Jakiś mroczny psuj grasuje w moim sprzęcie komputerowym. Wczoraj mój laptop postanowił przestać podświetlać matrycę. Albo inaczej - samo podświetlanie działa, ale błyskawicznie się wyłącza. Jeśli dobrze posłuchać, to można usłyszeć ten charakterystyczny "śpiewający" dźwięk padającej elektroniki, a w chwili wyłączenia matrycy - pyknięcie.
Ciąg dalszy "Fin de siecle II" »Friday, June 29. 2012
Wednesday, June 27. 2012
Trochę inne OR 1=1 --
Punkt A1 Injection nie dotyczy tylko błędów typu SQL Injection. Coraz częściej dostęp do danych jest realizowany za pośrednictwem jakiejś warstwy abstrakcji (np. ORM). Użycie tego typu rozwiązań nie gwarantuje odporności na błędy typu injection, np. CWE-564: SQL Injection: Hibernate.
Ciąg dalszy "Trochę inne OR 1=1 --" »Sunday, June 24. 2012
Fin de siecle
W piątek mój bardzo stary komputer zakończył swój żywot. Bardzo stary, bo jego początek datował się gdzieś w okolicy roku 2001- 2002. Najpierw uporczywie rzucał BSOD, a potem zaśmierdział paloną elektroniką. Najwięcej zabawy miałem jednak z odzyskiwaniem danych z dysków. Nie to, by się uszkodziły, ale nie było też tak, że mogłem sobie dysk po prostu podpiąć i odczytać dane.
Ciąg dalszy "Fin de siecle" »Tuesday, June 19. 2012
Hasło nie jest (aż tak) ważne
Szooooook! Alior Sync: internauci skarżą się na limit znaków w haśle.
A mnie to Lotto. Szansa na trafienie szóstki to 1:13 983 816. Hasło o długości 10 znaków składające się z samych małych liter to 141 167 095 653 376 możliwości. Nawet zakładając, że jest 10 prób na zgadnięcie hasła, to i tak mam większe szanse na zgarnięcie puli w kumulacji, niż trafienie we właściwe hasło. A jak już mi się przypadkiem uda trafić w prawidłowe hasło, to się okaże, że nadal nie mogę wyprowadzić pieniędzy, bo jest jeszcze coś, co się nazywa autoryzacja transakcji.
PIN karty to (zwykle) 4 cyfry. Tylko 10000 możliwości, a jednak samo skopiowanie paska magnetycznego nie wystarcza, jeszcze skimmerzy po coś montują te kamerki...
Monday, June 18. 2012
Knucie jest stanem umysłu
Od dłuższego czasu mam pewną ideę. Pisałem już dawno temu, że jestem znudzony wyszukiwaniem podstawowych dość podatności związanych z walidacją danych wejściowych, kodowaniem na wyjściu, prostymi przypadkami SQL injection czy błędami kontroli dostępu do funkcji i do danych. Wyszukiwanie podstawowych przypadków tych wymienionych podatności to praca mozolna, metodyczna, ale również do pewnego stopnia mechaniczna. Nie twierdzę, że w czysto mechaniczny sposób uda się zidentyfikować 100% podatności tego typu, z doświadczenia jednak wiem, że jeśli w aplikacji są podatności, to często występują również takie proste błędy.
Moja idea zakłada(ła) nauczenie testerów funkcjonalnych prostych technik, które pozwolą na zidentyfikowanie wymienionych typów podatności. Muszę przyznać jednak, że pomysł ten muszę chyba jednak w pewnym stopniu zrewidować. Teraz coraz bardziej dochodzę do wniosku, że oprócz nauczenia tego, jak mechanicznie szukać prostych podatności, konieczne jest obudzenie w ludziach ukrytego upierdliwca/anarchisty/destruktora.
Ciąg dalszy "Knucie jest stanem umysłu" »