Aleš Gill30. ledna 2025
[-]

OSINT – Brána do firmy otevřená

Open Source Inteligence je vyšetřovací metoda například u policie. Stejné postupy ale využívají útočníci, aby si připravili půdu pro sofistikovaný útok na cílovou firmu nebo instituci. Každá firma by měla dobře zvážit, jaké informace o sobě zveřejňuje a zda jich není zbytečně moc.

Tomáš Prager31. prosince 2024
[-]

Deserializační útoky v PHP s využitím Phar archivů

V moderním světě webových aplikací se otázky bezpečnosti stávají stále důležitějšími, zejména při práci s dynamickými daty a objekty. Serializace a deserializace jsou běžně používané techniky pro ukládání nebo přenos dat mezi různými částmi aplikace. Přesto mohou představovat vážná rizika, pokud nejsou správně ošetřeny. Tento článek se zaměřuje na problematiku zneužití deserializace v prostředí PHP, zejména na zranitelnosti spojené s objekty a archivy PHAR.

Filip Bursik31. prosince 2024
[-]

Pwnagotchi: Nástroj pro zachytávání Wi-Fi handshaku navržený přímo pro etické hackery

Svět penetračního testování se často točí kolem zachytávání a analýzy Wi-Fi handshake. Nástroje jako Aircrack-ng, Bettercap a Kismet se staly základními pomůckami etických hackerů, penetračních testerů anebo red teamerů při testování bezpečnosti Wi-Fi sítí. Nicméně, malý, ale výkonný nástroj s názvem Pwnagotchi způsobil revoluci v pasivním zachytávání handshake a učinil ho přístupným, přenosným a — co je nejdůležitější — autonomním. V tomto článku se ponoříme do detailů nástroje Pwnagotchi: jeho původu, nastavení, funkcí a důvodů, proč může být nápomocnou pomůckou pro etické hackery.

Jakub Labant13. prosince 2024
[-]

Windows Defender Application Control Bypass

V dnešním článku se podíváme na ochranu v operačním systému Windows – řízení aplikací v programu Windows Defender, neboli WDAC. Windows Defender, jako vestavěné řešení pro ochranu před malwarem a jinými hrozbami, zahrnuje různé bezpečnostní mechanismy včetně řízení aplikací, které zajišťuje, že jsou spouštěny pouze ověřené a důvěryhodné programy. Nejprve si v článku ukážeme příklady definovaných zásad, nejčastější konfigurační chyby a jak jich zneužít ke spuštění libovolných binárních souborů.

Stanislav Klubal12. října 2024
[-]

Bezpečnost a současné trendy v cloudu

Cloud computing se stává nedílnou součástí moderních IT infrastruktur a podnikových řešení. Využívání cloudových služeb přináší nespočet výhod, ale zároveň také představuje určité bezpečnostní výzvy. Tento článek se zaměřuje na aktuální trendy, výzvy kybernetické bezpečnosti a obecné osvědčené postupy při implementaci cloudových řešení.