»Why Shortened URLs Pose a Security Risk«
On Mastodon / Fediverse, shortening the URL is not necessary at all, because they are not marked in their full length. Apart from the shorter tracking, their data collection frenzy as well as their timing is also very inconvenient.
🚫 https://blog.acer.com/en/discussion/2367/why-shortened-urls-pose-a-security-risk
#shorturl #securityrisk #websecurity #url #web #sec #websec #websecurity #short #mastodon #fediverse #urlshortener #notsecure
Hackowanie aplikacji webowych z Michałem Sajdakiem
Co robicie w środę 10 grudnia o godz. 20:00? 🙂 My odpalamy bezpłatne szkolenie z bezpieczeństwa aplikacji webowych, prowadzone przez założyciela portalu sekurak.pl, Michała Sajdaka! Warto wbić online na żywo. Podczas półtoragodzinnego pokazu zobaczycie przegląd najciekawszych (aktualnych) luk bezpieczeństwa w aplikacjach webowych, poznacie ciekawe tricki związane z analizowaniem bezpieczeństwa konsol...
https://sekurak.pl/hackowanie-aplikacji-webowych-z-michalem-sajdakiem/
asystent.ai – publicznie dostępne API (użytkownicy / hashowane hasła / konwersacje z AI / pliki / …). Możliwe było pobranie danych zwykłą przeglądarką.
TLDR: Dostępne bez żadnego logowania API aplikacji asystent[.]ai / Minerva. Listowanie użytkowników, szczegóły użytkowników (w tym hashe haseł), pliki wysyłane przez użytkowników, konwersacje z AI. Aby zobaczyć te dane, wystarczyła zwykła przeglądarka. Przykład wyniku zwracanego przez https://api.asystent[.]ai/users/ Ale po kolei. 23.11.2025 czytelnik zgłosił nam niepokojącą serię podatności w rozwiązaniu asystent[.]ai...
Absurdalna dziura w AI-owym narzędziu dla prawników (Filevine). W prosty sposób można było pobrać bez uwierzytelnienia ~100000 projektów/dokumentów
Chodzi o appkę Filevine – “AI Legal Assistant”. Badacz bezpieczeństwa (aka hacker) popatrzył trochę w źródła javascript na pewnej domenie Filevine, znalazł tam pewien endpoint API. Endpoint dostępny był bez uwierzytelnienia i umożliwiał wyszukiwanie dowolnych “projektów prawnych” stworzonych w appce przez innych użytkowników. Wystarczyło podać nazwę projektu. No OK, ale...
Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182
Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). Jeśli nie masz tego zainstalowanego – nie jesteś podatny. Jeśli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta) – to cały czas możesz być podatny: “Even if your app does not implement any...
Few days left to submit your work to #MADWeb '26!
The CfP is open until Dec 11 (AOE). We welcome all Web-related submissions from full papers (10 pages) to work-in-progress papers (6 pages, no proceedings).
It's a great chance to present your work in the sunny San Diego, connect with an amazing community, or get early feedback to improve your research. Don't miss out and spread the word!
Awareness für Web-Security — Die OWASP Top Ten 2025
Der erste Release Candidate der neuen @owasp Top Ten enthüllt die größten Sicherheitsrisiken in der Webentwicklung - von Konfiguration bis Software Supply Chain.
#websecurity #passwort #owasp #web #websec #supplychain #webdev #topten #sicherheit #software #awareness
Wielkopolskie Centrum Medycyny Pracy – zmieniając w przeglądarce numer ID, można było zobaczyć wyniki badań innych pacjentów.
Marcin zgłosił nam prostą do wykorzystania lukę / podatność. Otóż wykonywał badania w Wielkopolskim Centrum Medycyny Pracy i w jednym z systemów zaciekawił go numer, który był widoczny w źródle HTML, a był związany z wykonywaniem badania. Zmienił ten numer o jeden i… otrzymał dostęp do wyników badań innego pacjenta....
Wybrane urządzenia Fortineta pod ostrzałem – atakujący wykorzystywali 0day
Zanim przejdziemy do konkretnego opisu informacja dla administratorów: podatne są następujące wersje FortiWeb dla poszczególnych linii oprogramowania: Ponadto pojawiła się wreszcie oficjalna informacja od producenta (oraz identyfikator: CVE-2025-64446). Luka została wyceniona na 9.1 w skali CVSS 3.1 czyli krytyczna. TLDR: Fortinet to firma, która bardzo często gości na naszych łamach....
#Aktualności #Cgi #Fortinet #PathTraversal #Rce #Websec
https://sekurak.pl/wybrane-urzadzenia-fortineta-pod-ostrzalem-atakujacy-wykorzystywali-0day/
Pojawiła się długo wyczekiwana aktualizacja listy OWASP Top Ten!
OWASP właśnie ogłosił wydanie Release Candidate (RC1 z dnia 6 listopada 2025) nowej wersji znanej na całym świecie listy najbardziej istotnych klas problemów bezpieczeństwa aplikacji webowych – OWASP Top 10:2025. To już ósma edycja (poprzednia pochodziła z 2021 roku), która stanowi punkt odniesienia dla programistów, testerów bezpieczeństwa i całej branży...
#Aktualności #OWASP #Programowanie #Szkolenie #Topten #Websec
https://sekurak.pl/pojawila-sie-dlugo-wyczekiwana-aktualizacja-listy-owasp-top-ten/
"Phát triển công cụ tự động kiểm tra bảo mật web ngay! 🤖 Công cụ phân tích HTTP headers, phát hiện thiếu CSP/HSTS, script nguy hiểm, HTTPS yếu, lỗi cookie, CORS/SSL/TLS và tạo báo cáo HTML dễ hiểu. Hỗ trợ doanh nghiệp, startup khắc phục lỗ hổng bảo mật hiệu quả. Tận dụng công cụ mở hàng hoặc hợp tác - cần hỗ trợ? nhắn ngay! 💬 #cybersecurity #toolDev #WebSec #BảoMậtWeb #DevUtils"
QNAP ostrzega o… krytycznej podatności w ASP.NET
Kestrel to domyślny i lekki serwer HTTP wykorzystywany przez aplikacje w technologii ASP.NET Core. Do jego zalet można zaliczyć między innymi wieloplatformowość i wydajność. Dokładając do tego fakt, że jest to rozwiązanie dostępne “z pudełka”, otrzymujemy bardzo popularną zależność (od angielskiego dependency). Duża popularność tego rozwiązania, powoduje że atakujący stosunkowo...
#WBiegu #Aspnet #Exploit #Httpsmuggling #Kestrel #Podatność #Qnap #Websec #Windows
https://sekurak.pl/qnap-ostrzega-o-krytycznej-podatnosci-w-asp-net/
Platforma e-commerce Sky-Shop informuje swoich klientów o ataku.
To nie będzie łatwy poranek dla właścicieli sklepów prowadzonych na platformie e-commerce sky-shop.pl. Od rana, platforma prowadzi akcję informacyjną, dotyczącą ataku, który został wykryty 28.10.2025 r. Sky-Shop rozesłał wiadomość e-mail do swoich klientów, w której obszernie informuje o zaistniałym incydencie. Według przeprowadzonej analizy powłamaniowej, do ataku miało dojść 19.10.2025, kiedy...
https://sekurak.pl/platforma-e-commerce-sky-shop-pl-informuje-swoich-klientow-o-ataku/
🚨 CVE-2025-64095 (CRITICAL, CVSS 10): Dnn.Platform <10.1.1 allows unauthenticated file uploads, leading to defacement & XSS. Upgrade to 10.1.1 now! Monitor for unauthorized changes & tighten upload controls. https://radar.offseq.com/threat/cve-2025-64095-cwe-434-unrestricted-upload-of-file-9698bbb8 #OffSeq #DNN #Vuln #WebSec
Za nami Pwn2Own 2025. Ujawniono aż 73 ataki zero-day. Łączna pula nagród przekroczyła milion dolarów.
W redakcji doceniamy prawdziwą hakerską robotę, dlatego z uwagą śledzimy (a później analizujemy raporty zwane writeupami) zmagania podczas zawodów spod szyldu Pwn2Own organizowanych przez Zero Day Initiative. Tegoroczna edycja odbyła się między 21 a 24 października 2025 w Cork, w Irlandii. Zawodnicy mogli zmierzyć się w ośmiu kategoriach: Szczegółowy zestaw...
#WBiegu #Exploit #Hardware #Mobile #Podatnosc #Pwn2Own #Smart #Websec
Badaczom udało się zhakować Formułę 1 i “wykraść” paszport Verstappena
Jedną z fajniejszych, z punktu widzenia pentestera, podatności (chociaż trochę niedoceniana) jest podatność masowego przypisania (mass assignment). Dzięki niej, możliwa jest zmiana np. pól obiektu, które nie powinny zostać zmienione. Powstaje najczęściej w wyniku błędnego użycia funkcjonalności np. biblioteki, która pozwala zmapować parametry zapytania do wewnętrznej reprezentacji obiektu w aplikacji. ...
#WBiegu #F1 #MassAssignment #Podatność #Websec
https://sekurak.pl/badaczom-udalo-sie-zhakowac-formule-1-i-wykrasc-paszport-verstappena/
Agent AI źródłem problemów w Salesforce – jak można było doprowadzić do wycieku danych klientów? ForcedLeak
Integracja LLMów z narzędziami codziennego użytku nie zwalnia. Cóż, nie ma się co dziwić. Odpowiednio zaprojektowany agent upraszcza bardzo pracę operatora. Jednak jak mieliśmy okazję przekonać się niedawno, niesie za sobą również poważne zagrożenia. Badacze z firmy NOMA przeczytali chyba te same źródła, ponieważ zaprezentowali bardzo podobny atak, który pozwala...
#WBiegu #Ai #Exploit #Indirect #PromptInjection #Salesforce #Websec
Чем грозит вашему проекту установка пакетов «вслепую»
Доброго дня, читатель! Меня зовут Александр Роут, я фронтенд‑разработчик в Домклик. В сентябре 2025 года в экосистеме npm произошёл тревожный инцидент: злоумышленники получили доступ к репозиториям нескольких популярных пакетов и внедрили в них вредоносный код. Этот код мог подменять адреса криптокошельков и перехватывать финансовые транзакции. Эта атака — не первый и не последний случай в истории. Она вновь подняла важный вопрос «Насколько мы можем доверять сотням зависимостей, которые добавляем в свои проекты?» Часто мы устанавливаем пакеты, практически не задумываясь о том, что именно скачиваем и запускаем. Особую опасность представляют postinstall‑скрипты, которые могут выполнять произвольные действия на вашем компьютере сразу после установки.
Aktualizujcie telewizory LG – podatność path traversal w popularnym systemie operacyjnym telewizorów
Naszym ulubionym hasłem, dotyczącym IoT jest to, które mówi, że litera “s” w tym skrócie pochodzi od “security”. Niestety oprócz przydatnych funkcji umilających życie, “smart” urządzenia niosą za sobą większą powierzchnię ataku. A ponieważ użytkownik domowy nie zawsze pamięta o aktualizacjach komputera osobistego czy telefonu, to prawdopodobieństwo wgrania potrzebnych łatek...
#WBiegu #Awareness #Iot #Lg #Pathtraversal #Podatność #Webos #Websec
Możliwość przejęcia dowolnego konta Flowise przez funkcję resetu hasła
Flowise to otwartoźródłowa platforma do tworzenia aplikacji opartych na sztucznej inteligencji, takich jak chatboty czy systemy agentowe. Umożliwia tworzenie scenariuszy przez wizualny interfejs (drag & drop), bez konieczności pisania dużej ilości kodu. Dzięki wsparciu dla LLM-ów (Large Language Models), RAG (Retrieval Augmented Generation) i integracji z różnymi źródłami danych pozwala...
#WBiegu #Flowise #Hasło #Podatność #Websec
https://sekurak.pl/mozliwosc-przejecia-dowolnego-konta-flowise-przez-funkcje-resetu-hasla/
