Skocz do treści

Get Secure Wpisy

3 sposoby na położenie firmowego programu bug bounty

Program bug bounty czyli płacenie hakerom za wykryte podatności to kolejny sposób poprawę bezpieczeństwa systemów i aplikacji. Wiele par oczu wyszukujących podatności oraz płatność w systemie success fee jest na tyle ciekawy, że coraz więcej firm korzysta z platform takich jak Bugcrowd czy HackerOne i uruchamia programy firmowe. Jeśli jesteś bezpiecznikiem, osobą odpowiedzialną za start lub prowadzenie takiego programu, to jest to artykuł dla Ciebie. Dowiesz się w jaki sposób położyć taki program na trzy różne sposoby. Sposób pierwszy – brak zespołu obsługującego zgłoszenia Haker zgłosił podatność, należałoby ją sprawdzić i ewentualnie załatać. Jak na złość właśnie wszyscy są zajęci…

Google CTF 2019 – dołącz do elity

Na blogu security Google została zapowiedziana tegoroczna edycja Capture The Flag. Jest to konkurs sprawdzający umiejętności niestandardowego podejścia do rozwiązania problemów – popularnie nazywanego hakingiem :) Kwalifikacje odbędą się w dniach 22.06.2019-23.06.2019 (UTC). Regulamin wydarzenia jest dostępny na stronie https://capturetheflag.withgoogle.com/, tam też można rejestrować uczestników. Formuła konkursu to Jeopardy, czyli zbiór zadań punktowany za znalezienie flagi w każdym z nich. Wygrywa osoba/drużyna, która w limicie czasu zdobędzie jak najwięcej punktów. Zadania rozwiązywane będą on-line (zdalnie). Wybrane opisy rozwiązań zostaną nagrodzone.Dziesięć najlepszych teamów/uczestników może wziąć udział w finałach. Całkowita pula nagród to ponad 31,337 dolarów amerykańskich. Dla początkujących organizator przewidział specjalne…

SQLi w Magento

Na blogu Ambionics Security opublikowane zostały dziś szczegóły podatności w silniku Magento umożliwiające wykonanie ataku Blind SQL Injection mogącego zakończyć się pobraniem zawartości bazy danych. Magento to silnik eCommerce, na którym działa ponad 200 tysięcy sklepów internetowych. Atak nie wymaga uwierzytelnienia. Błąd zawarty jest w obsłudze zapytań za pomocą biblioteki MySQL PDO (Magento może też pracować używając MySQLi) zarówno w wersjach komercyjnych jak i Community Edition. Pomimo tego, że udało się wykorzystać lukę poprzez funkcjonalność dostępną od wersji 2.2.0, błąd występuje także w wcześniejszych wersjach. Masz Magento? Łataj szybko. Aktualizacja łatająca tą i kilka innych luk dostępna jest na stronie…