Gdy pojawia się informacja o jakimś incydencie (np. udane włamanie, phishing), to prawie na pewno można spodziewać się komentarza typu "(...) powinni ich zatrudnić, a nie karać (...)". Zupełnie nie rozumiem tego toku rozumowania. Tak, to prawda - w niektórych przypadkach takie osoby mają przydatne umiejętności, które można wykorzystać w inny sposób. Ale to są naprawdę sporadyczne przypadki. Gdy takie sugestie dotyczą autorów jakiegoś prymitywnego ataku phishingowego, to już kompletnie brak mi słów...
Friday, October 22. 2010
Tuesday, October 19. 2010
Krótka historia szlabanu
Dawno, dawno temu wjazdu na osiedle, na którym mieszkam, broniła brama. Taka zwykła, przesuwana brama sterowana z pilota. W pewnej chwili jednak wjazdu bronić przestała. Po długim czasie postanowiono, że zamiast bramy zainstalowany zostanie szlaban. Został on zainstalowany, po dłuższych perypetiach z pilotami - uruchomiony. I...
Ciąg dalszy "Krótka historia szlabanu" »Monday, October 18. 2010
Session Fixation: rozwiązanie
Przykład z session fixation nie jest tak ciekawy, jak ten z XSS przygotowany przez Krzyśka. Jego rozwiązanie jest dość proste - na formatce logowania jest XSS w parametrze target, który musi zostać przekazany w GET. A skoro jest XSS, to w zasadzie zadanie jest już rozwiązane. Prawie.
Ciąg dalszy "Session Fixation: rozwiązanie" »Thursday, October 14. 2010
EFS: odzyskiwanie zaszyfrowanych plików
W Windows 2000 wprowadzone zostało rozszerzenie do NTFS, które pozwalało na szyfrowanie plików - EFS. Zgodnie z oczekiwaniami wkrótce potem pojawiły się pytania jak odzyskać zaszyfrowane pliki. Nawet nie tyle - jak odzyskać pliki, tylko jak je odszyfrować. Ponieważ ciągle tego typu problemy się trafiają, postanowiłem trochę ten temat wyjaśnić. Po części dlatego, że słowa kluczowe związane z EFS trafiają się wśród tych, które prowadzą do mojego bloga. Ograniczę się do "domowego" scenariusza wykorzystania EFS, czyli do stacji roboczej bez domeny, bez całej infrastruktury PKI i bez agentów odzyskiwania danych.
Ciąg dalszy "EFS: odzyskiwanie zaszyfrowanych plików" »Monday, October 11. 2010
Co chciałbym mieć w sqlmap
Kilka razy marudziłem, że sqlmap jest bardzo dobrym narzędziem, tylko w praktyce nie działa. Dziś krótka historia przypadku, który doprowadził mnie do lekkiej irytacji.
Ciąg dalszy "Co chciałbym mieć w sqlmap" »