Sunday, October 10. 2010
W 1953 roku na uniwersytecie w Yale przeprowadzony został ciekawy eksperyment. Poproszono studentów ostatniego roku o zapisanie celów, jakie chcą oni osiągnąć w życiu. Po 20 latach wrócono do uczestników eksperymentu. Okazało się, że sprecyzowane cele miało jedynie 3% badanych. Jednocześnie okazało się, że te 3% uczestników zgromadziło majątek większy, niż pozostałe 97%. Wyniki tego eksperymentu pokazują, jak w samodoskonaleniu ważne jest zdefiniowanie swojego celu.
Eksperyment ten ma tylko jedną wadę. Najprawdopodobniej nigdy się nie odbył...
Saturday, October 9. 2010
Dwie wskazówki do tematu z session fixation (Poćwicz sobie Session Fixation).
W trakcie testów często problemem jest to, że do końca nie wiadomo jakie parametry przyjmuje dany punkt wejścia. Czasami może się okazać, że dopisanie jakiegoś parametru spowoduje nieco inne zachowanie aplikacji. Jak powinien nazywać się parametr? Cóż, można próbować zgadnąć. Można też sprawdzić nazwy parametrów, które występują na danej formatce, na przykład jako pola hidden. Warto pamiętać, że parametr może być przekazany metodą POST lub GET, aplikacja nie zawsze te metody traktuje równorzędnie.
Druga wskazówka: Same-origin policy for cookies.
Thursday, October 7. 2010
O session fixation wspominałem już kilka razy, między innymi tu: Dlaczego należy zmienić identyfikator sesji po uwierzytelnieniu.
Dawno, dawno temu przygotowałem ten przykład Lekcja 21: Przykład - phishing na formatce logowania z wykorzystaniem XSS, ale nie wzbudził on specjalnego zainteresowania. Dziś postanowiłem go trochę zmodyfikować i teraz oprócz phishingu (jeśli ktoś chce, nadal może go sobie poćwiczyć), można na nim również przećwiczyć session fixation. Zadanie nie jest zbyt wymagające, choć przyda się trochę pomysłowości. Chodzi o to, jedyne cookie PHPSESSID wysłane przez przeglądarkę klienta przy próbie logowania było tym, które ustawi atakujący.
Zapraszam: http://bootcamp.threats.pl/lesson21/.
Tuesday, October 5. 2010
Zamiast wystawiania slajdów (są dostępne tutaj), postanowiłem zrobić mały przegląd swoich starszych wpisów i zebrać je w jednym poście. Dzięki temu jeśli ktoś jest zainteresowany tematem, będzie mógł poczytać trochę więcej, niż z suchych slajdów.
Ciąg dalszy "Zamiast slajdów z SecDay" »