Po co w bazach dostępne jest INFORMATION_SCHEMA? Wbrew rozpowszechnionym pogłoskom nie po to, by SQLi było łatwiejsze (rozpoznanie struktury bazy danych). Po prostu jest to część SQL-92.
Wednesday, January 29. 2014
Thursday, January 23. 2014
Uczyć się na cudzych błędach
Dość ciekawa lektura: Dissecting the Tactics & Techniques of an Advanced Adversary (oraz RSA Incident Response Emerging Threat Profile: Shell_Crew).
Po pierwsze warto przeczytać rozdział "Intrusion Details", bo jest to... piorunujące:
- Nieaktualne oprogramowanie - CVE-2010-2861 (APSB10-18) wykorzystany w 2013 roku(!);
- Hasło przechowywane w sposób pozwalający na atak z wykorzystaniem Rainbow Table (brak salt);
- Prawdopodobnie wykorzystane (relatywnie) słabe hasło - w końcu znalazło się w tablicy.
Dalsza część tego rozdziału (wrzucanie shelli) już nie jest taka ciekawa, choć można zastanowić się, dlaczego była możliwość zapisu plików (inaczej - czy musiała być), a także dlaczego integralność plików (i pojawianie się nowych) nie była monitorowana.
W dalszej części podobały mi się dwa podrozdziały rozdziału "Entrenchment Techniques", konkretnie:
- Registering DLLs with Internet Information Services (IIS);
- Modifying the 'System.Web.dll' file.
Ten patent z modyfikacją System.Web.dll podobał mi się szczególnie :)
Tuesday, January 21. 2014
Jak wybrać abonament
Czasami przychodzi taka chwila, że trzeba podjąć decyzję o zmianie abonamentu. Jak podjąć decyzję jaki abonament wybrać? To proste, trzeba tylko:
- ustalić jakich danych potrzeba (czas rozmów, do jakich sieci, ilość SMS);
- zebrać dane do analizy (stare faktury);
- przeanalizować dane (wartość średnia, odchylenie standardowe, 90% przedział pewności);
- w oparciu o zebrane dane przygotować symulację Monte Carlo dla rozważanych abonamentów;
- na podstawie wyników symulacji wybrać ten abonament, który od samego początku wydawał się najlepszy :)
Sunday, January 19. 2014
BIP, BIP, BIP
Jestem, nic mi nie jest. Pewnie za jakiś czas napiszę coś konkretnego.