Používáte Shoptet, Eshop-rychle, Webareal nebo UPgates pro váš e-shop? V posledních měsících jsem provedl základnější bezpečnostní test a výsledkem bylo, že více než 34 000 e-shopů mělo závažnější zranitelnost. marektoth.cz/blog/ceska-esh… #ecommerce

Na Seznamu jsem nalezl bezpečnostní chybu, která umožňovala ukrást cookies přihlášeného uživatele, a tím šlo získat přístup do cizího e-mailu. Stačilo pouze to, aby byla oběť přihlášena k e-mailu a otevřela libovolnou stránku, ve které byl útočníkův kód. marektoth.cz/blog/kradez-co…

We have combined all the tricks we know about SSRF into a single mindmap. If we missed something, write about it in the comments! High resolution: raw.githubusercontent.com/hackerscrolls/… XMind source: github.com/hackerscrolls/… #CyberSecurity #BugBountyTip #BugBounty

Správci hesel jsou v dnešní době velice oblíbeným tématem. Často ale není zmíněna informace, že byste si měli vypnout automatické vyplňování. Rizika spojená s používáním této funkce jsem snažil popsat v následující analýze. marektoth.cz/blog/spravci-h… Sticky Password

Topic about password managers is very popular in IT security. However, very often, there is no mention that you should turn off autofill. In the following analysis, I have described the risks associated with the use of this feature. marektoth.com/blog/password-… LastPass Dashlane

I'm sorry to everyone who wanted to try website with XSS exploiting autofill - websecurity.dev. The hosting blocked POST requests from abroad. It is fixed now.

Newly added FAQ section where I explain the most common questions. marektoth.com/blog/password-…

Stále se píše o phishingu, ransomwaru a podobných typech, ale internet je mnohem nebezpečnější 💀 Momentálně vydávám úvodní video, kde se představuju. To vše, abyste věděli jak přijímat odborné informace, o kterých budu v budoucnu mluvit. youtube.com/watch?v=NuePuM…

V roce 2020 jsem nalezl na portále Seznam_cz chybu, která vedla ke krádeži uživatelské session, a tím šlo získat přístup do cizího emailu. Ke krádeži stačilo pouze to, aby byla oběť přihlášena k emailu a otevřela stránku, ve které byl útočníkův kód. youtube.com/watch?v=zCsKX-…

Jedna vteřina a útočník mohl mít neomezený přístup do vašeho e-mailu. Stačilo pouze to, abyste používali stránky Seznamu. O co šlo? Prostě jste jen používali stránky Seznamu a nebo klikli na odkaz. Vše se dělo na pozadí, aniž byste to mohli ovlivnit. marektoth.cz/blog/dalsi-kra…

Na Herohero jsem našel kritickou bezpečnostní chybu Šlo se přihlásit na libovolného uživatele - stačilo jen znát URL profilu💀 Všichni tvůrci byli v ohrožení. A nejenom oni, také i ostatní uživatelé. Šlo krást peníze z platební karty - BEZ POTVRZENÍ🤯 marektoth.cz/blog/herohero-…

[CZ níže👇] Newly described clickjacking technique "DOM-based Extension Clickjacking". I tested it on 11 password managers and all of them were vulnerable. 💳 1 click and the attacker has your credit card details 🔥 Currently still vulnerable: Bitwarden, 1Password, iCloud

New update to the "DOM-based Extension Clickjacking" research 🔐 Bitwarden: 2025.8.1 (in progress), <=2025.8.0 (vulnerable) ⚠️ Enpass: 6.11.6 (fixed) ✅ KeePassXC-Browser <=1.9.9.2 (latest) is vulnerable ⚠️ + New demo sites for: 1Password, Bitwarden, iCloud Passwords,

DOM-based Extension Clickjacking UPDATE (24.8.): FAQ: An attacker can create a new login form using XSS, so why would they use clickjacking❓ My answer: github.com/keepassxreboot… Bitwarden: latest version (2025.8.1) still vulnerable ⚠️ Demo sites: websecurity.dev/password-manag…

I disagree with these statements: ❌ "If a website has an XSS vulnerability, then clickjacking is redundant." ❌ "If a website has an XSS vulnerability, then any data leakage is the webadmin's fault." ❌ "If you only visit trusted websites, then your data in a 'vulnerable'

Proud to have a friend like Marek Tóth — DEF CON 33 speaker whose talk on Password Stealing through Browser Extension Clickjacking resonated worldwide 🌍 Great to catch up at Cyb3r Days Prague!