Praktyki, narzędzia i techniki zabezpieczania aplikacji webowych.
Wyświetl wszystkie tagi
Zanim przejdziemy do kodu, wyjaśnijmy różnice między wersjami protokołu HTTP tak, aby zrozumiał to każdy – od junior frontendowca po project managera. Różnice te mają kolosalne znaczenie dla bezpieczeństwa.
CORS to mechanizm oparty na nagłówkach HTTP, który pozwala serwerowi zadeklarować, czy skrypt z innej domeny może legalnie odczytać jego odpowiedź, obchodząc restrykcje SOP (Same-Origin Policy). W 2026 roku sam błędny nagłówek CORS nie wystarczy do przejęcia sesji, ponieważ nowoczesne przeglądarki domyślnie ucinają ciasteczka w żądaniach cross-site za sprawą mechanizmu SameSite=Lax. Jakie są więc realne zagrożenia i jak się przed nimi bronić?
Testy bezpieczeństwa to nie (tylko) bezmyślne wpisywanie <script>alert(1)</script> w każdym polu formularza. Aby znaleźć krytyczne błędy, takie jak IDOR czy przejęcie konta, musisz działać według planu.
Wielu CISO wciąż tkwi w pętli: Phishing test -> Pracownik klika -> Szkolenie -> Reprymenda. To strategia typu Legacy, która w dobie GenAI i Deepfake’ów jest nie tylko nieskuteczna, ale wręcz niebezpieczna.
Pegasus to zaawansowany spyware opracowany przez izraelską grupę NSO, która została niedawno przejęta przez inwestorów amerykańskich. Oprogramowanie kosztuje 20 000 USD za telefon i jest uważane za jeden z najbardziej zaawansowanych narzędzi szpiegowskich na świecie.[^1]
Setki kamer bezpieczeństwa LG Innotek LNV5110R są narażone na zdalne ataki hakerskie z powodu niepłatanej luki umożliwiającej nieautoryzowane zdalne wykonywanie kodu.
Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) ujawniła w czwartek istnienie krytycznej luki bezpieczeństwa w kamerach LG Innotek model LNV5110R[^1]. Podatność, oznaczona jako CVE-2025-7742, otrzymała ocenę "wysokiej ważności" i pozwala napastnikom na pominięcie uwierzytelniania w celu uzyskania dostępu administracyjnego do urządzenia[^1][^2].
Zastanawiasz się, jak praktycznie testować bezpieczeństwo aplikacji webowych?
Chcesz poznać narzędzia, techniki i raportowanie zgodne z OWASP Top 10 2025?
Stworzyliśmy praktyczny kurs, który prowadzi Cię krok po kroku przez wszystkie kluczowe podatności z listy OWASP – wraz z przykładami narzędzi, checklistami, i finalnym raportem bezpieczeństwa.
W dzisiejszym wpisie prezentujemy najważniejsze wydarzenia i trendy ze świata cyberbezpieczeństwa. Od działań law enforcementu po nowe zagrożenia i innowacje w ochronie danych — wszystko, co warto znać, aby być na bieżąco.
Dziś przeglądamy najważniejsze wydarzenia ze świata bezpieczeństwa IT, które pokazują rosnące wyzwania, nowe zagrożenia i innowacje w ochronie danych. Świat cyberbezpieczeństwa jest dynamiczny i wymaga stałej adaptacji do coraz bardziej wyrafinowanych ataków i technologii obronnych.
W mijającym tygodniu obserwujemy narastającą aktywność cyberprzestępców, którzy wykorzystują luki w popularnych technologiach i usługach w celu przeprowadzania ataków na instytucje rządowe, przedsiębiorstwa i użytkowników indywidualnych. Poniżej prezentujemy najbardziej istotne wydarzenia i trendy.