Druga odsłona przemyśleń dotyczących pracy (pen)testera.
Ciąg dalszy "Pentester: doomed to fail?" »Tuesday, September 29. 2009
Sunday, September 27. 2009
Man vs. Machine
Tak, to pierwszy odcinek zapowiadanej serii wpisów. I dotyczy on często powracającego pytania o to, co jest lepsze. Człowiek czy automat?
Ciąg dalszy "Man vs. Machine" »Saturday, September 26. 2009
Czas na zmiany?
Prawie trzy lata temu zamieniłem pracę w korporacji na pracę na własny rachunek. Z decyzji cieszę się, a utwierdzają mnie w niej wpisy takie jak ten: Czara goryczy. Jednak już tak mam, że właśnie po około trzech latach potrzebuję zmiany. Teraz też, choć na nieco innej zasadzie. Do tej pory (np. pracując w korporacji) nie czułem wpływu na to, co robię oraz co i jak będę robił jutro. Obecnie jest inaczej. W najbliższym czasie na blogu prawdopodobnie pojawi się kilka wpisów odnośnie moich obserwacji z pracy (pen)testera, problemów i ich możliwych rozwiązań.
Friday, September 25. 2009
Ale konkretnie CO mam sprawdzić?
Moje podejście do testów penetracyjnych aplikacji internetowych trochę ewoluuje. Podobnie jak do tematu ich tworzenia, czego przykładem może być mój komentarz do wpisu Przemka. Podejrzewam, że gdyby udało się wyeliminować 20% "złych praktyk programistycznych" (na początek choć CWE-20: Improper Input Validation oraz CWE-116: Improper Encoding or Escaping of Output), ilość podatności zmniejszyłaby się o 80%.
Wracając do tematu testów penetracyjnych - brakuje mi często określenia jakie mogą być zagrożenia (cele intruza) związane z daną aplikacją. W części przypadków pomaga intuicja i doświadczenie, ale nie zawsze. Niektóre aplikacje są "dziwne", zarówno jeśli chodzi o ich stronę techniczną, jak i cele biznesowe. I co wtedy?
Thursday, September 24. 2009
Dlaczego używam Fiddlera
Dwa główne powody, z których używam (głównie) Fiddlera.
Ciąg dalszy "Dlaczego używam Fiddlera" »