Na ostatnim spotkaniu OWASP w Krakowie jedna z prezentacji dotyczyła zapobiegania XSS w aplikacjach tworzonych w ASP.NET. Z prezentacją można zapoznać się tutaj: Defending ASP.Net apps against XSS. Ja chciałem z kolei zwrócić uwagę na pewną niekonsekwencję w zachowaniu platformy, która może doprowadzić do niepożądanych skutków, czyli do XSS.
Ciąg dalszy "Niekonsekwencje w ASP.NET" »Monday, January 30. 2012
Tuesday, January 24. 2012
(D)DoS jest trendy
No bo jak inaczej skomentować poniższy obrazek?
Saturday, January 21. 2012
Nowe videocasty: jak szukać SQLi
Przygotowałem dwa nowe videocasty na temat szukania błędów typu sql injection. Nie są one specjalnie oryginalne, dokładnie na ten temat pisałem tutaj: Jak szukać SQLi - przykład, temat poruszałem także tutaj: Lekcja 7: (blind) SQL injection.
W pierwszym wideo, Bootcamp #5: Jak szukać SQLi #1, omawiam przykładowe payloady, które pozwalają w miarę prosty sposób identyfikować "podejrzane" parametry, których zachowanie sugeruje, że może istnieć podatność. Drugi odcinek, Bootcamp #6: Jak szukać SQLi #2 , to już praktyczne wykorzystanie tych payloadów na przykładowej aplikacji. Cała playlista dostępna jest tutaj.
Friday, January 20. 2012
Zgadywanka: ciąg dalszy
Ciąg dalszy poprzednich dwóch wpisów. Pomysł tej "zgadywanki" wpadł mi do głowy przy okazji zupełnie innego tematu. Wszystkie obliczenia robiłem dopiero po opublikowaniu przykładu i okazuje się, że zupełnie przypadkiem udało mi się znaleźć ciekawy przykład, który jeszcze na kilka sposobów wykorzystam.
Ciąg dalszy "Zgadywanka: ciąg dalszy" »Thursday, January 19. 2012
Zgadywanka: czy ta gra ma sens II
Nie spodziewałem się, że mój poprzedni wpis zaowocuje tak dużą ilością komentarzy. Tak, pytanie o to, czy gra ma sens, jest nieco przewrotne. Odpowiedź na to pytanie zależy od tego, co uznamy za sensowność. Z grubsza (na dłuższą metę) mogą zajść trzy sytuacje:
- gracze i organizator gry wychodzą na zero,
- gracze są stratni,
- organizator gry jest stratny,
W komentarzach utworzyły się dwie partie. Według części komentujących w grze wychodzi się "na zero", według innych - organizator gry musi dopłacać do interesu (pojawia się też trzecia partia obstająca za trzecią możliwością - zarobkiem dla kasyna). I tutaj jest kolejna przewrotność: zgadywanka. Tu nie chodzi o zgadywanie, tylko o fakty.
Ciąg dalszy "Zgadywanka: czy ta gra ma sens II" »