Prosta sytuacja - operacja wymaga jednorazowego kodu. Korzystając z PSD2 powiedzmy, że jest to operacja logowania do banku. Załóżmy, że atakujący zna hasło, a kod OTP jest generowany po prawidłowym podaniu loginu i hasła. Co może pójść nie tak?
Ciąg dalszy "Z czasem zdarzenie staje się pewne" »Thursday, September 26. 2019
Sunday, September 22. 2019
25 lat temu
Friends is an American television sitcom, created by David Crane and Marta Kauffman, which aired on NBC from September 22, 1994, to May 6, 2004, lasting ten seasons.
Wednesday, September 11. 2019
9/11
To było już 18 lat temu... Dość dziwne uczucie patrzeć „na żywo” jak samolot wbija się w drugą wieżę. Pamiętam jak po pierwszym uderzeniu podawano komunikat „(...) nie wiadomo, czy to zamach (...)”, drugie uderzenie raczej rozwiało wątpliwości.
Monday, September 2. 2019
Tak, XSS po uppercase jest możliwy
"Kiedyś to były czasy (...)". Bo były, ludzie myśleli i potrafili coś więcej niż (ledwo) obsłużyć Burp. I potrafili coś więcej niż tylko:
<script>alert(1)</script>
I jeśli payload byłby przekształcany do postaci uppercase, nie byliby załamani. Nie działa? To zadziała coś innego, na przykład TO - w wersji źródłowej:
<A HREF="" ONCLICK="alert(1)">TO</A>
Lepiej jest wiedzieć, że się czegoś nie wie, niż myśleć, że się wie, bo przecież "pentest nic nie znalazł". False sense of security jest gorszy niż (świadoma) niepewność.