![[-]](/static/images/article-icon--blue.929eff9893d6.png){kind=icon}
Web Application Firewall predstavuje dôležitú ochrannú vrstvu webových aplikácií. Z pohľadu bezpečnostného testovania je však potrebné porozumieť jeho správaniu, možnostiam a obmedzeniam, aby bolo možné efektívne identifikovať potenciálne slabé miesta pri nesprávnej konfigurácii. WAF vie efektívne zastaviť automatické skenery a výrazne skomplikovať testovanie, no v praxi nebýva bezchybný. V článku sa venujeme praktickému pohľadu na správanie WAF v rámci bezpečnostného testovania, vrátane situácií, kde jeho ochranné mechanizmy nemusia fungovať úplne ideálne.
Phishing už dávno neznamená jen špatně napsané e-maily s očividnými gramatickými chybami. V rámci rozmachu umělé inteligence (AI) se tyto útoky stávají výrazně propracovanější a mění samotnou podstatu podvodů. Vstup umělé inteligence do veřejného prostoru totiž umožnil automatizované, rychlé a hromadné generování e-mailů, přihlašovacích stránek i klamavých hlasových zpráv. V tomto článku se podíváme na to, co přináší umělá inteligence pro phishingové útoky. Provedeme experiment, ve kterém zadáme několika AI modelům úkol vytvořit phishingovou zprávu a falešnou přihlašovací stránku. Na základě výstupů porovnáme kvalitu zpracování a posoudíme limity i míru ochoty jednotlivých modelů generovat obsah s potenciálně neetickým charakterem.
Moderní vyhledávače personalizují výsledky na základě profilů uživatelů, což zvyšuje relevanci, ale ohrožuje soukromí a podporuje vznik filtračních bublin. Tento článek představuje lehkou strategii obfuskace na straně klienta, která pomocí náhodně generovaných vícejazyčných dotazů narušuje profilování. Řízené experimenty na Seznam.cz ukazují, že ačkoli výsledky vyhledávání zůstávají stabilní, tak identifikované zájmy uživatelů se vlivem obfuskace výrazně mění.
V nedávné době se objevilo několik projektů, kde zadáním byl test webové stránky, která na pozadí provolávala API endpointy a k autentizaci byly použity JWT tokeny. Ve výsledné zprávě bylo reportováno několik zranitelností, které vyplývají ze samotné podstaty návrhu tokenů a donutilo mě to k zamyšlení. Jsou naše výtky oprávněné? Jaké bezpečnostní výzvy plynou z použití JWT tokenů? K jakému využití jsou vůbec vhodné?
V tomto článku se stručně zaměříme na správná bezpečnostní nastavení při používání RADIUS serveru. Jak postupovat při jeho instalaci, konfiguraci a následném auditu. Ukážeme si, jaká dodržovat pravidla při jeho provozu, a také co přesně si zkontrolovat a na co si dávat pozor. Z důvodu velkého počtu možných řešení a komplexnosti se nebudeme pouštět do nějakých detailních technikálií, pouze obecně popíšeme, jak by měl správce sítě postupovat. Zmíněné RADIUS servery se dají využít jak v malých podnicích, tak ve velkých síťových infrastrukturách.