cyberbezpieczeństwo i programowanie
Moje wrażenia z egzaminu CompTIA Security+ SY0-601. Artykuł przedstawia jak wyglądał egzamin z mojej perspektywy oraz z jakich materiałów czerpałem wiedzę.
Swego czasu, bardzo popularne było wykorzystywanie podatności związanych z niewłaściwym zarządzaniem pamięci poprzez tzw. przepełnienie bufora (ang. buffer overflow). Nie wdając się w szczegóły techniczne, atakujący był w stanie wprowadzić więcej danych do aplikacji (input) niż przewidział to jej twórca. Jeśli program otrzymał na wejściu większą liczbę bajtów niż zarezerwowany obszar pamięci...
Eskalacja uprawnień (ang. privilege escalation) polega na wykorzystaniu podatności (ang. vulnerability), błędu lub niepoprawnej konfiguracji w systemie bądź aplikacji, żeby uzyskać szersze (niż normalnie przysługują) uprawnienia/przywileje (ang. permissions/privileges) do chronionych zasobów. Innymi słowy, eskalacja uprawnień następuje w chwili, gdy atakujący ma dostęp do standardowego konta...
Termin cross-site scripting (XSS) odnosi się generalnie do ataków polegających na wstrzyknięciu (ang. injection) złośliwego skryptu w strukturę zaufanej strony internetowej. Atak XSS następuje w momencie gdy atakujący przemyca złośliwy kod (w formie skryptu wykonywanego przez przeglądarkę internetową), w taki sposób, żeby wykonał się on w kontekście nic nie podejrzewającego użytkownika. Jest to...
Artykuł jest kompilacją moich opracowań zagadnień z rozdziału "1.2 Given a scenario, analyze potential indicators to determine the type of attack", pochodzącego z rozpiski egzaminacyjnej CompTIA Security+.
W tym odcinku serii artykułów opisujących zagadnienia SY0-601 przyjrzymy się metodom przechowywania haseł statycznych oraz popularnym technikom łamania haseł. Na końcu znajdziemy kilka wskazówek, które pomogą nam zadbać o ich bezpieczeństwo.
Malicious software (w skrócie malware), czyli złośliwe/szkodliwe oprogramowanie, definiuje ogół programów komputerowych, których celem jest zazwyczaj wyrządzenie szkód w systemie komputerowym oraz działanie na niekorzyść jego użytkowników.
Ten artykuł koncentruje się na dziale opisującym zagadnienia inżynierii społecznej (ang. social engineering), nazywanej też inżynierią socjalną lub socjotechniką. Zgodnie z podanymi wytycznymi, na egzaminie trzeba umieć wskazać różnice i podobieństwa pomiędzy przedstawionymi zagadnieniami.
Artykuł jest poświęcony stosunkowo świeżej podatności, bo z roku 2021, znalezionej w kodzie frameworka webowego Django. Umożliwia ona wstrzyknięcie własnego kodu SQL do klauzuli ORDER BY, pod pewnymi warunkami. Zapraszam do dalszej lektury. Uwaga! Ten wpis powstał wyłącznie w celach edukacyjnych. Informacje w nim zawarte mogą służyć jedynie do testowania podatności w kontrolowanych środowiskach...
The code used in this article was written for Celery 5.0.5 but it should work with older versions as well (4.1.1 and higher). It’s available on GitHub. According to the Celery official documentation, a worker is able to generate events if something relevant happens. Those events can be consumed by monitoring tools like Flower, so […]
cyberbezpieczeństwo i programowanie
Programista, który zainteresował się cyberbezpieczeństwem.