Ten wpis nie będzie zawierał jakiejś wiedzy tajemnej. Będzie raczej pokazywał w jaki sposób można podejść do tematu testowania kontroli dostępu. A kontrola dostępu jest bardzo ważnym elementem bezpieczeństwa aplikacji. Jeśli nie jest zrealizowana w sposób konsekwentny i prawidłowy, może się to skończyć takimi informacjami: Poważny błąd w Gadu-Gadu i Gadu Air.
Ciąg dalszy "Jak szukać błędów kontroli dostępu (do..." »Saturday, December 4. 2010
Friday, December 3. 2010
Dlaczego warto oznaczać błędy bezpieczeństwa
Na spotkaniu SPINu mówiłem między innymi o tym, że błędy związane z bezpieczeństwem powinny być w bazie błędów oznaczane tak, by było wiadomo, że jest to błąd bezpieczeństwa oraz powinny zawierać informację o powodzie tego błędu (w sensie root cause). Dziś mogę przytoczyć kolejny argument za tym, by takie znakowanie błędów bezpieczeństwa prowadzić.
Ciąg dalszy "Dlaczego warto oznaczać błędy bezpieczeństwa" »Wednesday, December 1. 2010
Bootcamp XXIV: tagów nie trzeba zamykać
By zamknąć temat przykładu dotyczącego wykorzystania na stronie danych z różnych źródeł jedna krótka uwaga. Teoretycznie "prawidłowo" wstawiony payload XSS powinien wyglądać tak:
<img src="niemamnie" onerror="alert(/XSS/)">
Jak to zwykle bywa teoria rozmija się z praktyką. Okazuje się, że większość (wszystkie?) przeglądarek jest dość liberalna i równie ochoczo zinterpretują taki payload:
<img src="niemamnie" onerror="alert(/XSS/)"
Każdy może sobie to sprawdzić tutaj: http://bootcamp.threats.pl/lesson09/. Istnieją co prawda dodatkowe różnice między przeglądarkami w przypadku, gdy wspomniany kod HTML jest wstawiany poprzez innerHTML, ale to niech już każdy zainteresowany sprawdzi sobie we własnym zakresie :)