego, na innym porcie udostępniany jest drugi panel dla użytkowników końcowych,...
sekurak News

Masz wystawioną do Internetu Grafanę? Lepiej do niej zerknij… możliwe przejęcie konta

Grafana to otwartoźródłowa platforma do analizy i prezentacji danych, szeroko stosowana nie tylko w IT. Pozwala tworzyć panele prezentujące różne metryki, co powoduje, że jest popularnym rozwiązaniem wśród inżynierów IT i adminstratorów. Użytkownikom “domowym” może być znana między innymi z paneli prezentujących informacje udostępniane przez urządzenia klasy smart home (np....

#WBiegu #AccountTakeover #Grafana #Js #Openredirect #Websec #XSS

sekurak.pl/masz-wystawiona-do-

Sekurak · Masz wystawioną do Internetu Grafanę? Lepiej do niej zerknij… możliwe przejęcie kontaGrafana to otwartoźródłowa platforma do analizy i prezentacji danych, szeroko stosowana nie tylko w IT. Pozwala tworzyć panele prezentujące różne metryki, co powoduje, że jest popularnym rozwiązaniem wśród inżynierów IT i adminstratorów. Użytkownikom “domowym” może być znana między innymi z paneli prezentujących informacje udostępniane przez urządzenia klasy smart home (np....
sekurak News

Ataki na popularne routery TP-Link

Cybersecurity and Infrastructure Security Agency (CISA) dodała informację o atakach na routery TP-Link do katalogu znanych, wykorzystywanych podatności (baza KEV). Wszystko za sprawą podatności oznaczonej symbolem CVE-2023-33538, która pozwala na wstrzykiwanie poleceń. Routery TP-Link TL-WR841N oraz TL-WR740N czyli popularne “mydelniczki” zdobyły popularność w Polsce z uwagi na niewygórowaną cenę oraz dobry stosunek jakości...

#WBiegu #Cve #Iot #Router #Websec

sekurak.pl/ataki-na-popularne-

Sekurak · Ataki na popularne routery TP-LinkCybersecurity and Infrastructure Security Agency (CISA) dodała informację o atakach na routery TP-Link do katalogu znanych, wykorzystywanych podatności (baza KEV). Wszystko za sprawą podatności oznaczonej symbolem CVE-2023-33538, która pozwala na wstrzykiwanie poleceń. Routery TP-Link TL-WR841N oraz TL-WR740N czyli popularne “mydelniczki” zdobyły popularność w Polsce z uwagi na niewygórowaną cenę oraz dobry stosunek jakości...
sekurak News

Krytyczna podatność w Cisco ISE – “losowe” poświadczenia nie do końca losowe

Cisco ISE (Identity Services Engine) to rozwiązanie łączące cechy NAC (Network Access Control) i AAA (Authentication, Authorization, and Accounting) – pozwala na realizację polityk dostępu do sieci oraz segmentację. Występuje zarówno w wersjach on-prem oraz cloud.  04 czerwca 2025, w biuletynie producenta, pojawiła się informacja o krytycznej podatności oznaczonej jako...

#WBiegu #Cisco #Ise #Podatność #Websec

sekurak.pl/krytyczna-podatnosc

Sekurak · Krytyczna podatność w Cisco ISE – “losowe” poświadczenia nie do końca losoweCisco ISE (Identity Services Engine) to rozwiązanie łączące cechy NAC (Network Access Control) i AAA (Authentication, Authorization, and Accounting) – pozwala na realizację polityk dostępu do sieci oraz segmentację. Występuje zarówno w wersjach on-prem oraz cloud.  04 czerwca 2025, w biuletynie producenta, pojawiła się informacja o krytycznej podatności oznaczonej jako...
sekurak News

Uwaga na ataki na polskie serwery ~poczty. Można jednym złośliwym mailem przejąć cały serwer (Roundcube)

CERT Polska ostrzega o aktywnym ataku, celującym w niezaktualizowane oprogramowanie Roundcube (webmail – czyli klient poczty elektronicznej w przeglądarce). Podatność CVE-2024-42009 wykorzystywana jest grupę hackerską związaną z rządem Białorusi. Do udanego ataku wystarczy otworzenie złośliwego maila w przeglądarce (Roundcube). Nie trzeba nawet otwierać / pobierać żadnych załączników. CERT Polska ostrzega...

#WBiegu #Apt #Cert #Rce #Roundcube #Webmail #Websec

sekurak.pl/uwaga-na-ataki-na-p

Sekurak · Uwaga na ataki na polskie serwery ~poczty. Można jednym złośliwym mailem przejąć cały serwer (Roundcube)CERT Polska ostrzega o aktywnym ataku, celującym w niezaktualizowane oprogramowanie Roundcube (webmail – czyli klient poczty elektronicznej w przeglądarce). Podatność CVE-2024-42009 wykorzystywana jest grupę hackerską związaną z rządem Białorusi. Do udanego ataku wystarczy otworzenie złośliwego maila w przeglądarce (Roundcube). Nie trzeba nawet otwierać / pobierać żadnych załączników. CERT Polska ostrzega...
sekurak News

Jak źli hakerzy atakują internetowe fora? Groźne podatności vBulletin i polski wątek

Fora internetowe, chociaż lata świetności mają już za sobą, wciąż stanowią nieodłączny element krajobrazu Internetu. Mimo olbrzymiej ofensywy przeprowadzonej przez social media, na rynku można znaleźć kilka silników forumowych, znanych od lat. Utrzymanie takich platform z zachowaniem najlepszych praktyk bezpieczeństwa wymaga od administratorów tak oczywistych akcji jak np. przeprowadzanie regularnych...

#WBiegu #Nuclei #Podatność #Rce #Vbulletin #Websec

sekurak.pl/jak-zli-hakerzy-ata

Sekurak · Jak źli hakerzy atakują internetowe fora? Groźne podatności vBulletin i polski wątekFora internetowe, chociaż lata świetności mają już za sobą, wciąż stanowią nieodłączny element krajobrazu Internetu. Mimo olbrzymiej ofensywy przeprowadzonej przez social media, na rynku można znaleźć kilka silników forumowych, znanych od lat. Utrzymanie takich platform z zachowaniem najlepszych praktyk bezpieczeństwa wymaga od administratorów tak oczywistych akcji jak np. przeprowadzanie regularnych...
sekurak News

Zdalne wykonanie kodu bez uwierzytelnienia – Ivanti Endpoint Manager Mobile

Ivanti to jedna z tych firm, która często gości na łamach portalu sekurak.pl. Dzieje się tak za sprawą ogromnego zainteresowania ze strony badaczy bezpieczeństwa, ale także i cyberprzestępców, co przekłada się na stosunkowo dużą liczbę ujawnionych błędów (nie bez winy jest fakt, że rozwiązania bezpieczeństwa – chociaż Ivanti nie jest...

#WBiegu #Android #Bypass #IOS #Ivanti #Mdm #Rce #Websec

sekurak.pl/zdalne-wykonanie-ko

Sekurak · Zdalne wykonanie kodu bez uwierzytelnienia - Ivanti Endpoint Manager MobileIvanti to jedna z tych firm, która często gości na łamach portalu sekurak.pl. Dzieje się tak za sprawą ogromnego zainteresowania ze strony badaczy bezpieczeństwa, ale także i cyberprzestępców, co przekłada się na stosunkowo dużą liczbę ujawnionych błędów (nie bez winy jest fakt, że rozwiązania bezpieczeństwa – chociaż Ivanti nie jest...
sekurak News

Banalna podatność, która mogła być wykorzystania w Internetowym Koncie Pacjenta (IKP). Można było pozyskiwać dane innych osób (również o zdrowiu).

Jak czytamy w oświadczeniu: „(…) w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników.” Czyli pisząc po ludzku wyglądało to np. tak: /pokaz_dane_uzytkownika?id=11111 teraz ktoś wpisuje /pokaz_dane_uzytkownika?id=11112 i uzyskuje dostęp do danych osobowych (oraz...

#WBiegu #Ikp #Incydent #Websec

sekurak.pl/banalna-podatnosc-k

Sekurak · Banalna podatność, która mogła być wykorzystania w Internetowym Koncie Pacjenta (IKP). Można było pozyskiwać dane innych osób (również o zdrowiu).Jak czytamy w oświadczeniu: „(…) w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników.” Czyli pisząc po ludzku wyglądało to np. tak: /pokaz_dane_uzytkownika?id=11111 teraz ktoś wpisuje /pokaz_dane_uzytkownika?id=11112 i uzyskuje dostęp do danych osobowych (oraz...
sekurak News

4chan z problemami czyli o ataku na popularny imageboard

Internet pełen jest portali społecznościowych czy forów. O tych bardziej popularnych, chociaż owianych złą sławą, ze względu szerokie spektrum dopuszczalnych treści, należy 4chan. Portal założony pod koniec 2003 roku stał się sławny za sprawą działań swoich anonimowych użytkowników oraz kontrowersyjnych memów. 4chan zasłynął z różnych akcji, takich jak namierzanie flagi...

#WBiegu #4Chan #Atak #Deface #FreeBSD #Ghostscript #Memy #Websec

sekurak.pl/4chan-z-problemami-

Sekurak · 4chan z problemami czyli o ataku na popularny imageboardInternet pełen jest portali społecznościowych czy forów. O tych bardziej popularnych, chociaż owianych złą sławą, ze względu szerokie spektrum dopuszczalnych treści, należy 4chan. Portal założony pod koniec 2003 roku stał się sławny za sprawą działań swoich anonimowych użytkowników oraz kontrowersyjnych memów. 4chan zasłynął z różnych akcji, takich jak namierzanie flagi...
sekurak News

Jak można było czytać listę połączeń klientów sieci Verizon

Evan Connelly zaprezentował odkrytą przez siebie podatność w aplikacji  Verizon Call Filter na urządzenia z systemem iOS. Co prawda problem dotyczy klientów tej amerykańskiej sieci GSM, jednak postanowiliśmy opisać błąd leżący u podstaw tej podatności, ponieważ z doświadczenia wiemy, że luki klasy IDOR (ang. Insecure Direct Object Reference) pojawiają się...

#WBiegu #Billing #IDOR #Podatność #Verizon #Websec

sekurak.pl/jak-mozna-bylo-czyt

Sekurak · Jak można było czytać listę połączeń klientów sieci VerizonEvan Connelly zaprezentował odkrytą przez siebie podatność w aplikacji  Verizon Call Filter na urządzenia z systemem iOS. Co prawda problem dotyczy klientów tej amerykańskiej sieci GSM, jednak postanowiliśmy opisać błąd leżący u podstaw tej podatności, ponieważ z doświadczenia wiemy, że luki klasy IDOR (ang. Insecure Direct Object Reference) pojawiają się...
sekurak News

Fortinet zaleca aktualizację oprogramowania FortiSwitch – możliwa jest nieautoryzowana zmiana hasła

Podatności w firmware bram dostępowych, zaporach sieciowych czy przełącznikach sieciowych zdarzają się niestety często, a do tego niosą za sobą szczególne niebezpieczeństwo ze względu na rolę, jaką pełnią w ekosystemie.  O dzisiejszym bohaterze pisaliśmy nie raz. Tym razem krytyczna podatność, oznaczona numerem CVE-2024-48887 i wyceniona na 9.3 w skali CVSS3.1...

#WBiegu #Fortinet #Fortiswitch #Podatność #Rce #Websec

sekurak.pl/fortinet-zaleca-akt

Sekurak · Fortinet zaleca aktualizację oprogramowania FortiSwitch – możliwa jest nieautoryzowana zmiana hasłaPodatności w firmware bram dostępowych, zaporach sieciowych czy przełącznikach sieciowych zdarzają się niestety często, a do tego niosą za sobą szczególne niebezpieczeństwo ze względu na rolę, jaką pełnią w ekosystemie.  O dzisiejszym bohaterze pisaliśmy nie raz. Tym razem krytyczna podatność, oznaczona numerem CVE-2024-48887 i wyceniona na 9.3 w skali CVSS3.1...
sekurak News

Kiedy podatność przypomina backdoora – Next.js CVE-2025-29927 i obejście logiki middleware

Krytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni...

#WBiegu #Exploit #Js #Middleware #Podatność #Websec

sekurak.pl/kiedy-podatnosc-prz

Sekurak · Kiedy podatność przypomina backdoora - Next.js CVE-2025-29927 i obejście logiki middlewareKrytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni...
sekurak News

Dlaczego hackowanie aplikacji webowych jest proste? Bezpłatne szkolenie od sekuraka

Zapraszamy Cię na najnowszą edycję szkolenia: dlaczego hackowanie aplikacji webowych jest proste? Ponownie zaprezentujemy najciekawsze, najpoważniejsze czy najbardziej absurdalne podatności zlokalizowane w ostatnim ~roku. Na szkolenie możesz zapisać się bezpłatnie tutaj (w ramach zapisu dostępne jest też nagranie). Agenda: Szkolenie odbędzie się 18 marca 2025, online, start: 20:00 -> 21:30....

#WBiegu #Szkolenie #Websec

sekurak.pl/dlaczego-hackowanie

sekurak News

Websecurity Master od sekuraka – rusza druga edycja topowego szkolenia z bezpieczeństwa aplikacji webowych. Sprawdź nas i zapisz się na bezpłatną sesję szkolenia!

Zanotujcie sobie tę datę w kalendarzu. 8 kwietnia br. ruszamy z drugą edycją Websecurity Master od sekuraka – najbardziej kompletnego kursu o bezpieczeństwie aplikacji webowych w Polsce! Pierwsza edycja z 2024 r. przyciągnęła ponad 200 osób i została oceniona przez uczestników na 4,9/5. Teraz wracamy z jeszcze lepszym kontentem: ataki,...

#Aktualności #Jarosiński #Kruczek #Lewczak #Rzepecki #Szkolenie #WebSecurityMaster #Websec

sekurak.pl/websecurity-master-

Sekurak · Websecurity Master od sekuraka – rusza druga edycja topowego szkolenia z bezpieczeństwa aplikacji webowych. Sprawdź nas i zapisz się na bezpłatną sesję szkolenia!Zanotujcie sobie tę datę w kalendarzu. 8 kwietnia br. ruszamy z drugą edycją Websecurity Master od sekuraka – najbardziej kompletnego kursu o bezpieczeństwie aplikacji webowych w Polsce! Pierwsza edycja z 2024 r. przyciągnęła ponad 200 osób i została oceniona przez uczestników na 4,9/5. Teraz wracamy z jeszcze lepszym kontentem: ataki,...
*
𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕

»HTTPS – Während ich Tor benutze, können Lauscher immer noch die Informationen sehen, die ich mit Webseiten teile, wie Login-Informationen und Dinge, die ich in Formulare eintippe?«

Das @torproject nicht unbedingt per-se sicher für die Privatsphäre ist, zeigt diese interaktieve Grafik im Link. Dies gilt mehr oder weniger auch für HTTPS im allgemeinen.

🧅 support.torproject.org/de/http

#tor#https#grafik
sekurak News

Można było w GitLabie zmienić hasło dowolnemu użytkownikowi, znając tylko jego e-maila. Za zgłoszenie podatności wypłacono $35000

Jeden obraz warty jest w tym przypadku $35000. Oto ten „obraz”: Część z Was już zapewne widzi o co tutaj chodziło…: Podatność została załatana, a zgłaszający otrzymał $35000 w ramach wynagrodzenia bug bounty. PSJeśli chciałbyś nauczyć się szukać między innymi takich podatności (oraz unikać ich w swoich projektach), to zapraszamy...

#WBiegu #Gitlab #Hasło #Podatność #Websec

sekurak.pl/mozna-bylo-w-gitlab

Sekurak · Można było w GitLabie zmienić hasło dowolnemu użytkownikowi, znając tylko jego e-maila. Za zgłoszenie podatności wypłacono $35000Jeden obraz warty jest w tym przypadku $35000. Oto ten „obraz”: Część z Was już zapewne widzi o co tutaj chodziło…: Podatność została załatana, a zgłaszający otrzymał $35000 w ramach wynagrodzenia bug bounty. PSJeśli chciałbyś nauczyć się szukać między innymi takich podatności (oraz unikać ich w swoich projektach), to zapraszamy...
sekurak News

Czy możliwy jest atak SQL Injection w 2025 roku? Tak, poprzez parsowanie znaków w psql

Ostatnio głośno było o atakach na Departament Skarbu, które zostały przypisane chińskim grupom APT. Atakujący wykorzystywali podatności w produktach BeyondTrust Privileged Remote Access oraz Remote Support, które pozwalały na zdalne wykonanie poleceń. Podatności zostały sklasyfikowane jako CVE-2024-12356. TLDR: W czasie poszukiwań RCE, badacze z Rapid7 natknęli się na podatność SQL...

#WBiegu #BazyDanych #Postgresql #SQLInjection #Websec

sekurak.pl/czy-mozliwy-jest-at

Sekurak · Czy możliwy jest atak SQL Injection w 2025 roku? Tak, poprzez parsowanie znaków w psqlOstatnio głośno było o atakach na Departament Skarbu, które zostały przypisane chińskim grupom APT. Atakujący wykorzystywali podatności w produktach BeyondTrust Privileged Remote Access oraz Remote Support, które pozwalały na zdalne wykonanie poleceń. Podatności zostały sklasyfikowane jako CVE-2024-12356. TLDR: W czasie poszukiwań RCE, badacze z Rapid7 natknęli się na podatność SQL...
TrendingLive feeds
About