Co prawda już dzieliłem się tym postem, ale warto o nim przypomnieć jeszcze raz: Forensics. Dziś miałem okazję chwilę pobawić się drugim ze scenariuszy, czyli Nitroba University Harassment Scenario. Zadanie nie jest szczególnie trudne, do jego rozgryzienia spokojnie wystarczy Wireshark i Network Miner. Ciekawym ćwiczeniem jest tu przede wszystkim zbudowanie sensownego łańcucha dowodów potwierdzających tezę, że autorem tych strasznych maili jest (...). A to już sobie sprawdźcie sami :)
Tuesday, January 11. 2011
Monday, January 10. 2011
Czy słonia można zafortepianić?
Na początek krótkie wprowadzenie: "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection. Sprawa jest stara i szczerze mówiąc to rozstrzygnięcie nie podoba mi się od chwili, gdy o nim usłyszałem. Nie chodzi mi tu o tę konkretną sprawę, ale właśnie o (...) nie można przełamać czegoś, co nie istnieje (...).
Ciąg dalszy "Czy słonia można zafortepianić?" »Thursday, January 6. 2011
Bootcamp XXV: przypomnienie
Jakiś czas temu opublikowałem kolejny przykład/wyzwanie. Do tej pory dostałem dwa raporty o błędach, które zgodnie z zapowiedzią opublikowałem. Razem z publikacją raportu, udostępniłem nową wersję zadania, która zawiera poprawkę do zgłoszonego błędu. Poprawka może, ale nie musi być skuteczna. Obecna wersja zadania dostępna jest pod adresem http://bootcamp.threats.pl/lesson25b/. Przypominam też, że nie chodzi w nim wyłącznie o szukanie błędu, ale również uzasadnienie dlaczego (prawdopodobnie) jakiegoś błędu nie ma.
Drugie przypomnienie dotyczy przykładu, który omawiałem we wpisie Jak szukać SQLi - przykład. Poza omawianą wersją zadania udostępnionych jest jeszcze kilka innych wersji:
- http://bootcamp.threats.pl/lesson18a/
- http://bootcamp.threats.pl/lesson18b/
- http://bootcamp.threats.pl/lesson18c/
Na koniec warto wspomnieć o projekcie OWASP Secure the Flag Competition. Programiści, co myślicie o takiej zabawie? :)
Tuesday, January 4. 2011
Ciekawostka: libesedb
Windows dość intensywnie wykorzystuje coś, co nazywa się Extensible Storage Engine. Z pewnych przyczyn chciałem dobrać się do danych przechowywanych wewnątrz jednej takiej bazy. Było trochę problemów ze znalezieniem odpowiedniego narzędzia, ale udało się. Przy pomocy esedbexport z libesedb zrzuciłem interesujące mnie dane do pliku tekstowego, a dalej to już jakoś poszło :)
Monday, January 3. 2011
O wyborze (nie tylko) CMS II
Odpowiadając na pytanie z komentarzy - wybrałem FrogCMS, a później przeszedłem na WolfCMS (fork tego pierwszego). Zmiana wynikła z braku aktywności tego pierwszego projektu, a na wszelki wypadek (potencjalne błędy) wolę korzystać z czegoś, co przynajmniej daje nadzieję na wypuszczenie poprawek. Wybór tego konkretnego rozwiązania wynikał z faktu, że ten CMS jest dość minimalistyczny, by nie powiedzieć prymitywny. Jego funkcjonalność była dla mnie w zupełności wystarczająca, choć nie wykluczam, że teraz wybrałbym coś w stylu projektu jekyll.
Ciąg dalszy "O wyborze (nie tylko) CMS II" »