Bardzo prosty przykład: http://bootcamp.threats.pl/lesson22/. Gdzieś tu popełniony został błąd. Może nawet więcej niż jeden. Potraficie go znaleźć?
Tuesday, May 18. 2010
Monday, May 17. 2010
JBroFuzz II: problem jak był, tak jest
Pisałem już o problemach z JBroFuzz. Tym razem "same mi się odtworzyły" na komputerze z Windows XP. W dodatku zaobserwowałem dodatkową niedogodność - problemy z automatycznym ustawianiem przez JBroFuzz nagłówka Content-Lenght. Kilka dni temu wysłałem maila z opisem problemu na podany na stronie JBroFuzz adres. Na razie cisza, brak odpowiedzi...
Hibernacja jest zła, czyli o eskalacji przywilejów
Jak w przekonywujący sposób pokazać, że hibernacja jest niebezpieczna? Wystarczy w prosty sposób eskalować swoje uprawnienia, na przykład do poziomu Local System.
Ciąg dalszy "Hibernacja jest zła, czyli o eskalacji..." »Friday, May 14. 2010
Kryteria oceny bezpieczeństwa bankowości internetowej
Po kolejnym mocno żenującym rankingu bezpieczeństwa bankowości internetowych Przemek Skowron nie wytrzymał i wyszedł z propozycją przygotowania zestawu kryteriów oceny bezpieczeństwa bankowości internetowej. Macie swoje sugestie? No to zapisywać się na listę owasp-poland i do roboty!
Swoją drogą na jakim poziomie powinny zatrzymać się te kryteria? Wskazania wymaganych mechanizmów bezpieczeństwa (uwierzytelnienie, autoryzacja, ...) i cech, które te mechanizmy powinny spełniać? A może należy zagłębić się w szczegóły dotyczące implementacji? W każdym razie - zapraszam do dyskusji na liście OWASP.
Thursday, May 13. 2010
Na OWASP o Malware
Dzisiejsze spotkanie OWASP było trochę nietypowe. Padały wprawdzie nieśmiertelne terminy typu sql injection czy cross-site scripting, jednak nie one były głównym tematem. Dwie dzisiejsze prezentacje dotyczyły malware, a konkretnie ataków drive-by downloads oraz tematu wyszukiwania i analizy niebezpiecznych stron.
Zachęcam osoby, które nie były na spotkaniu do zapoznania się z prezentacjami kiedy zostaną udostępnione. Co więcej zapowiada się, że dostępny również będzie zapis samego spotkania, co jest ważne bo same slajdy to za mało. Mam nadzieję, że dla czytelników mojego bloga tematy poruszane w prezentacjach nie były kompletną nowością :)