Hacking Archives - Strona 4 z 7

Nie zgłaszaj luk Facebookowi!

19 grudnia 2015 przez bartek

Researcher Wesley Wineberg uzyskał dostęp do interfesjów shell i webowych Instagrama. W ramach zgłoszenia odnalezionych tak krytycznych luk w programie bug bounty Facebooka otrzymał w zamian NIC oraz zgłoszono to jego pracodawcy i grożono sztabem prawników.

http://exfiltrated.com/research-Instagram-RCE.php

Cała historia oraz jej echa zapewne na długo zapamiętają ludzie zajmujący się pentestingiem, sądząc po tym jaką burzę to wywołało już np. na Reddicie.

https://www.reddit.com/r/programming/comments/3xawa9/instagrams_million_dollar_bug/

Teraz zapewne każdy kto znajdzie tak poważną lukę 2 razy się zastanowi, czy sprzedać to pośrednikowi czy na czarnym rynku, ponieważ to w jaki sposób potraktował to Facebook nikogo więcej nie zachęci do zgłaszania do samego producenta, jeśli efektem jest brak jakiegokolwiek wynagrodzenia i jeszcze informowanie pracodawców…

Dlaczego lepiej nie klikać linków na IRCu?

10 listopada 2015 przez bartek

Stali bywalcy kanałów IRC wiedzą, że przesyłane linki czasami mogą zaszokować, jednak temu Panu kliknięcie na jednego linka sprowadziło do domu policję, agentów z oddziału antyterrorystycznego i prokuratora, poranek jak z bajki 🙂

https://blog.haschek.at/post/f7b6d

A wy na jakich kanałach przesiadujecie?

Magento Exploit

31 października 2015 przez bartek

Nasz przyjaciel Dawid Gołuński wypuścił advisory dotyczące popularnego skryptu do tworzenia sklepów Internetowych – Magento wraz z przykładowym exploitem bazującym na injekcji dodatkowych komend w zapytaniu SOAP (XML eXternal Entity, w skrócie XXE).

Luki dotyczą wersji:

eBay Magento CE <= 1.9.2.1       XML eXternal Entity Injection (XXE) on PHP FPM
eBay Magento EE <= 1.14.2.1

Advisory dostępne pod adresem http://legalhackers.com/advisories/eBay-Magento-XXE-Injection-Vulnerability.txt

Jak informuje Softpedia, w podobnym czasie została wykryta także luka pozwalająca na zdalne wykonanie kodu.

Oferty pracy z dziedziny bezpieczeństwa komputerowego

14 sierpnia 2015 przez bartek

Chciałbym poinformować, że w serwisie Security News można od dzisiaj wrzucać darmowe oferty pracy:

Wszystkie oferty – https://www.secnews.pl/praca/

Dodawanie ofert – https://www.secnews.pl/dodaj-oferte-pracy/

Nowe oferty pracy są wyświetlane na każdej podstronie serwisu SecNews, więc jest to dodatkowy plus i całkiem spory zasięg jak na serwis zajmujący się takimi niszowymi tematami jak reverse engineering, pentesting i programowanie.

W tym miesiącu SecNews zanotował 65535 (aż 2 razy musiałem sprawdzić, w hex wychodzi 0xFFFF) wizyt 🙂

Jeśli szukacie pracowników lub ktoś znajomy to zachęcam do wrzucania ofert. Warto się przy okazji zarejestrować, bo pozwala to na łatwe zarządzanie ofertami.

ESET Praca Programista w Krakowie Zarobki

25 czerwca 2015 przez bartek

Firma ESET poszukuje pracowników na stanowisko programista, na miejscu w Krakowie (relokacja we własnym zakresie).

Core Software Engineer

http://www.joineset.com/job-programmer-core.html

Oferowane zarobki na tym stanowisku to 14.000 PLN

Praca dla pentestera w 7N

10 czerwca 201527 maja 2015 przez bartek

Firma 7N poszukuje osoby na stanowisko IT Security Specialist/Expert.

Zakres obowiązków:

testy bezpieczeństwa, systemów, aplikacji, sieci oraz symulację ataków
rekomendowanie rozwiązań dla wykrytych podatności
rozwój narzędzi bezpieczeństwa i do monitorowania/bezpieczeństwa IT
analizę podatności oprogramowania oraz złośliwego oprogramowania
analizę ruchu sieciowego

Oczekujemy:

min. 3-4 lata relewantnego doświadczenia
szerokiej wiedzy na temat podatności systemów, aplikacji (web i mobilne) i urządzeń sieciowych
znajomość jednej z wymienionych technik: OWASP, ESAPI, SSP, etc.
znajomość zagadnień kryptografii oraz zagadnień dotyczących bezpieczeństwa sieci teleinformatycznej
mile widziany: certyfikat branżowy (np. CISSP, CEH, etc.)
dobrej znajomości j. angielskiego
dążenie do własnego rozwoju zawodowego

Oferujemy (jak zawsze w 7N):

Jawność finansową: wynagrodzenie w wysokości ok. 9000-10000 brutto na UOP lub 10000-11000 PLN + VAT przy b2b. To nasza wstępna propozycja, negocjowalna w zależności od indywidualnych oczekiwań oraz od doświadczenia i kompetencji danego Konsultanta.
Telefon i komputer służbowy.
Przejrzysty model (75/25) rozliczeń – nasi Konsultanci otrzymują 75% stawki, którą 7N otrzymuje za ich pracę od Klienta – ww. stawki są docelowymi, które otrzyma konsultant.
Finansowe wsparcie w rozwoju zawodowym – dofinansowujemy szkolenia, certyfikaty techniczne oraz naukę języków obcych.
Brak umów lojalnościowych (po godzinach można nadal wspierać swoich Klientów)
Dofinansowanie opieki zdrowotnej i karty Benefit Multisport niezależnie od formy współpracy

W przypadku zainteresowania, poproszę o kontakt/przesłanie aktualnego CV na adres: dagon[at]7n[dot]com