Jan Klusáček4. září 2025
[-]

Ochrana proti profilování v online vyhledávačích pomocí obfuskace dotazů

Moderní vyhledávače personalizují výsledky na základě profilů uživatelů, což zvyšuje relevanci, ale ohrožuje soukromí a podporuje vznik filtračních bublin. Tento článek představuje lehkou strategii obfuskace na straně klienta, která pomocí náhodně generovaných vícejazyčných dotazů narušuje profilování. Řízené experimenty na Seznam.cz ukazují, že ačkoli výsledky vyhledávání zůstávají stabilní, tak identifikované zájmy uživatelů se vlivem obfuskace výrazně mění.

Tomáš Prager3. července 2025
[-]

ClickFix aneb cesta je cíl

Průzkumník souborů ve Windows nabízí více funkcí, než si většina uživatelů uvědomuje. Kromě běžné navigace mezi složkami umožňuje také spouštění programů přímo z adresního řádku. Pokud uživatel například zadá powershell.exe, nejde o chybu, ale o očekávané chování. Průzkumník předá zadaný text operačnímu systému, a pokud odpovídá názvu spustitelného souboru nebo příkazu dostupného v systémové cestě, Windows jej automaticky spustí.

Michael Kupka14. května 2025
[-]

Zerologon – rychlá cesta k ovládnutí Active Directory + praktická ukázka

Zerologon je název zranitelnosti identifikované jako CVE-2020-1472, kterou objevil Tom Tervoort, bezpečnostní expert společnosti Secura’s Security. Pro stručné vysvětlení: Zerologon byl způsoben chybou v kryptografickém autentizačním schématu používaném protokolem Netlogon Remote Protocol (MS-NRPC), která způsobuje obcházení autentizace. Obejitím autentizačního tokenu pro konkrétní funkci Netlogon mohl útočník zavolat funkci, která nastavila heslo doménového řadiče (DC) na známou hodnotu. Poté může útočník DC ovládnout a ukrást přihlašovací údaje všech uživatelů domény.

Ľuboš Guláň22. dubna 2025
[-]

Bug bounty: trpezlivosť ako zbraň

V tomto článku sa podrobnejšie pozrieme na to, čo znamená pojem Bug Bounty, ako uvažujú profesionálni bug bounty hunteri a prečo aj na prvý pohľad neškodné chyby môžu predstavovať vážne bezpečnostné riziko. Ukážeme si, ako možno z menej závažných zraniteľností vyťažiť maximum a premeniť ich na chyby, ktoré sú klasifikované ako high alebo critical. Práve schopnosť odhaliť skrytý potenciál zdanlivo nevinných problémov odlišuje bežných lovcov chýb od tých najúspešnejších.

Filip Opluštil18. února 2025
[-]

Bezpečnost a audit RADIUS serveru

V tomto článku se stručně zaměříme na správná bezpečnostní nastavení při používání RADIUS serveru. Jak postupovat při jeho instalaci, konfiguraci a následném auditu. Ukážeme si, jaká dodržovat pravidla při jeho provozu, a také co přesně si zkontrolovat a na co si dávat pozor. Z důvodu velkého počtu možných řešení a komplexnosti se nebudeme pouštět do nějakých detailních technikálií, pouze obecně popíšeme, jak by měl správce sítě postupovat. Zmíněné RADIUS servery se dají využít jak v malých podnicích, tak ve velkých síťových infrastrukturách.