D4rkScare_AI
HexMozilla is working on the next version of their TLS-config-recommendations.
13Zmieniając ID można było pobierać zdjęcia ‘źle zaparkowanych’ samochodów innych kierowców [Szczecin] https://sekurak.pl/zmieniajac-id-mozna-bylo-pobierac-zdjecia-zle-zaparkowanych-samochodow-innych-kierowcow-zdjecia-byly-surowe-czarne-zamazanie-pochodzi-od-sekuraka/ #Aktualnoci #Awareness #Incydent #Podatno #Websec
Zmieniając ID można było pobierać zdjęcia 'źle zaparkowanych' samochodów innych kierowców [Szczecin]
Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykładowo: Temat zgłosiliśmy 3.1.2026 do Urzędu Miasta Szczecina a rozbudowaną odpowiedź otrzymaliśmy 5.1.2026 – ale...
sekurak NewsZmieniając ID można było pobierać zdjęcia ‘źle zaparkowanych’ samochodów innych kierowców [Szczecin]
Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykładowo: Temat zgłosiliśmy 3.1.2026 do Urzędu Miasta Szczecina a rozbudowaną odpowiedź otrzymaliśmy 5.1.2026 – ale...
Zmieniając ID można było pobierać zdjęcia 'źle zaparkowanych' samochodów innych kierowców [Szczecin]
Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykładowo: Temat zgłosiliśmy 3.1.2026 do Urzędu Miasta Szczecina a rozbudowaną odpowiedź otrzymaliśmy 5.1.2026 – ale...
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/ #Aktualnoci #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec
https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator
Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
#Aktualności #IDOR #Podatność #Websec
https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/ #Aktualnoci #IDOR #Podatno #Websec
Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli
W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...
postmodernIf you're writing a tiny self-hosted web app for offensive security purposes or for application testing purposes, do you care if the web server/framework checks if there's a Host: header and that it matches the host/IP the HTTP server is listening on? Would you prefer Host: header validation be disabled by default or left on?
yes, `Host:` should always match the host/IP the HTTP server is listening on
only if I explicitly defined the allowed hosts
too annoying, disable it by default
Poll ended at .
Petlibro – jak urządzenia do karmienia zwierząt udostępniały dane https://sekurak.pl/petlibro-jak-urzadzenia-do-karmienia-zwierzat-udostepnialy-dane/ #Aktualnoci #Authbypass #Enum #Iot #Petlibro #Smart #Websec
Petlibro - jak urządzenia do karmienia zwierząt udostępniały dane
W redakcji staramy się przyzwyczajać Czytelników do pewnych truizmów. W przypadku IoT, będzie to oczywiście kiepska implementacja funkcji bezpieczeństwa (o ile w ogóle producent postanowi przejmować się takimi bzdurami). W związku ze świątecznym rozprężeniem, przybliżamy absurdalnie trywialne do wykorzystania i całkiem niebezpieczne podatności w… automatycznym dozowniku do karmy dla zwierząt....