Login

Recent searches

No recent searches

Search options

Only available when logged in.
fosstodon.org is one of the many independent Mastodon servers you can use to participate in the fediverse.
Fosstodon is an invite only Mastodon instance that is open to those who are interested in technology; particularly free & open source software. If you wish to join, contact us for an invite.

Administered by:

Server stats:

10K
active users

fosstodon.org: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.6

#websec

1 post1 participant0 posts today
Public
sekurak News

Kiedy podatność przypomina backdoora – Next.js CVE-2025-29927 i obejście logiki middleware

Krytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni...

#WBiegu #Exploit #Js #Middleware #Podatność #Websec

sekurak.pl/kiedy-podatnosc-prz

Sekurak · Kiedy podatność przypomina backdoora - Next.js CVE-2025-29927 i obejście logiki middlewareKrytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni...
Public
:mastodon: decio

⚠️ Une faille critique dans Next.js permet de contourner les vérifications d'autorisation effectuées dans le middleware.

👉 Framework React trés populaire pour le rendu web côté serveur.

🔍 Détails techniques

En injectant l'en-tête x-middleware-subrequest, un attaquant peut bypasser les contrôles d'accès et accéder à des ressources normalement protégées.

💥 Exploit documenté ici
⬇️
"Next.js and the corrupt middleware: the authorizing artifact"
👇
zhero-web-sec.github.io/resear

🛡️ Versions vulnérables

  • 15.x < 15.2.3
  • 14.x < 14.2.25
  • 11.1.4 → 13.5.6

🔧 Solutions

✔️ Mettez à jour vers 15.2.3 ou 14.2.25

👇
nextjs.org/blog/cve-2025-29927
⬇️
github.com/advisories/GHSA-f82

✔️ En attendant : bloquez les requêtes contenant x-middleware-subrequest côté serveur / WAF

🛰️ Et effectivement selon le moteur de recherche de surface d’attaque ONYPHE,

il y en a un paquet… y compris en Suisse 🇨🇭

zhero_web_security · Next.js and the corrupt middleware: the authorizing artifactCVE-2025-29927
#CyberVeille#NextJS#CVE_2025_29927
Public
𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕

Ransomware gang creates tool to automate VPN brute-force attacks

The Black Basta ransomware operation created an automated brute-forcing framework dubbed 'BRUTED' to breach edge networking devices like firewalls and VPNs.

🌐 bleepingcomputer.com/news/secu

BleepingComputer · Ransomware gang creates tool to automate VPN brute-force attacksBy Bill Toulas
#vpn#hacking#ransomware
Public
sekurak News

Dlaczego hackowanie aplikacji webowych jest proste? Bezpłatne szkolenie od sekuraka

Zapraszamy Cię na najnowszą edycję szkolenia: dlaczego hackowanie aplikacji webowych jest proste? Ponownie zaprezentujemy najciekawsze, najpoważniejsze czy najbardziej absurdalne podatności zlokalizowane w ostatnim ~roku. Na szkolenie możesz zapisać się bezpłatnie tutaj (w ramach zapisu dostępne jest też nagranie). Agenda: Szkolenie odbędzie się 18 marca 2025, online, start: 20:00 -> 21:30....

#WBiegu #Szkolenie #Websec

sekurak.pl/dlaczego-hackowanie

Sekurak · Dlaczego hackowanie aplikacji webowych jest proste? Bezpłatne szkolenie od sekurakaZapraszamy Cię na najnowszą edycję szkolenia: dlaczego hackowanie aplikacji webowych jest proste? Ponownie zaprezentujemy najciekawsze, najpoważniejsze czy najbardziej absurdalne podatności zlokalizowane w ostatnim ~roku. Na szkolenie możesz zapisać się bezpłatnie tutaj (w ramach zapisu dostępne jest też nagranie). Agenda: Szkolenie odbędzie się 18 marca 2025, online, start: 20:00 -> 21:30....
Public
sekurak News

Websecurity Master od sekuraka – rusza druga edycja topowego szkolenia z bezpieczeństwa aplikacji webowych. Sprawdź nas i zapisz się na bezpłatną sesję szkolenia!

Zanotujcie sobie tę datę w kalendarzu. 8 kwietnia br. ruszamy z drugą edycją Websecurity Master od sekuraka – najbardziej kompletnego kursu o bezpieczeństwie aplikacji webowych w Polsce! Pierwsza edycja z 2024 r. przyciągnęła ponad 200 osób i została oceniona przez uczestników na 4,9/5. Teraz wracamy z jeszcze lepszym kontentem: ataki,...

#Aktualności #Jarosiński #Kruczek #Lewczak #Rzepecki #Szkolenie #WebSecurityMaster #Websec

sekurak.pl/websecurity-master-

Sekurak · Websecurity Master od sekuraka – rusza druga edycja topowego szkolenia z bezpieczeństwa aplikacji webowych. Sprawdź nas i zapisz się na bezpłatną sesję szkolenia!Zanotujcie sobie tę datę w kalendarzu. 8 kwietnia br. ruszamy z drugą edycją Websecurity Master od sekuraka – najbardziej kompletnego kursu o bezpieczeństwie aplikacji webowych w Polsce! Pierwsza edycja z 2024 r. przyciągnęła ponad 200 osób i została oceniona przez uczestników na 4,9/5. Teraz wracamy z jeszcze lepszym kontentem: ataki,...
Public *
𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕

»HTTPS – Während ich Tor benutze, können Lauscher immer noch die Informationen sehen, die ich mit Webseiten teile, wie Login-Informationen und Dinge, die ich in Formulare eintippe?«

Das @torproject nicht unbedingt per-se sicher für die Privatsphäre ist, zeigt diese interaktieve Grafik im Link. Dies gilt mehr oder weniger auch für HTTPS im allgemeinen.

🧅 support.torproject.org/de/http

HTTPS im Tor Internet grafisch dargestellt.
#tor#https#grafik
Public
sekurak News

Można było w GitLabie zmienić hasło dowolnemu użytkownikowi, znając tylko jego e-maila. Za zgłoszenie podatności wypłacono $35000

Jeden obraz warty jest w tym przypadku $35000. Oto ten „obraz”: Część z Was już zapewne widzi o co tutaj chodziło…: Podatność została załatana, a zgłaszający otrzymał $35000 w ramach wynagrodzenia bug bounty. PSJeśli chciałbyś nauczyć się szukać między innymi takich podatności (oraz unikać ich w swoich projektach), to zapraszamy...

#WBiegu #Gitlab #Hasło #Podatność #Websec

sekurak.pl/mozna-bylo-w-gitlab

Sekurak · Można było w GitLabie zmienić hasło dowolnemu użytkownikowi, znając tylko jego e-maila. Za zgłoszenie podatności wypłacono $35000Jeden obraz warty jest w tym przypadku $35000. Oto ten „obraz”: Część z Was już zapewne widzi o co tutaj chodziło…: Podatność została załatana, a zgłaszający otrzymał $35000 w ramach wynagrodzenia bug bounty. PSJeśli chciałbyś nauczyć się szukać między innymi takich podatności (oraz unikać ich w swoich projektach), to zapraszamy...
Public
sekurak News

Czy możliwy jest atak SQL Injection w 2025 roku? Tak, poprzez parsowanie znaków w psql

Ostatnio głośno było o atakach na Departament Skarbu, które zostały przypisane chińskim grupom APT. Atakujący wykorzystywali podatności w produktach BeyondTrust Privileged Remote Access oraz Remote Support, które pozwalały na zdalne wykonanie poleceń. Podatności zostały sklasyfikowane jako CVE-2024-12356. TLDR: W czasie poszukiwań RCE, badacze z Rapid7 natknęli się na podatność SQL...

#WBiegu #BazyDanych #Postgresql #SQLInjection #Websec

sekurak.pl/czy-mozliwy-jest-at

Sekurak · Czy możliwy jest atak SQL Injection w 2025 roku? Tak, poprzez parsowanie znaków w psqlOstatnio głośno było o atakach na Departament Skarbu, które zostały przypisane chińskim grupom APT. Atakujący wykorzystywali podatności w produktach BeyondTrust Privileged Remote Access oraz Remote Support, które pozwalały na zdalne wykonanie poleceń. Podatności zostały sklasyfikowane jako CVE-2024-12356. TLDR: W czasie poszukiwań RCE, badacze z Rapid7 natknęli się na podatność SQL...
Public
𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕

Fingerprinting: Critics say Google rules put profits over privacy

Changes which come in on Sunday permit so-called "fingerprinting", which allows online advertisers to collect more data about users including their IP addresses and information about their devices.

🔎 bbc.com/news/articles/cm21g005

www.bbc.comFingerprinting: Critics say Google rules put profits over privacyGoogle is allowing advertisers to collect more personal information, which is harder for users to control.
#google#fingerprinting#privacy
Public
sekurak News

Nieoczywista podatność w interface administracyjnym urządzeń Palo Alto. Możliwość ominięcia uwierzytelnienia. CVE-2025-0108

Dla lubiących korzystać tylko z materiałów źródłowych polecam to opracowanie oraz informacje o łatce producenta. No dobra, o co tutaj chodzi? Urządzenie ma skonfigurowany Nginx na froncie (w szczególności podejmuje on decyzję, które żądanie uwierzytelnić, a które nie), oraz serwer webowy Apache w backendzie (tutaj działa aplikacja). Na starcie Nginx...

#WBiegu #Apache #Iot #Nginx #PaloAlto #PathConfusion #Websec

sekurak.pl/nieoczywista-podatn

Sekurak · Nieoczywista podatność w interface administracyjnym urządzeń Palo Alto. Możliwość ominięcia uwierzytelnienia. CVE-2025-0108Dla lubiących korzystać tylko z materiałów źródłowych polecam to opracowanie oraz informacje o łatce producenta. No dobra, o co tutaj chodzi? Urządzenie ma skonfigurowany Nginx na froncie (w szczególności podejmuje on decyzję, które żądanie uwierzytelnić, a które nie), oraz serwer webowy Apache w backendzie (tutaj działa aplikacja). Na starcie Nginx...
Public
sekurak News

Prostym mykiem można było poznać e-maila dowolnego użytkownika YouTube.

Zerknijcie na ten research. Najpierw okazało się, że funkcja blokowania użytkownika zdradzała jego tzw. GaiaID (czyli taki globalny ID użytkownika w kontekście usług Google). Np.: 103261974221829892167 Ten IDek można było poznać nawet bez realnego zablokowania użytkownika. Teraz wystarczyło znaleźć jakąś usługę, która przetłumaczyłaby GaiaID na emaila użytkownika-ofiary. Badacze zlokalizowali stary,...

#WBiegu #BugBounty #Google #Mail #Recon #Websec #Youtube

sekurak.pl/prostym-mykiem-mozn

Sekurak · Prostym mykiem można było poznać e-maila dowolnego użytkownika YouTube.Zerknijcie na ten research. Najpierw okazało się, że funkcja blokowania użytkownika zdradzała jego tzw. GaiaID (czyli taki globalny ID użytkownika w kontekście usług Google). Np.: 103261974221829892167 Ten IDek można było poznać nawet bez realnego zablokowania użytkownika. Teraz wystarczyło znaleźć jakąś usługę, która przetłumaczyłaby GaiaID na emaila użytkownika-ofiary. Badacze zlokalizowali stary,...
Continued thread
Public
𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕

uBlockOrigin & uBlacklist Huge AI Blocklist

A huge blocklist of manually curated sites (1000+) that contain AI generated content, for the purposes of cleaning image search engines (Google Search, DuckDuckGo, and Bing) with @ublockorigin or uBlacklist. Also works on mobile (iOS, iPadOS, Android) via uBlacklist, as well as pihole/adguard.

✋ github.com/laylavish/uBlockOri

A huge blocklist of manually curated sites that contain AI generated imagery for uBlock Origin & uBlacklist. - laylavish/uBlockOrigin-HUGE-AI-Blocklist
GitHubGitHub - laylavish/uBlockOrigin-HUGE-AI-Blocklist: A huge blocklist of manually curated sites that contain AI generated imagery for uBlock Origin & uBlacklist.A huge blocklist of manually curated sites that contain AI generated imagery for uBlock Origin & uBlacklist. - laylavish/uBlockOrigin-HUGE-AI-Blocklist
#blocklist#ublockorigin#noai
Public
sekurak News

Mogli otwierać i śledzić auta Subaru w Japonii, Kanadzie i USA – wystarczyły numery tablic rejestracyjnych

O niektórych osiągnięciach Sama Curry’ego pisaliśmy niejednokrotnie. Tym razem Curry wspólnie z Shubham Shah zaprezentowali, jak mogli przejąć zdalną kontrolę nad dowolnym samochodem marki Subaru, wyposażonym w system STARLINK, na terenie Japonii, Kanady i Stanów Zjednoczonych.  TLDR: STARLINK to nazwa systemu, który pozwala zarządzać multimediami (np. uruchamiać aplikacje multimedialne, podłączyć...

#WBiegu #Curry #Infotainment #Subaru #Websec

sekurak.pl/mogli-otwierac-i-sl

Sekurak · Mogli otwierać i śledzić auta Subaru w Japonii, Kanadzie i USA - wystarczyły numery tablic rejestracyjnychO niektórych osiągnięciach Sama Curry’ego pisaliśmy niejednokrotnie. Tym razem Curry wspólnie z Shubham Shah zaprezentowali, jak mogli przejąć zdalną kontrolę nad dowolnym samochodem marki Subaru, wyposażonym w system STARLINK, na terenie Japonii, Kanady i Stanów Zjednoczonych.  TLDR: STARLINK to nazwa systemu, który pozwala zarządzać multimediami (np. uruchamiać aplikacje multimedialne, podłączyć...
Public
sekurak News

Historia o tym jak badacze bezpieczeństwa mogli przejąć infrastrukturę rządową i nie tylko – cudzymi rękami

O tym, że profesjonaliści zajmujący się bezpieczeństwem powinni z należytą dbałością weryfikować wykorzystywane narzędzia pisaliśmy już nie raz. Ostatnio temat ten został przytoczony omawiając przypadek domeny linpeas.sh. Dzisiaj znów wyciągniemy wnioski z cudzych błędów, a laboratoryjnym przykładem nie będą pentesterzy, a czarne kapelusze (ang. black hat). Jednak morał płynący z...

#WBiegu #Backdoor #Watchtowr #Websec

sekurak.pl/historia-o-tym-jak-

Sekurak · Historia o tym jak badacze bezpieczeństwa mogli przejąć infrastrukturę rządową i nie tylko - cudzymi rękamiO tym, że profesjonaliści zajmujący się bezpieczeństwem powinni z należytą dbałością weryfikować wykorzystywane narzędzia pisaliśmy już nie raz. Ostatnio temat ten został przytoczony omawiając przypadek domeny linpeas.sh. Dzisiaj znów wyciągniemy wnioski z cudzych błędów, a laboratoryjnym przykładem nie będą pentesterzy, a czarne kapelusze (ang. black hat). Jednak morał płynący z...
Public *
-> @kopper@wetdry.world

any browser security people, are there any known ways for an iframe like this to explode in an unpleasant manner (beyond locking up the browser with an infinite loop i guess)

<iframe id="testframe"
    sandbox="allow-pointer-lock allow-orientation-lock allow-scripts"
    allow="accelerometer ambient-light-sensor autoplay fullscreen gamepad gyroscope magnetometer screen-wake-lock web-share"></iframe>



edit: allow-same-origin too. didnt realize it was required for message passing

#webDev #webSec #infoSec /forcepub
ExploreLive feeds
About