Asmens duomenų šmikiai

⚠️Svečio atsiųstas straipsnis:
Kas yra BDAR? BDAR tai “Bendras duomenų apsaugos reglamentas”. Tai ES reglamentas, įsigaliojęs 2018 metais. Pažeidus BDAR nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10000000–20000000 EUR.

»
Author's profile picture Anonymous on HackAndTell and 1A

Vulnerable deserialization in dnSpy and Resource.NET

I find deserialization vulnerabilities somewhat special and beautiful. The fact you can execute your own code (sometimes remotely) in an application written in a managed language and it doesn’t even take memory corruption or stack overflow is mind blowing. Because of that I’m very interested in this kind of vulnerabilities, especially in .NET based applications. No wonder a blog post by Soroush Dalili about deserialization of .NET resources caught my attention.

»
Author's profile picture Jaroslav Lobačevski on HackAndTell, Deserialization, dnSpy, and Resource.NET

Path Traversal in Aspose.ZIP for .NET

I had been getting newsletters from Aspose for quite some time. They didn’t bother me too often and I liked scrolling the emails to see what new libraries they have implemented. Once, a new library named Aspose.ZIP for .NET caught my eye. I wondered if it is resistant to an obvious attack vector - path traversal that was on hype recently because one company tried to re-brand the vulnerability name :)

»
Author's profile picture Jaroslav Lobačevski on HackAndTell, PathTraversal, and Aspose.ZIP

Joplin ElectronJS based Client: from XSS to RCE

One day I was reading the master’s thesis “Analysis of Electron-Based Applications…” by Silvia Väli. She basically applied the auditing checklist by Luca Carettoni, searched GitHub projects for some interesting keywords and then manually reviewed and tested for vulnerabilities. The hypothesis of her thesis was that since Electron framework has many insecure defaults there must be significant number of vulnerable applications. It appeared to be true and she scored a bunch of nice CVEs.

»
Author's profile picture Jaroslav Lobačevski on HackAndTell, ElectronJS, XSS, and RCE

Atsakingas atskleidimas. Lietuvos pavyzdys.

⚠️Šiandien publikuoju svečio atsiųstą straipsnį:
Kiekvienas viešai prieinamas servisas yra pažeidžiamas. Nei viena įmonė nėra apsaugota nuo programuotojų klaidų, kad ir kiek ji investuoja į saugumą. Todėl kiekviena įmonė turi būti pasiruošusi saugumo incidentui, turėti planą.

»
Author's profile picture Anonymous on HackAndTell and ServeriaiLT

Kaip aš nulaužiau Vilnius.lt

Tiesą sakant, visai nesiruošiau toliau užsiimti vilnius.lt. Bet taip išėjo, kad ėjau arbatos ir kolega pakvietė užeiti į jo kambarį. “Žiūrėk! Jie turi dar tokį daugiabuciai.vilnius.lt” - pasakė jis - “Nenori jo nulaužti?..”

»
Author's profile picture Jaroslav Lobačevski on HackAndTell and Vilnius.lt

Kodėl hakeriai nemoka baudų? 2-oji dalis.

Po praeito straipsnio kai kas atkreipė mano dėmesį į tai, kad tvarkaumiesta.lt (toliau TM) kodas yra atviras ir netgi galima pasižiūrėti kaip buvo ištaisyta saugumo skylė. Tai paskatino mane paanalizuoti TM giliau.

»
Author's profile picture Jaroslav Lobačevski on HackAndTell and TvarkauMiesta

A story of one not-a-bug SQL injection

Recently I was auditing a website for security vulnerabilities. I found few good issues, but one part of the application looked solid - all interactions with database were done through PHP-MySQLi-Database-Class - a helper library that utilized parameterized statements. I wanted to get into the database really badly, so the only option I had was to find a vulnerability in the library.

»
Author's profile picture Jaroslav Lobačevski on HackAndTell and SQLi

Kodėl hakeriai nemoka baudų?

Straipsnis pirmą kartą publikuotas 2019-02-20 Linkedin.
Manau https://tvarkaumiesta.lt yra puikus puslapis suteikiantis galimybę teikti pasiūlymus miesto tvarkymo klausimais arba įskųsti kokį pažeidėją ;) Teko ir pačiam pasinaudoti juo. Mano dėmesį patraukė keturios ikonos po paties sukurtu pranešimu kurių iš pradžių net nepastebėjau:

»
Author's profile picture Jaroslav Lobačevski on HackAndTell and TvarkauMiesta