Skocz do treści

Autor: Redakcja

Google CTF 2019 – dołącz do elity

Na blogu security Google została zapowiedziana tegoroczna edycja Capture The Flag. Jest to konkurs sprawdzający umiejętności niestandardowego podejścia do rozwiązania problemów – popularnie nazywanego hakingiem :) Kwalifikacje odbędą się w dniach 22.06.2019-23.06.2019 (UTC). Regulamin wydarzenia jest dostępny na stronie https://capturetheflag.withgoogle.com/, tam też można rejestrować uczestników. Formuła konkursu to Jeopardy, czyli zbiór zadań punktowany za znalezienie flagi w każdym z nich. Wygrywa osoba/drużyna, która w limicie czasu zdobędzie jak najwięcej punktów. Zadania rozwiązywane będą on-line (zdalnie). Wybrane opisy rozwiązań zostaną nagrodzone.Dziesięć najlepszych teamów/uczestników może wziąć udział w finałach. Całkowita pula nagród to ponad 31,337 dolarów amerykańskich. Dla początkujących organizator przewidział specjalne…

SQLi w Magento

Na blogu Ambionics Security opublikowane zostały dziś szczegóły podatności w silniku Magento umożliwiające wykonanie ataku Blind SQL Injection mogącego zakończyć się pobraniem zawartości bazy danych. Magento to silnik eCommerce, na którym działa ponad 200 tysięcy sklepów internetowych. Atak nie wymaga uwierzytelnienia. Błąd zawarty jest w obsłudze zapytań za pomocą biblioteki MySQL PDO (Magento może też pracować używając MySQLi) zarówno w wersjach komercyjnych jak i Community Edition. Pomimo tego, że udało się wykorzystać lukę poprzez funkcjonalność dostępną od wersji 2.2.0, błąd występuje także w wcześniejszych wersjach. Masz Magento? Łataj szybko. Aktualizacja łatająca tą i kilka innych luk dostępna jest na stronie…

Otwarty ElasticSearch www.gearbest.com

Na Sekurak.pl pojawiło się kilka smaczków odnośnie ogłoszonego przez badacza bezpieczeństwa nazwiskiem Noam Rotem z grupy VPNMentor wycieku danych klientów sklepu www.gearbest.com. Po raz kolejny źródłem wycieku jest niezabezpieczona a jednocześnie publicznie dostępna dokumentowa baza danych. Hasła? Są, w czystym tekście. Okazuje się, że hasła klientów przechowywane są w bazie czystym tekstem. Są tam również konta założone na adresy e-mail w domenach .pl. Kupowałem na GearBest.Com, co teraz? Jeśli jesteś klientem GearBest.com jak najszybciej zmień swoje hasło na sklepie. Jeśli co gorsze używasz tego samego (lub podobnego) hasła w innych miejscach jak najszybciej pozmieniaj i te hasła. Baza wisiała w…