Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli

W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...

#Aktualności #IDOR #Podatność #Websec

https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/

Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/ #Aktualnoci #IDOR #Podatno #Websec

If you're writing a tiny self-hosted web app for offensive security purposes or for application testing purposes, do you care if the web server/framework checks if there's a Host: header and that it matches the host/IP the HTTP server is listening on? Would you prefer Host: header validation be disabled by default or left on?

#websec #offsec #appsec

Petlibro – jak urządzenia do karmienia zwierząt udostępniały dane https://sekurak.pl/petlibro-jak-urzadzenia-do-karmienia-zwierzat-udostepnialy-dane/ #Aktualnoci #Authbypass #Enum #Iot #Petlibro #Smart #Websec

Petlibro – jak urządzenia do karmienia zwierząt udostępniały dane

W redakcji staramy się przyzwyczajać Czytelników do pewnych truizmów. W przypadku IoT, będzie to oczywiście kiepska implementacja funkcji bezpieczeństwa (o ile w ogóle producent postanowi przejmować się takimi bzdurami). W związku ze świątecznym rozprężeniem, przybliżamy absurdalnie trywialne do wykorzystania i całkiem niebezpieczne podatności w… automatycznym dozowniku do karmy dla zwierząt....

#Aktualności #Authbypass #Enum #Iot #Petlibro #Smart #Websec

https://sekurak.pl/petlibro-jak-urzadzenia-do-karmienia-zwierzat-udostepnialy-dane/

Hackowanie aplikacji webowych z Michałem Sajdakiem

Co robicie w środę 10 grudnia o godz. 20:00? 🙂 My odpalamy bezpłatne szkolenie z bezpieczeństwa aplikacji webowych, prowadzone przez założyciela portalu sekurak.pl, Michała Sajdaka!  Warto wbić online na żywo. Podczas półtoragodzinnego pokazu zobaczycie przegląd najciekawszych (aktualnych) luk bezpieczeństwa w aplikacjach webowych, poznacie ciekawe tricki związane z analizowaniem bezpieczeństwa konsol...

#WBiegu #Szkolenie #Websec

https://sekurak.pl/hackowanie-aplikacji-webowych-z-michalem-sajdakiem/

asystent.ai – publicznie dostępne API (użytkownicy / hashowane hasła / konwersacje z AI / pliki / …). Możliwe było pobranie danych zwykłą przeglądarką.

TLDR: Dostępne bez żadnego logowania API aplikacji asystent[.]ai / Minerva. Listowanie użytkowników, szczegóły użytkowników (w tym hashe haseł), pliki wysyłane przez użytkowników, konwersacje z AI. Aby zobaczyć te dane, wystarczyła zwykła przeglądarka. Przykład wyniku zwracanego przez https://api.asystent[.]ai/users/ Ale po kolei. 23.11.2025 czytelnik zgłosił nam niepokojącą serię podatności w rozwiązaniu asystent[.]ai...

#Aktualności #Ai #Api #Websec #Wyciek

https://sekurak.pl/asystent-ai-publicznie-dostepne-api-uzytkownicy-hashowane-hasla-konwersacje-z-ai-pliki-mozliwe-bylo-pobranie-danych-zwykla-przegladarka/

Absurdalna dziura w AI-owym narzędziu dla prawników (Filevine). W prosty sposób można było pobrać bez uwierzytelnienia ~100000 projektów/dokumentów

Chodzi o appkę Filevine – “AI Legal Assistant”. Badacz bezpieczeństwa (aka hacker) popatrzył trochę w źródła javascript na pewnej domenie Filevine, znalazł tam pewien endpoint API. Endpoint dostępny był bez uwierzytelnienia i umożliwiał wyszukiwanie dowolnych “projektów prawnych” stworzonych w appce przez innych użytkowników. Wystarczyło podać nazwę projektu. No OK, ale...

#Aktualności #Ai #Prawnicy #Prawo #Websec #Wyciek

https://sekurak.pl/absurdalna-dziura-w-ai-owym-narzedziu-dla-prawnikow-filevine-w-prosty-sposob-mozna-bylo-pobrac-bez-uwierzytelnienia-100000-projektow-dokumentow/

Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182

Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). Jeśli nie masz tego zainstalowanego – nie jesteś podatny. Jeśli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta) – to cały czas możesz być podatny: “Even if your app does not implement any...

#WBiegu #Deserializacja #Rce #Websec

https://sekurak.pl/krytyczna-podatnosc-unauth-remote-code-execution-w-react-server-components-10-10-w-skali-cvss-cve-2025-55182/

Few days left to submit your work to #MADWeb '26!

The CfP is open until Dec 11 (AOE). We welcome all Web-related submissions from full papers (10 pages) to work-in-progress papers (6 pages, no proceedings).

It's a great chance to present your work in the sunny San Diego, connect with an amazing community, or get early feedback to improve your research. Don't miss out and spread the word!

🔗 https://madweb.work/

@madwebwork

#cfp #web #websec #websecurity

Wielkopolskie Centrum Medycyny Pracy – zmieniając w przeglądarce numer ID, można było zobaczyć wyniki badań innych pacjentów.

Marcin zgłosił nam prostą do wykorzystania lukę / podatność. Otóż wykonywał badania w Wielkopolskim Centrum Medycyny Pracy i w jednym z systemów zaciekawił go numer, który był widoczny w źródle HTML, a był związany z wykonywaniem badania. Zmienił ten numer o jeden i… otrzymał dostęp do wyników badań innego pacjenta....

#Aktualności #IDOR #Medycyna #Websec #Wyciek

https://sekurak.pl/wielkopolskie-centrum-medycyny-pracy-zmieniajac-w-przegladarce-numer-id-mozna-bylo-zobaczyc-wyniki-badan-innych-pacjentow/

Wybrane urządzenia Fortineta pod ostrzałem – atakujący wykorzystywali 0day

Zanim przejdziemy do konkretnego opisu  informacja dla administratorów:  podatne są następujące wersje  FortiWeb dla poszczególnych linii oprogramowania: Ponadto pojawiła się wreszcie oficjalna informacja od producenta (oraz identyfikator: CVE-2025-64446). Luka została wyceniona na 9.1 w skali CVSS 3.1 czyli krytyczna.   TLDR: Fortinet to firma, która bardzo często gości na naszych łamach....

#Aktualności #Cgi #Fortinet #PathTraversal #Rce #Websec

https://sekurak.pl/wybrane-urzadzenia-fortineta-pod-ostrzalem-atakujacy-wykorzystywali-0day/

Pojawiła się długo wyczekiwana aktualizacja listy OWASP Top Ten!

OWASP właśnie ogłosił wydanie Release Candidate (RC1 z dnia 6 listopada 2025) nowej wersji znanej na całym świecie listy najbardziej istotnych klas problemów bezpieczeństwa aplikacji webowych – OWASP Top 10:2025. To już ósma edycja (poprzednia pochodziła z 2021 roku), która stanowi punkt odniesienia dla programistów, testerów bezpieczeństwa i całej branży...

#Aktualności #OWASP #Programowanie #Szkolenie #Topten #Websec

https://sekurak.pl/pojawila-sie-dlugo-wyczekiwana-aktualizacja-listy-owasp-top-ten/

"Phát triển công cụ tự động kiểm tra bảo mật web ngay! 🤖 Công cụ phân tích HTTP headers, phát hiện thiếu CSP/HSTS, script nguy hiểm, HTTPS yếu, lỗi cookie, CORS/SSL/TLS và tạo báo cáo HTML dễ hiểu. Hỗ trợ doanh nghiệp, startup khắc phục lỗ hổng bảo mật hiệu quả. Tận dụng công cụ mở hàng hoặc hợp tác - cần hỗ trợ? nhắn ngay! 💬 #cybersecurity #toolDev #WebSec #BảoMậtWeb #DevUtils"

https://www.reddit.com/gallery/1okqgks

QNAP ostrzega o… krytycznej podatności w ASP.NET

Kestrel to domyślny i lekki serwer HTTP wykorzystywany przez aplikacje w technologii ASP.NET Core. Do jego zalet można zaliczyć między innymi wieloplatformowość i wydajność. Dokładając do tego fakt, że jest to rozwiązanie dostępne “z pudełka”, otrzymujemy bardzo popularną zależność (od angielskiego dependency). Duża popularność tego rozwiązania, powoduje że atakujący stosunkowo...

#WBiegu #Aspnet #Exploit #Httpsmuggling #Kestrel #Podatność #Qnap #Websec #Windows

https://sekurak.pl/qnap-ostrzega-o-krytycznej-podatnosci-w-asp-net/

Platforma e-commerce Sky-Shop informuje swoich klientów o ataku.

To nie będzie łatwy poranek dla właścicieli sklepów prowadzonych na platformie e-commerce sky-shop.pl. Od rana, platforma prowadzi akcję informacyjną, dotyczącą ataku, który został wykryty 28.10.2025 r.  Sky-Shop rozesłał wiadomość e-mail do swoich klientów, w której obszernie informuje o zaistniałym incydencie. Według przeprowadzonej analizy powłamaniowej, do ataku miało dojść 19.10.2025, kiedy...

#WBiegu #Atak #Websec #Wyciek

https://sekurak.pl/platforma-e-commerce-sky-shop-pl-informuje-swoich-klientow-o-ataku/

🚨 CVE-2025-64095 (CRITICAL, CVSS 10): Dnn.Platform <10.1.1 allows unauthenticated file uploads, leading to defacement & XSS. Upgrade to 10.1.1 now! Monitor for unauthorized changes & tighten upload controls. https://radar.offseq.com/threat/cve-2025-64095-cwe-434-unrestricted-upload-of-file-9698bbb8 #OffSeq #DNN #Vuln #WebSec

Za nami Pwn2Own 2025. Ujawniono aż 73 ataki zero-day. Łączna pula nagród przekroczyła milion dolarów.

W redakcji doceniamy prawdziwą hakerską robotę, dlatego z uwagą śledzimy (a później analizujemy raporty zwane writeupami) zmagania podczas zawodów spod szyldu Pwn2Own organizowanych przez Zero Day Initiative. Tegoroczna edycja odbyła się między 21 a 24 października 2025 w Cork, w Irlandii. Zawodnicy mogli zmierzyć się w ośmiu kategoriach: Szczegółowy zestaw...

#WBiegu #Exploit #Hardware #Mobile #Podatnosc #Pwn2Own #Smart #Websec

https://sekurak.pl/za-nami-pwn2own-2025-ujawniono-az-73-ataki-zero-day-laczna-pula-nagrod-przekroczyla-milion-dolarow/

Badaczom udało się zhakować Formułę 1 i “wykraść” paszport Verstappena

Jedną z fajniejszych, z punktu widzenia pentestera, podatności (chociaż trochę niedoceniana) jest podatność masowego przypisania (mass assignment). Dzięki niej, możliwa jest zmiana np. pól obiektu, które nie powinny zostać zmienione. Powstaje najczęściej w wyniku błędnego użycia funkcjonalności np. biblioteki, która pozwala zmapować parametry zapytania do wewnętrznej reprezentacji obiektu w aplikacji. ...

#WBiegu #F1 #MassAssignment #Podatność #Websec

https://sekurak.pl/badaczom-udalo-sie-zhakowac-formule-1-i-wykrasc-paszport-verstappena/

Agent AI źródłem problemów w Salesforce – jak można było doprowadzić do wycieku danych klientów? ForcedLeak

Integracja LLMów z narzędziami codziennego użytku nie zwalnia. Cóż, nie ma się co dziwić. Odpowiednio zaprojektowany agent upraszcza bardzo pracę operatora. Jednak jak mieliśmy okazję przekonać się niedawno, niesie za sobą również poważne zagrożenia. Badacze z firmy NOMA przeczytali chyba te same źródła, ponieważ zaprezentowali bardzo podobny atak, który pozwala...

#WBiegu #Ai #Exploit #Indirect #PromptInjection #Salesforce #Websec

https://sekurak.pl/agent-ai-zrodlem-problemow-w-salesforce-jak-mozna-bylo-doprowadzic-do-wycieku-danych-klientow-forcedleak/