Kacper Szurek

Sortuj: kategoriami | alfabetycznie
Najpopularniejsze w tygodniu
Opis: Przegląd zagadnień security.
Data dodania: 2020-02-07 21:42:31
Data aktualizacji: 2020-05-30 23:15:08
Audycji w katalogu: 68
Stan:
Wciąż na fali (aktywny)
opublikowany 19 dni temu
Skradziono mi dowód. Co robić? Kradzież tożsamości
Jak chronić numer PESEL? Gdzie można uzyskać informacje o naszych kontach bankowych? Jak działa E-sąd? Jak działa BIK – Biuro Informacji Kredytowej? Gdzie zgłosić kradzież dowodu? Jak nie zostać słupem: [link] Jak działa kradzież karty SIM: [link] 0:44 PESEL 1:34 Gdzie można znaleźć numery PESEL 5:52 Centralna informacja o rachunkach 8:08 E-sąd 9:46 Biuro informacji kredytowej 14:17 Bezpieczny PESEL 16:40 Co gdy ktoś wykorzystał nasze dane Centralna informacja o rachunkach: [link] Zgłoś utratę dowodu: [link] E-sąd: [link] Dokumenty Zastrzeżone: [link] BIK: [link] Bezpieczny PESEL: [link] Chroń PESEL: [link] Poradnik Polskiego Związku Instytucji Pożyczkowych: [link] EKRS: [link] Dziennik Ustaw: [link] ERIF: [link] Big InfoMonitor: [link] KBiG: [link] Materiał na wykop.pl: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #pesel #kradzież #szurkogadanie
pobierz 26.0 MB odcinki RSS iTunes www
opublikowany ponad miesiąc temu
Czy kody SMS są bezpieczne? Jak zabezpieczyć konto?
Czy kody SMS z banku chronią nas przed atakiem? A może lepsza jest aplikacja mobilna? Jak działa dwuskładnikowe uwierzytelnianie? Czy można je obejść/zaatakować? Czym różni się 2FA od U2F? Po co nam klucze bezpieczeństwa - np. Yubikey? Jak chronić się przed phishingiem? Jak skonfigurować swoje konto pocztowe? Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #od0dopentestera #2fa #bezpieczeństwo
pobierz 97.4 MB odcinki RSS iTunes www
opublikowany 2 miesiące temu
„HAKERSKIE” GADŻETY - narzędzia używane podczas Red Teamingu
Jak wyglądają narzędzia używane podczas ataków na firmy? Co mogą robić? Ile kosztują? * WiFi Pineapple - jak atakuje się sieci WIFI * USB Rubber Ducky - dlaczego powinieneś się wylogować gdy odchodzisz od komputera * USB Killer - niszczenie portów USB * Proxmark - czy klonowanie kart dostępu jest możliwe * MouseJack - bezpieczeństwo bezprzewodowych prezenterów * USB Ninja - czy rozróżnisz prawdziwy kabel od złośliwego Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #od0dopentestera #pentest #hacking
pobierz 58.4 MB odcinki RSS iTunes www
opublikowany 2 miesiące temu
Jak zostać pentesterem/jak zacząć naukę bezpieczeństwa?
Jak zostać pentesterem/specjalistą bezpieczeństwa? Od czego zacząć naukę? Gdzie szukać materiałów edukacyjnych? Jakie ścieżki kariery istnieją? Czy znajomość programowania jest potrzebna? Czy kursy coś dają? Czy muszę mieć studia? Co to jest Bug Bounty i dlaczego może mi pomóc? Jakie umiejętności są przydatne/konieczne? Gdzie i jak można ćwiczyć? Co to jest CTF? Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #od0dopentestera #pentest #praca
pobierz 112.3 MB odcinki RSS iTunes www
opublikowany 2 miesiące temu
Bezpieczeństwo pracy zdalnej
Na co zwrócić uwagę podczas pracy z domu? Co ustawić i czego się obawiać? Proste porady w przystępnej formie z obszernymi wytłumaczeniami. Prezentacja do pobrania: [link] Tekst na blogu: [link] Grupa na Facebooku: [link] Subskrybuj kanał: [link] Materiały w formie tekstowej: [link] #zostanwdomu #biznes #bezpieczeństwo
pobierz 44.7 MB odcinki RSS iTunes www
opublikowany 3 miesiące temu
BadWPAD - jak działają pliki PAC
Dzisiaj o ataku BadWPAD, dzięki któremu można podsłuchiwać i modyfikować niezaszyfrowany ruch internetowy na twoim komputerze. Myślisz że temat Cię nie dotyczy? Jeżeli korzystasz z Windowsa i przeglądarki internetowej istnieje spora szansa, że używasz bądź używałeś tej funkcji w przeszłości nawet nie zdając sobie z tego sprawy? Grupa na Facebooku: [link] Subskrybuj kanał: [link] Materiał w formie tekstowej: [link] (0:38) Serwer proxy (1:17) Web Proxy Auto-Discovery Protocol (2:07) Plik PAC (3:06) Plik PAC poprzez DHCP (3:55) PAC poprzez DNS (4:27) Sufiks DNS (5:28) DNS name devolution (6:40) Poprawka z 2009 (7:09) Polski akcent (8:28) WPAD Name Collision (9:25) Domeny najwyższego poziomu (10:25) Zalecenia dla administratorów (11:05) Atak lokalny Analiza krajowych domen WPAD: [link] Przejęcie domen przez CERT: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #od0dopentestera #windows #wpad
pobierz 17.0 MB odcinki RSS iTunes www
opublikowany 3 miesiące temu
Skutki XSS
Jesteś programistą, który otrzymał zadanie naprawienia błędu typu XSS – czyli cross site scripting. Teoretycznie wiesz, że jest to możliwość wykonania zewnętrznego kodu JS w obrębie danej domeny. Z drugiej jednak strony, nie do końca rozumiesz pośpiech i konieczność ich naprawiania. Przecież samemu tworzysz kod na co dzień, więc co złego może się stać. A może jesteś prezesem firmy bądź osobą odpowiedzialną za bezpieczeństwo i nie wiesz jak wyjaśnić ten problem osobom mniej obeznanym w technologiach? Ten odcinek jest właśnie dla Ciebie. Postaram się w nim wyjaśnić przy użyciu prostych przykładów, jak ataki XSS mogą wpłynąć na biznes – także od tej finansowej strony. Dzięki temu wytłumaczenie dlaczego warto naprawiać te błędy i dlaczego mogą być one niebezpieczne dla naszej organizacji – powinno być dużo prostsze. Grupa na Facebooku: [link] Subskrybuj kanał: [link] Materiał w formie tekstowej: [link] (0:49) Skąd bierze się XSS (2:13) Skutki cudzego kodu (3:27) Po co kraść hasło (4:45) Podmiana reklam (6:00) Deanonimizacji użytkownika (6:35) XSS worm (7:49) Złośliwe oprogramowanie (8:39) Atak DDOS (9:55) Keylogger w JS (10:55) XSS Auditor Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] Baking Cookies Timelapse CC BY 3.0 beachfrontbroll.com Free Stock footage by Videezy Stock footage provided by Videvo, downloaded from [link] #od0dopentestera #xss #programowanie
pobierz 16.8 MB odcinki RSS iTunes www
opublikowany 3 miesiące temu
Cross site leaks - XS-Leaks - co to jest i na czym polega?
Dzisiaj o jednej z nowszych rodzajów podatności, tak zwanych Cross Site Leaks. Uogólniając, błędy tego rodzaju w specyficznych okolicznościach pozwalają na odpowiedź tak/nie na zadane wcześniej pytanie. Nie wydaje się to zatem niczym spektakularnym. Nie ma wybuchów i wykonywania zdalnego kodu na serwerze. Na pozór wydaje się zatem, że to nic nie znacząca klasa podatności. Diabeł tkwi w szczegółach i wszystko zależy od systemu, z jakim mamy do czynienia. Jeśli to serwer sądowy – można sprawdzić czy obywatel X był karany. W przypadku szpitala – możliwe jest zweryfikowanie, czy Kowalski choruje na raka prostaty. Błąd w banku pozwoli dowiedzieć się, czy użytkownik posiada więcej niż milion złotych na koncie. Możliwe jest także poznanie hasła użytkownika. Każde pytanie można bowiem zamienić na serię pytań tak/nie. Czy pierwszy znak hasła zawiera się pomiędzy cyfrą 0 a 9. A może jest to litera Z? Materiał w formie tekstowej: [link] 0:18 Cross Site Leaks 0:47 Odpowiedź na pytanie tak/nie 1:57 Same origin policy 3:03 Żądania POST do strony 3:35 Zewnętrzne API 4:20 Nagłówek CORS 4:53 Czas trwania żądań 6:08 Tag iframe 7:53 XSS Auditor 10:02 Wykrywanie pobierania plików 10:38 onerror 11:15 Deanonimizacja użytkowników Więcej informacji: [link] Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #pentest #xsleaks #programowanie
pobierz 16.7 MB odcinki RSS iTunes www
opublikowany 4 miesiące temu
Wojciech Dworakowski: Jak powinien wyglądać test penetracyjny
Wojciech Dworakowski - prezes firmy Securing. Na co zwrócić uwagę podczas zawierania kontraktu z firmą oferującą testy penetracyjne? Co to jest OWASP? Jak często zdarza się nie znajdować błędów? Transkrypcja wywiadu: [link] 0:54 Co to jest OWASP Top 10 2:23 Inne projekty OWASP to ... 5:56  Gdzie znajdę informacje o spotkaniach 7:15 Jak rozpocząć przygodę jako prelegent 9:52 Jak zmieniało się bezpieczeństwo na przestrzeni lat 11:31 Na co zwrócić uwagę podczas pentestu 12:50 Ile średnio trwa test penetracyjny 13:30 Czy zdarza się nie znajdować błędów 14:47 Jak powinien wyglądać raport 15:15 Czy programowanie jest potrzebne w pracy 15:50 Czy prace można zautomatyzować 17:21 Czy Bug Bounty stanowi konkurencję 19:17 Jak wygląda bezpieczeństwo usług rządowych 21:02 Jaką książkę byś polecił 22:09 Jak uczyć programistów pisania bezpiecznego kodu 21:15 Przykłady ciekawych błędów 24:20 Jakie podatności ignorujemy 24:27 Co sądzisz o płatnościach mobilnych 25:47 Chmura vs bezpieczeństwo 27:40 Testy PCI DSS 28:49 Certyfikacja usług 31:11 Pentesty a prawo 32:57 Bezpieczny język programowania 33:18 Ilość odnalezionych błędów vs ich jakość 33:56 Socjotechnika 35:20 Udostępnianie kodu źródłowego 37:29 Aplikacje mobilne 38:27 Modelowanie zagrożeń 39:15 Bezpieczeństwo a projektowanie systemów 40:33 Naprawianie błędów 43:33 Czy zewnętrzne testy są konieczne 44:58 Jaki sposób logowania do usług wybrać 47:13 Rzemiosło w pracy pentestera 48:35 Ciekawe projekty waszej firmy 50:33 Blockchain 52:15 E-wybory 53:34 Rada dla użytkowników Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #szurkogadanie #securing
pobierz 74.8 MB odcinki RSS iTunes www
opublikowany 5 miesięcy temu
Jak zabezpieczyć router – bezpieczeństwo sieci domowej?
Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.  Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić? 1:32 Serwer DHCP 1:59 Dane DNS 2:40 DNS Hijacking 4:24 Botnet 5:10 Pliki na dysku 5:35 Firewall 6:11 WPA2 6:32 Łamanie haseł 7:28 Nazwa SSID 8:11 Standardowe hasła 8:44 WPS 9:13 UPNP 9:48 Port forwarding 10:29 Aktualizacje 10:54 Fizyczny dostęp 11:17 SSH, Telnet, SNPM 11:40 Błędy bezpieczeństwa 12:10 Logi 12:44 Weryfikacja konfiguracji 13:12 Punkty do sprawdzenia Materiał w formie tekstowej: [link] Grupa na Facebooku: [link] Lista punktów do sprawdzenia: [link] Weryfikacja publicznych adresów: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #szurkogadanie #router
pobierz 18.7 MB odcinki RSS iTunes www
opublikowany 5 miesięcy temu
Marcin Ludwiszewski: O cyberatakach, obronie i red teamingu
Marcin Ludwiszewski jest szefem zespołu „Cyber” w Deloitte. Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa. Z wywiadu dowiesz się co to jest red teaming, na czym polega, jak wygląda taka praca oraz usłyszysz o ciekawych sytuacjach z życia. Transkrypcja wywiadu: [link] 0:37 Co to jest red teaming? 1:42 Co jest wyznacznikiem sukcesu w red teamingu? 5:14 Czy różni się od testu penetracyjnego? 6:17 Ile kosztuje red teaming? 9:15 Aspekty prawne 13:11 Czy korzystacie z wytrychów? 17:04 Czy atakujecie komórki? 19:00 Co to jest wstępne rozpoznanie? 21:53 Czy zdarzyły się wam wpadki? 24:11 Ciekawe sytuacje 33:05 Ulubione narzędzia 35:37 Polecane książki 36:53 Różnica pomiędzy sektorem publicznym i prywatnym 39:46 Czego nauczyła Cię praca w ABW? 40:17 Jak zachęcić młodych zdolnych? 41:29 Co to jest CSIRT? 43:31 Bezpieczeństwo urzędów 44:49 W co zainwestować pieniądze? 48:41 Jak edukować pracowników? 50:32 Cyberarmia 51:00 Najczęściej popełniane błędy 52:12 Bezpieczeństwo dzieci w Internecie 53:44 Klucze sprzętowe w organizacjach 54:44 Jak radzić sobie ze stresem 56:52 Najlepszy czas i data do przeprowadzenia ataku to ... 59:12 Strategie bezpieczeństwa Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #szurkogadanie #deloitte
pobierz 83.8 MB odcinki RSS iTunes www
opublikowany 6 miesięcy temu
Jak działa kod zabezpieczenia w Signal?
TOFU (z angielskiego “Trust On First Use”) tłumaczymy na język polski jako „zaufanie przy pierwszym użyciu”. Mówiąc obrazowo: gdy pierwszy raz uzyskujemy jakąś informację, traktujemy ją jako pewnik i wykorzystujemy tą wiedzę kolejnym razem. W informatyce koronnym przykładem może być sytuacja, w której łączymy się z nowym serwerem przy użyciu protokołu SSH. Ale jak ten termin jest powiązany z komunikatorem Signal? Transkrypcja: [link] 1:20 Zaufanie przy pierwszym użyciu 2:25 Zielone światło sygnalizatora 3:23 Dziennik ustaw 4:22 NASK  5:06 HTTPS 6:16 Podpisany plik PDF 7:28 Klucz publiczny 8:50 Kod zabezpieczenia 9:39 Reinstalacja aplikacji 11:05 Siatka kontaktów 12:17 Key signing party 13:12 Keybase 13:51 Potencjalne rozwiązanie problemu NASK: [link] Let’s Encrypt: [link] Dziennik ustaw: [link] Narodowe Centrum Certyfikacji: [link] Signal: [link] GPG: [link] MIT PGP Public Key Server: [link] Key signing party: [link] Web of trust: [link] Keybase: [link] Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #signal #whatsapp
pobierz 20.2 MB odcinki RSS iTunes www
opublikowany 6 miesięcy temu
Przekręty przez telefon
Jak wygląda przekręt na pomoc techniczną? Oszustwo z wykorzystaniem zwrotu środków. Jak przy pomocy socjotechniki nieupoważnionej osobie udało się zostać właścicielem domeny `gov`? Transkrypcja: [link] 0:52 Własna subdomena gov 1:53 Konsekwencje przejęcia domeny 2:37 Wpływ na wybory 3:10 Jak powinna wyglądać weryfikacja domeny 3:45 Przejmowanie domen .pl 5:01 Jak działa Registry Lock 5:40 Zmiana numeru konta pracownika 6:48 Zmiana numeru konta podwykonawcy 7:17 Przekręt na zwrot środków 8:18 Zmiana kodu HTML na komputerze ofiary 9:15 Zakup kart zdrapek 9:41 Fałszywa pomoc techniczna 10:17 Wyskakujące reklamy 11:03 Etap straszenia 12:02 Więcej informacji Blog Brian Krebs: [link] Jak działa Registry Lock: [link] Kanał Jim Browning: [link] Informacje Microsoft: [link] Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #scam #oszustwo
pobierz 17.6 MB odcinki RSS iTunes www
opublikowany 6 miesięcy temu
IMDSv2: Ochrona przed atakami SSRF
Metadata Service generuje dynamiczne klucze pozwalające na dostęp do różnych usług w chmurze Amazon. Dzięki temu nie ma potrzeby przechowywania haseł w kodzie strony. Niestety, dzięki podatności Server Side Request Forgery i błędów w kodzie strony, możliwe jest uzyskanie nieautoryzowanego dostęp do naszych danych. Aby temu zapobiec, EC2 wprowadza IMDSv2 mający zapobiec większości ataków. Transkrypcja: [link] 0:49 Jak przechowywać klucze API w chmurze 1:28 Co to jest EC2 Instance Metadata Service 2:29 Na czym polega Server Side Request Forgery 3:31 Jak filtrować dane od użytkownika 4:23 Amazon EC2 Instance Metadata Service (IMDSv2) 5:05 Pobieranie tokena przy użyciu metody PUT 6:18 Ochrona przed błędnie skonfigurowanymi serwerami Reverse Proxy 7:54 Ochrona przed błędnie skonfigurowanymi serwerami VPN 8:26 Pakiety z niską wartością TTL 9:18 Wnioski Grupa na Facebooku: [link] Subskrybuj kanał: [link] Materiały prasowe: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #ssrf #ec2
pobierz 14.7 MB odcinki RSS iTunes www
opublikowany 6 miesięcy temu
Adam Lange: róbcie bezpieczeństwo, będzie fajnie, mamy cukierki
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank. Opowiada na czym polega Threat Hunting oraz co to jest phishing. Z wywiadu dowiesz się jak rozpocząć swoją przygodę z bezpieczeństwem a także co zrobić, gdy doszło do ataku na naszą osobę. Rozmawiamy także o PSD2, SIM-swap i metodach działania internetowych przestępców. Transkrypcja wywiadu: [link] 0:16 Kim jesteś, co robisz? 0:42 Na czym polega Threat Hunting? 1:27 Proaktywne podejście do obrony 2:25 Co jest najtrudniejsze w Twojej pracy 3:26 Stosunek zagrożeń do fałszywych alarmów 4:04 Metody działania przestępców 5:25 Czy automatyzacja pracy jest możliwa 6:20 Co z małymi firmami 7:46 Jak zastąpić IOC 10:00 Makra w Office 11:45 Chmura a bezpieczeństwo 13:02 Praca zdalna i własne urządzenia 14:29 Na czym polega phishing 15:48 Edukacja dzieci 17:04 Jak rozpoznać prawdziwą witrynę banku 19:18 Gdzie zgłosić złośliwą witrynę 21:09 Usunięcie strony z Internetu 24:01 Co sądzisz o PSD2 26:16 SIM-swap 28:12 Rada dla początkujących 29:45 Adam Lange programuje w ... 31:40 Ulubiony przykład phishingu 32:51 Metoda picture-in-picture  33:46 Atak homograficzny 34:51 Kto jest odpowiedzialny za kradzież 36:56 Co zrobić gdy padliśmy ofiarą ataku Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #szurkogadanie #lange
pobierz 54.8 MB odcinki RSS iTunes www
opublikowany 7 miesięcy temu
Jak chronić dzieci w Internecie - poradnik dla rodziców
Parę lat temu magazyn „The Guardian” zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jak chronić dzieci korzystające z Internetu. W dzisiejszym odcinku podcastu Szurkogadanie przedstawię te pomysły, a także rozszerzę je o swój komentarz. Jeżeli więc jesteś rodzicem, który dba o dobro dzieci – ten odcinek jest dla Ciebie. Materiał w formie tekstowej: [link] 1:07 Zacznij rozmawiać jak najwcześniej 1:47 Tłumacz na czym polega bezpieczeństwo 2:03 Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie 3:03 Prywatność adresu domowego 3:49 Z Internetu nic nie ginie 5:13 Wygląd strony o niczym nie świadczy 6:00 Długofalowe skutki 6:31 Nie przyjmuj darmowych prezentów od nieznajomych 6:59 Nasze dane jako waluta 7:39 Gry Free-to-play 8:44 Niebezpieczne bajki na YouTube 10:07 Blokady nie zawsze działają 10:46 Zostań znajomym dziecka w serwisach społecznościowych 11:51 Świat się zmienia a z nim zagrożenia 12:26 Anonimowość to fikcja 13:32 Staraj się wyjaśniać niezrozumiałe rzeczy 14:01 Geolokalizacja zdjęć 14:40 Bezpieczeństwo gier 15:20 Gdzie szukać pomocy Tekst źródłowy: [link] Komiks o psach: [link] Klasyfikacja wiekowa gier PEGI: [link] Poradnik NASK: [link] Pomoc telefoniczna dla rodziców 800 100 100: [link] Zgłaszanie nielegalnych treści: [link] Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link]
pobierz 22.2 MB odcinki RSS iTunes www
opublikowany 7 miesięcy temu
Krzysztof Kotowicz: Rób to co lubisz
Dzisiaj moim gościem jest Krzysztof Kotowicz, który pracuje jako Senior Software Engineer w teamie Information Security Engineering w Google. Osoba, która o XSS wie naprawdę wiele. Z tego wywiadu dowiesz się o aktualnym stanie bezpieczeństwa serwisów internetowych i nowych standardach, które mają pomóc chronić użytkowników. Transkrypcja wywiadu: [link] 0:18 Kim jesteś? 1:01 Co to jest XSS? 2:39 Jak przekonać biznes? 4:25 Jak działa Trusted Types? 5:21 Minusy Trusted Types 8:19 Kto powinien być odpowiedzialny za kod polityk? 10:06 Jak wygląda praca w ramach Security Working Group? 12:37 Kto decyduje co trafia do przeglądarki? 13:57 Jak wyeliminować reflected XSS? 16:27 Do czego ma służyć CSP? 18:22 XSS vs Angular 22:19 Obejście CSP przy pomocy CDN 23:42 Kompatybilność a bezpieczeństwo 25:18 XSS Auditor 28:48 Sposób na kod HTML od użytkownika 33:25 Co byś usunął z JS? 35:09 Rozszerzenia w przeglądarkach 38:44 Rada dla początkujących 40:21 Czy osoby zajmujące się bezpieczeństwem powinny umieć programować? 41:40 Krzysztof Kotowicz programuje w … 42:21 Czy Bug Bounty wyprze normalne testy penetracyjne? 44:29 Największy minus Bug Bounty 47:23 Największy koszt Bug Bounty 48:43 Co to jest "script gadget"? 51:10 Czy można usunąć gadżety z frameworków? 53:31 Node i NPM  56:09 Jak radzisz sobie z nudą i powtarzalnością pracy? 58:05 Twój najciekawszy błąd to … 59:40 Za 10 lat chciałbym aby … 59:57 XS-Leaks 61:49 XS-Search w praktyce 65:24 Przyszłość Chromium Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] Angular logo: [link]
pobierz 94.8 MB odcinki RSS iTunes www
opublikowany 8 miesięcy temu
Jak uruchomić program Bug Bounty w swojej firmie?
Jesteś prezesem lub osobą odpowiedzialną za bezpieczeństwo firmy? Zastanawiasz się jak zwiększyć bezpieczeństwo? A może program Bug Bounty? Co to takiego i czy mojej firmie się opłaci? Jakie są plusy i minusy? Postaram się obalić mity powiązane z tym tematem, a także opisać jak można rozpocząć wdrażanie takiego tematu z punktu widzenia firmy. Na czym można oszczędzić i ile to tak naprawdę kosztuje? Więcej informacji na blogu: [link] 1:09 Jak wygląda test penetracyjny? 1:54 Plusy i minusy pentestu 2:50 Co to jest Bug Bounty? 3:25 Główna różnica pomiędzy pentestem 3:54 Ile to kosztuje? 4:32 Co to jest platforma 5:26 Średnie kwoty wypłat 6:49 Różnica pomiędzy prywatnym a publicznym programem 8:18 Jakie firmy mogą brać udział? 10:11 Od czego zacząć? 11:08 Start bez pieniędzy 12:07 Definiowanie zakresu 13:01 Współpraca pomiędzy działami 13:39 Jak rozliczyć koszty 14:32 Czy mogę zaufać hackerom? 15:24 Naprawa przyczyny a nie błędu 16:08 Sprawdzanie logów 16:51 Signal to noise ratio 17:50 Odnajdowanie słabych punktów 18:55 Live events Dodatkowe materiały: [link] [link] [link] [link] Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] Icon made by Freepik [link]
pobierz 28.1 MB odcinki RSS iTunes www
opublikowany 9 miesięcy temu
Jak nie zostać słupem? Metody oszustw
Na jakie metody oszustw można natknąć się przeglądając oferty na popularnych portalach ogłoszeniowych? Kim jest słup oraz jak można nim zostać? Jak to możliwe, że przestępca może wykonać przelew z naszego konta? Czy pośrednictwo w zakupie kryptowalut to dobra metoda dorabiania do kieszonkowego? Przesyłka za pobraniem nie taka bezpieczna jak się nam wydaje. Więcej informacji na blogu: [link] 0:55 Nigeryjski przekręt 1:34 Darmowe przedmioty 2:51 Początek problemów 4:33 Zweryfikowany odbiorca 6:14 Słup 6:58 Konto w banku 8:02 Kryptowaluty 9:37 Metoda na wakacje 11:14 Fałszywe sklepy internetowe 12:30 Ufam ale kontroluje 12:34 Przesyłka za pobraniem Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link] #podcast #szurkogadanie #oszustwa
pobierz 20.6 MB odcinki RSS iTunes www
opublikowany 9 miesięcy temu
Jak rozpocząć przygodę z programami Bug Bounty?
Jak rozpocząć swoja przygodę z poszukiwaniem błędów? Na co zwrócić szczególną uwagę? Zaczniemy od znalezienia interesującego nas programu. Następnie wyjaśnię co to jest zakres (scope). Później poszukamy subdomen, które można testować. Tutaj przydatny okaże się serwis Virustotal albo Certificate Transparency Log oraz archive.org. Dalej krótkie przypomnienie co to jest głębokie ukrycie i dlaczego nie powinno się go używać. Cały materiał zakończymy informacjami o rekonesansie i błędach, jakie można odnaleźć w sklepach internetowych. Więcej informacji na blogu: [link] 0:53 Pieniądze 2:20 Duplikaty 3:37 Platformy 4:49 Zakres 5:28 Open redirection 6:19 Wildcard 6:59 Subdomeny 7:41 Certificate transparency 9:11 Virustotal 10:01 Writeup 10:32 archive.org 11:52 Głębokie ukrycie 12:39 Git 13:50 GitHub 14:43 Chmura 15:34 Rekonesans Grupa na Facebooku: [link] Subskrybuj kanał: [link] Spotify: [link] Google Podcast: [link] Apple Podcasts: [link] Anchor: [link]
pobierz 24.8 MB odcinki RSS iTunes www
Starsze
»
miodek