Do myślenia dał mi ostatnio ten post: Banking Malware uses PAC file. W tym przykładzie malware wprost ustawia adres skryptu PAC, z którego korzysta przeglądarka do określania przez jakie proxy powinna przesłać żądanie. Malware musi jednak jakoś ten klucz ustawić, czyli musi wejść na komputer. A co, jeśli wchodzić by nie musiał?
Ciąg dalszy "Czy WPAD może się przydać malware?" »Sunday, May 30. 2010
Thursday, May 27. 2010
Ukryty sens dobrych praktyk - komputery współdzielone
Najbardziej oryginalną (i niestety - jedyną) odpowiedź odnośnie pytania o ukryty sens dobrych praktyk udzielił Kravietz:
Dobre praktyki mają kapitalne znaczenie dla pentesterów, gdyż pozwalają rozdymać raporty nawet gdy nie udaje się znaleźć nic poważniejszego (...)
Wymienione przeze mnie punkty z ASVS mają jednak również praktyczne znaczenie, niestosowanie ich ma realny wpływ na ryzyko, przynajmniej w niektórych scenariuszach. Jakich?
Ciąg dalszy "Ukryty sens dobrych praktyk - komputery..." »Tuesday, May 25. 2010
HTML5 Security Cheatsheet
Z dzisiejszych wykładów na Confidence najbardziej podobał mi się The Presence and Future of Web Attacks Multi-Layer Attacks and XSSQLI. Dlaczego akurat ta prezentacja, o tym później. Na pewno warto zapoznać się z zasobem HTML5 Security Cheatsheet. To przy okazji jest częściowa odpowiedź na pytanie, które padło na ostatnim spotkaniu OWASP, czyli "Co zmieni HTML5?".
Ciąg dalszy "HTML5 Security Cheatsheet" »Saturday, May 22. 2010
Bootcamp XXII: hint
Jak zwykle mój kolejny bootcamp bardzo szybko prawie rozwiązał Krzysztof Kotowicz. Podpowiem, że sedno tego przykładu leży w parametrze token, a problemy, które należy zauważyć, są dwa. Pierwszy problem, ten znaleziony, to replay. Możliwe jest wielokrotne wykorzystanie tej samej wartości tokenu. Pytanie - w jakim przypadku? Czy to mówi coś na temat tego, kiedy generowany jest token? Pytanie zasadnicze: czy można wysłać żądanie bez prawidłowej wartości tokenu? Hint: CWE-665: Improper Initialization.
UWAGA: pamiętajcie, że to jest przykład, nie doszukujcie się więc wielkiego sensu czy rzeczywistego ryzyka związanego z tą konkretną podatnością. Ten sam typ błędu w innym kontekście skutki powodować może już całkiem poważne.
Wednesday, May 19. 2010
Analiza ryzyka powinna być w szkołach
Mamy powódź. Znowu. Pozostaje czekać na ogłoszenie planów wsparcia dla powodzian. O przepraszam, nie trzeba czekać, przecież już wiadomo, że takie wsparcie będzie. Rząd da, państwo da. Tylko, że państwo to między innymi ja i jakoś takie ciągłe dawanie mi się nie uśmiecha.
Ciąg dalszy "Analiza ryzyka powinna być w szkołach" »