Monday, August 29. 2011
Dawno, dawno temu w ramach przewodnika po bezpieczeństwie aplikacji internetowych udostępniłem przykład związany z uploadem plików: Lekcja 16: XSS i SQLi w nazwie pliku.
Tym razem w oparciu o ten sam przykład ćwiczenie na spostrzegawczość: http://bootcamp.threats.pl/lesson16a/. Cel: SQLi. Powodzenia!
Thursday, August 25. 2011
Tak na wszelki wypadek, jeśli komuś przydarzyłoby się coś niepożądanego (np. tak jak tutaj: Historia pewnej infekcji), warto mieć na podorędziu kilka narzędzi. Jednym z możliwych sposobów postępowania w takim przypadku jest analiza pamięci fizycznej komputera. W takim przypadku pomocne mogą być:
Gdy w końcu uda mi się znaleźć trochę czasu, pokażę trochę więcej odnośnie wykorzystania tych narzędzi.
Thursday, August 18. 2011
Bardzo wiele zapytań ofertowych dotyczących "audytu bezpieczeństwa" (w rzeczywistości przedmiot zamówienia z audytem ma niewiele wspólnego) zawiera założenie/wymaganie odnośnie zastosowania "metodologii black box". Moim zdaniem w zdecydowanej większości wypadków takie podejście jest błędne, charakteryzuje się wyjątkowo niekorzystnym stosunkiem price/performance, lub mówiąc jeszcze bardziej "profesjonalnie", niskim ROI. Proste pytanie - jakie zalety daje podejście black box? Ja nie jestem w stanie wskazać praktycznie żadnej wartości dodanej takiego podejścia, potrafię natomiast wskazać kilka istotnych jego wad.
Ciąg dalszy "Skończmy z fetyszem czarnego pudełka" »
Monday, August 15. 2011
No i co się tak gapi? Kozicy nie widział?
A poważnie - nie, nie miałem do tej pory okazji natknąć się na kozicę w Tatrach. Tym razem taka okazja natrafiła się aż dwa razy. W tym raz kozica popisała się biegiem na krechę z Kołowej Czuby w stronę Zadniego Stawu Polskiego.
Thursday, August 11. 2011
Najpierw (pewnie już znany) obrazek:
A później tekstowo: