Ja wiem, że nie jest to może najbardziej pasjonujące wyzwanie, ale ponieważ kilka razy z takimi błędami spotkałem się na wolności, zwracam uwagę na jedno zagadnienie: skąd serwer "wie", jak nazywa się przekazywany plik?
Ciąg dalszy "Bootcamp XVI: hinty" »Saturday, October 31. 2009
Thursday, October 29. 2009
Bootcamp XVI: co z tego, że tak nie można nazwać pliku?
W ramach porannej rozrywki: http://bootcamp.threats.pl/lesson16/. Chodzi o XSS i SQLi.
Tuesday, October 27. 2009
O wyciąganiu (błędnych) wniosków
Trzeba wyciągać wnioski, z tego, co się już wie. Sam tak uczyłem się jeździć na rolkach (bez ochraniaczy). Po dwóch bliskich spotkaniach z podłożem wyciągnąłem prosty wniosek - to boli. Był on może niezbyt błyskotliwy, ale motywował mnie bardzo skutecznie do tego, by raz popełnionych błędów nie powtórzyć w przyszłości. Ta metoda nauki zadziałała w moim przypadku bardzo dobrze, obyło się bez złamań, choć kilka efektownych spotkań z ziemią jeszcze udało mi się zaliczyć :) Tak samo w drugą stronę, jeśli jakieś działanie osiągnie pożądany skutek, należy je powtarzać (co oczywiście nie wyklucza poszukiwania lepszych rozwiązań). Ten wzorzec postępowania wpaja się nam, przedstawicielom homo sapiens, od najmłodszych lat. Stosujemy go nawet tam, gdzie nie do końca pasuje. Dziś kilka słów o wyciąganiu błędnych wniosków, a właściwie czynieniu błędnych założeń, w trakcie testów bezpieczeństwa aplikacji.
Ciąg dalszy "O wyciąganiu (błędnych) wniosków" »Sunday, October 25. 2009
"Walka stulecia"
Gdyby traktował określenie walka stulecia poważnie i był fanem/kibicem boksu, to chyba bym się załamał. Poziomem walki oczywiście. A może nie tyle poziomem, co tym, że coś takiego może być określane walką stulecia właśnie. Całe wydarzenie należy raczej rozpatrywać jako udany skok na kasę organizatorów "gali bokserskiej" oraz dowód na to, jak łatwo (obecnie) manipulować ludźmi.
Ciąg dalszy ""Walka stulecia"" »Thursday, October 22. 2009
Z terminologią też problemy mam...
W temacie nomenklatury wypowiedzieć się postanowiłem... Bezpośrednim tego powodem jest wpis ryzyko podatność skutek zagrożenie błąd... Michała, jak również związany z nim wpis Przemka: Nomenklatura: Zarządzanie ryzykiem (który z kolei odsyła między innymi do mojego starego wpisu). A chcę powiedzieć przede wszystkim to, że sam się w tej nomenklaturze gubię...
Ciąg dalszy "Z terminologią też problemy mam..." »