Monday, November 30. 2009
Ciekawa prezentacja Shocking News in PHP Exploitation (autor: Stefan Esser). W części poświęcona jest ona obchodzeniu WAF głównie na przykładzie ModSecurity ze standardowym zestawem reguł. Mimo wszystko Web Application Firewalls zwiększają bezpieczeństwo aplikacji. Nawet w domyślnej konfiguracji mogą wychwycić sporą część typowych ataków, ale nie wszystkie. Trzeba pamiętać, że nie oferują 100% skuteczności, a przed częścią ataków nie chronią wcale.
Pytanie: czy według Was w trakcie testów aplikacji WAF powinien być aktywny?
Friday, November 27. 2009
Pan Lodowego Ogrodu ma dziś swoją premierę. Konkretnie to jego trzeci wyczekiwany tom. I jak się okazuje - nie ostatni. Książkę już posiadam, ale ponieważ i tak zabierze mi ją Moja Ulubiona Czarownica na razie jeszcze nie zabrałem się za czytanie :)
Thursday, November 26. 2009
Kiedyś już pokazywałem mały network forensic na podstawie Network Forensics Puzzle Contest. Dostępne jest (właściwie było, przegapiłem) kolejne zadanie: Puzzle #2: Ann Skips Bail. Fajna zabawa, choć niezbyt wymagająca... Co prawda The MOST ELEGANT solution wins, ale czy zgrabne wykorzystanie dostępnych narzędzi nie jest eleganckim rozwiązaniem? :)
Ciąg dalszy "Puzzle #2: Ann Skips Bail" »
Wednesday, November 25. 2009
Przygotowałem pierwszą część wyjaśnienia zadania, dostępne jest ono tutaj. Jak do tej pory nadal tylko dwie osoby uporały się z zadaniem, nie widzę też by zadanie próbował rozwiązywać ktoś więcej, a szkoda. Głównym celem tego zadania jest ponowne pokazanie, że użytkownik może i będzie modyfikował dane, nad którymi ma kontrolę. Przykłady z ceną przekazywana w polach hidden są oklepane, dlatego w tym przypadku wykorzystałem przechowywanie stanu sesji po stronie klienta. Wybrałem ten przypadek, ponieważ niektóre frameworki pozwalają na przechowywanie całości lub części danych po stronie klienta, nie zawsze domyślnie właściwie chroniąc dane przechowywane w ten sposób. Czasami nie jest to istotne, a czasami wręcz przeciwnie...
Tuesday, November 24. 2009
Nabyłem sobie dziś nową (przynajmniej częściowo) płytę Skunk Anansie i niestety, by zrzucić ją sobie na komputerze, z którego zwykle puszczam muzykę, muszę wykonywać jakieś kombinacje. Okazuje się, że z kilku komputerów tylko jeden ma sprawny czytnik płyt CD(!), ostał się w moim starym C540. W D520 poszedł laser do CD (DVD działa), a czytnik w komputerze stacjonarnym tchórzliwie odmawia współpracy wydając przy okazji dziwne dźwięki... W związku z zaistniałą sytuacją nie zostało mi nic innego, jak zrzucić płytę do obrazu *.iso, przenieść na docelowy komputer, podmontować (ImDisk, przy okazji - jest nowa wersja) i zrzucić. Komputery czynią nasze życie prostszym...