Pisałem już o dekompozycji aplikacji, w trakcie której identyfikowane są punkty wejścia oraz poziomy dostępu. Identyfikacja punktów wejścia oraz poziomów dostępu pozwalają na określenie jak i kto może daną aplikację zaatakować. Nie odpowiadają jednak na pytanie po co ma to robić. Dlatego ważny jest trzeci element, który roboczo określę jako zasoby, przy czym nie jest to najlepsze tłumaczenie pojęcia assets.
Ciąg dalszy "Testy penetracyjne: assets" »Saturday, March 29. 2008
Flash jest ZŁY!
Był sobie konkurs dotyczący włamania na laptopa. Laptopy były trzy, z Ubuntu, MacOS i Vistą. Dwa padły, MacOS przez dziurę w Safari, o czym pisał już Tomek. Vista padła przez dziurę w Adobe Flash. Flash jest ZŁY! A dodatkowo ZŁE jest to, że jest on zainstalowany praktycznie na każdym komputerze, przynajmniej tym z Windows.
Ciąg dalszy "Flash jest ZŁY!" »Wednesday, March 26. 2008
Skuteczny antyphishing - tylko edukacja
Phishing nie jest atakiem przeciwko zabezpieczeniom technicznym, tylko przeciwko użytkownikowi systemu. Trzeba edukować tego użytkownika, tak, by nie podawał swoich danych gdzie popadnie. I banki to robią, tylko klienci nie dbają o swoje własne pieniądze...
Ciąg dalszy "Skuteczny antyphishing - tylko edukacja" »Tuesday, March 25. 2008
Znowu phishing... i kilka słów o bankowości
Dziś od rana jestem usilnie nakłaniany do aktywowania swojego konta w BZ WBK. Konta tam oczywiście nie posiadam, a sam sposób aktywacji, który wymagałby podania numeru karty, daty jej ważności oraz kodu PIN powinien chyba wzbudzić co najmniej pewne zaniepokojenie. Skoro jednak taka akcja jest prowadzona, to prawdopodobnie istnieją ludzie, którzy niewiele myśląc podadzą te dane...
Ciąg dalszy "Znowu phishing... i kilka słów o bankowości" »I po fajrancie...
No, prawie. Bo okazało się, że muszę odchorować jednak tą małą różnicę w klimacie między Egiptem i Polską...
Ciąg dalszy "I po fajrancie..." »