Lukáš Renc2. května 2021
[-]

Bypass ochrany proti útoku CSRF

Ukážeme si obejití CSRF (Cross Site Request Forgery) ochrany implementovanou dvěma rozdílnými způsoby. Popisujeme případ z reálného penetračního testu z poslední doby (tedy ne, nebudeme využívat zranitelnosti Adobe Flash :) ). CSRF je jedna z metod útoku pracující na bázi provedení nezamýšleného požadavku pro vykonání autentizované akce v dané aplikaci, který ovšem pochází z nelegitimního zdroje. Podrobnější popis zde: https://owasp.org/www-community/attacks/csrf

Stanislav Klubal1. února 2021
[-]

NFC je bezpečné! A nebo není?

S NFC se již pravděpodobně setkal v některé životní situaci téměř každý, i když si to třeba v danou chvíli zcela neuvědomoval. Přinejměnším ti z Vás, kteří používají svůj chytrý telefon k bezkontaktním platbám u obchodníků (Google Pay, Apple Pay) nebo přenosu kontaktů z telefonu do telefonu. Je však čeho se obávat nebo je NFC protokol zcela bezpečný?

Michael Kupka18. ledna 2021
[-]

Odposlouchávání GSM komunikace

Jak je to s odposloucháváním mobilní komunikace na bezdrátové úrovni? Jsou stávající standardy pro mobilní komunikaci bezpečné? V tomto článku si ukážeme případovou studii – odposlech SMS zpráv na 2G GSM sítích. Upozornění: jedná se o praktickou ukázku (Proof-of-Concept) pro edukativní účely na vlastním telefonu, pro odposlech vlastních GSM dat.

Erik Šabík30. prosince 2020
[-]

Reverse Engineering IoT zariadenia

IoT (Internet of Things) zariadenia sa čoraz viac stávajú neoddeliteľnou súčasťou každodenného života a to nie len v prostredí domácností ale aj vo firmách, zdravotných zariadeniach či väčších spoločnostiach. V tomto článku sa pozrieme na bezpečnosť jedného IoT zariadenia, ktoré kvôli svojmu účelu môžeme nájsť naozaj kdekoľvek.

Erik Šabík4. října 2020
[-]

Ako prekonať mechanizmus CAPTCHA

Webové aplikácie často implementujú funkcionality ako prihlásenie pre užívateľov, rôzne vyhľadávacie funkcie, chatovacie funkcie a iné. Tieto funkcionality, ak nie sú dostatočne zabezpečené, sa stávajú terčom rôznych automatizovaných útokov – slovníkový útok na prihlasovací formulár, automatické vyhľadávanie za účelom prehľadávania obsahu, rôzne formy chatbotov a iné. Pre zabezpečenie funkcií pred automatizovanými skriptami sa často používa mechanizmus CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). V tomto článku sa pozrieme na rôzne typy týchto mechanizmov a spôsoby ako ich obísť.