Tuesday, November 24. 2009
Wiele razy pisałem i mówiłem, że encoding musi być właściwy dla kontekstu, w którym dane będą użyte. Tu kolejny przykład, w którym kontekst został źle zidentyfikowany: Twitter misidentifying context. Przypomina mi to przypadek, który opisałem w a href=javascript jest... no niespodzianka - ZŁE!.
O oba przypadki rozszerzyłem mój przykład http://bootcamp.threats.pl/lesson09/.
Monday, November 23. 2009
Tomek podesłał mi linka do zapisu sesji Become a Web Debugging Virtuoso with Fiddler. Może być ciekawe dla wszystkich, którzy tworzą aplikacje internetowe i muszą szukać w nich błędów. Nie tylko tych związanych z bezpieczeństwem.
Sunday, November 22. 2009
Z powodu braku czasu z lekkim opóźnieniem skomentuję odkrycie przez dziennikarzy (...) sieci Tor wypełnionej po brzegi pornografią (...). Fascynuje mnie nie tyle treść merytoryczna artykułu, co jego forma. Artykuł ten, według mnie, jest obliczony na wywarcie określonego efektu i przy okazji upowszechnia nieprawdziwy obraz sieci(?) Tor. Dziwi mnie koincydencja w czasie pomysłów "blokowania niebezpiecznych stron" i swoistego ataku na narzędzie, które może zostać wykorzystane do obejścia tych ograniczeń. Innymi słowy - knuję spiskową teorię dziejów...
Ciąg dalszy "Tor - spiskowa teoria dziejów" »
Friday, November 20. 2009
Dwie osoby uporały się z wyzwaniem. Dla pozostałych, kolejny hint:
gzip.zlib.decompress(re.search('SessionState" value="(.*)"', \
urllib2.urlopen('http://bootcamp.threats.pl/lesson17/').read()).groups()[0].decode('base64')).encode('rot13')
Thursday, November 19. 2009
Fuzzery są fajne. Są zdecydowanie szybsze niż ludzie, wykonają więc więcej testów. Tylko... jak sprawdzić jaki jest skutek tego fuzzowania?
Ciąg dalszy "Fuzzing i co dalej?" »