Wpisy na Blogu

Pickle deserialization in ML pipelines is a silent RCE vector hiding in plain sight - passing code review, surviving security audits, and shipping to production at companies that know better. Here's why it keeps happening.

Dyrektywa NIS2 nie wymaga tylko dokumentacji - wymaga dowodu, że kontrole bezpieczeństwa wytrzymują rzeczywisty atak. Techniczne i operacyjne omówienie dla menedżerów bezpieczeństwa.

What to look for in a web application penetration testing provider - and how to tell if you're getting a real test or a cleaned-up scanner report.

Czy Caido to poważna alternatywa dla Burp Suite Professional? Porównanie funkcjonalności obu narzędzi.

Detailed technical analysis of content spoofing (CVE-2026-20732) and SSRF-style reconnaissance security exposure discovered in F5 BIG-IP version 17.1.2.2. This assessment demonstrates how authenticated attackers can exploit administrative interfaces for UI manipulation and network reconnaissance.

Standardowe skrypty SAP często zawodzą przy złożonych interfejsach. W tym artykule pokazujemy, jak używać Windows API w Pythonie do automatyzacji SAP GUI na poziomie systemu operacyjnego – z praktycznym przykładem automatyzacji logowania. Jest to idealne rozwiązanie, gdy SAP Scripting jest wyłączony lub niewystarczający.

W drugiej części serii zagłębiamy się w zautomatyzowane rozpoznanie i ataki w ramach środowiska Java RMI. Wykorzystując interfejs/serwer RMI zaprezentowany w Części Pierwszej, eksplorujemy praktyczne techniki testowania penetracyjnego. Ten odcinek ma na celu wyposażenie pentesterów w niezbędne umiejętności do skutecznej eksploatacji RMI.

Techniczny artykuł o testowaniu i exploitacji podatności Java deserialization. Zawiera szczegółowy opis narzędzia Ysoserial, analizę payloadów (RCE, FileUpload, URLDNS, RMI), praktyczne wskazówki z pentestów, rozwiązywanie problemów (ClassNotFoundException, SerialUID mismatch) oraz metody zabezpieczeń.

W tym przewodniku omówiono praktyczne strategie wykorzystania luk w zabezpieczeniach FILE READ. Zagłębia się w luki związane z odczytem plików, potencjalne ryzyko i podstawowe luki, które mogą do nich prowadzić. Treść zawiera również wgląd w potwierdzenie obecności tych luk i zawiera przydatne wskazówki dotyczące ich rozwiązania. Ponadto bada możliwe zalety i wady wykorzystania tych luk, a także oferuje ogólne strategie zapobiegania i wykrywania aplikacji internetowych.

Ten artykuł poprowadzi Cię przez proces uzyskiwania początkowego dostępu do celu podczas oceny Red Team. Został podzielony na dwie części dla łatwiejszego zrozumienia. Pierwsza część szczegółowo opisuje wykorzystanie OSINT do dostarczania malware, głównie w ramach spear phishingu. Druga część obejmuje tworzenie malware oraz wykorzystanie technik unikania detekcji. Mamy nadzieję, że artykuł będzie dla Ciebie zarówno pouczający, jak i interesujący!