Kontynuując cykl "zrób to sam w weekend" tym razem udostępniam kolejny przykład w moim przewodniku po bezpieczeństwie aplikacji internetowych. Tym razem jest to kolejne wyzwanie. Więcej szczegółów: Lekcja 25: Wyzwanie V. Powodzenia!
Saturday, December 18. 2010
Friday, December 17. 2010
Wednesday, December 15. 2010
Jak udowodnić, że czegoś nie ma
Też napiszę kilka słów w temacie, którego dotyczył ten radosny artykuł: FBI zaszyło pluskwy w szyfrowaniu dla serwerów. Od razu dla przeciwwagi trzeba podać coś bardziej rzetelnego:
Ciąg dalszy "Jak udowodnić, że czegoś nie ma" »Monday, December 13. 2010
Coś mocniejszego niż MD5
Przy każdej informacji o wycieku haseł z reguły pojawia się wątek o "słabości" MD5 oraz o tym, że trzeba dodawać salt. Jest z tym trochę jak ze słynnym radiem Erewań. Konkretnie chodzi mi o dwie sprawy:
- zmiana MD5 na "coś mocniejszego" niekoniecznie rozwiązuje problem,
- salt nie rozwiązuje wszystkich problemów,
Saturday, December 11. 2010
Jak szukać SQLi - przykład
Dzisiaj kontynuacja cyklu "zrób to sam w weekend". Tym razem przykład jak szukać błędów typu sql injection (patrz: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')) Podobnie jak ostatnim razem wpis nie będzie zawierał jakiejś wiedzy tajemnej. Chcę po prostu pokazać w jaki sposób błędy typu SQLi można w stosunkowo prosty sposób zidentyfikować. Oczywiście przy użyciu tej techniki nie da się znaleźć 100% błędów, ale przynajmniej całkiem sporą ich ilość. Nie jest to podejście typu fire and forget, wymaga trochę myślenia, ale to raczej jego zaleta, niż wada. No i każdy może w stosunkowo prosty sposób dostosować to podejście do swoich potrzeb.
Ciąg dalszy "Jak szukać SQLi - przykład" »