![[-]](/static/images/article-icon--blue.929eff9893d6.png){kind=icon}
Jsme tým s mnoha odborníky a na trhu působíme více než třicet let. Pracujeme na zajímavých projektech různých velikostí v řadě IT odvětví, a to jak v komerční sféře, tak ve veřejném sektoru. Setkáváte se s nimi každý den, ať už spravujete svůj bankovní účet v mobilu nebo si vyzvedáváte léky pomocí elektronického předpisu. Uplatnění u nás tedy najdete v jakémkoliv IT oboru a na jakémkoliv místě. Najdete nás v okresním městě i Bruselu.
V tomto článku se zaměříme na problematiku vytváření exploitů vedoucích ke spuštění kódu, přesněji libovolných systémových příkazů, s využitím zranitelnosti Buffer Overflow (BOF). Cílem článku není detailně popisovat principy a technicky útoku BOF, ale nastínit další možný způsob, jak přistupovat k vytváření exploitů, pokud jsme omezeni na velmi malou znakovou sadu z důvodu limitace aplikace.
Ukážeme si obejití CSRF (Cross Site Request Forgery) ochrany implementovanou dvěma rozdílnými způsoby. Popisujeme případ z reálného penetračního testu z poslední doby (tedy ne, nebudeme využívat zranitelnosti Adobe Flash :) ). CSRF je jedna z metod útoku pracující na bázi provedení nezamýšleného požadavku pro vykonání autentizované akce v dané aplikaci, který ovšem pochází z nelegitimního zdroje. Podrobnější popis zde: https://owasp.org/www-community/attacks/csrf
S NFC se již pravděpodobně setkal v některé životní situaci téměř každý, i když si to třeba v danou chvíli zcela neuvědomoval. Přinejměnším ti z Vás, kteří používají svůj chytrý telefon k bezkontaktním platbám u obchodníků (Google Pay, Apple Pay) nebo přenosu kontaktů z telefonu do telefonu. Je však čeho se obávat nebo je NFC protokol zcela bezpečný?
Jak je to s odposloucháváním mobilní komunikace na bezdrátové úrovni? Jsou stávající standardy pro mobilní komunikaci bezpečné? V tomto článku si ukážeme případovou studii – odposlech SMS zpráv na 2G GSM sítích. Upozornění: jedná se o praktickou ukázku (Proof-of-Concept) pro edukativní účely na vlastním telefonu, pro odposlech vlastních GSM dat.