RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, February 3. 2009

Global-id i AccessReferenceMap

W ramach OWASP istnieje projekt OWASP Enterprise Security API. W ramach tego projektu istnieje interfejs AccessReferenceMap, który implementowany jest przez dwie klasy IntegerAccessReferenceMap oraz RandomAccessReferenceMap. Koncepcja tego interfejsu jest prosta:

The AccessReferenceMap interface is used to map from a set of internal direct object references to a set of indirect references that are safe to disclose publicly. This can be used to help protect database keys, filenames, and other types of direct object references. As a rule, developers should not expose their direct object references as it enables attackers to attempt to manipulate them.

Teoretycznie mój PoC związany z kodowaniem identyfikatorów globalnych można zrealizować jako implementację tego interfejsu. Do pewnego stopnia działanie tej hipotetycznej implementacji zbliżone byłoby do RandomAccessReferenceMap.

Ślady
Brak Śladów
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

ssh bruteforce
Friday, 16 May 2008
Dlaczego mroczna-zaloga czasem umiera...?
Wednesday, 30 January 2008
Bubble breaker
Saturday, 24 November 2007
No i RC4 już nie jest takie fajne
Wednesday, 13 March 2013
Skuteczne usuwanie danych - tylko dwa sposoby?
Monday, 11 August 2008
Pierwszy dzień lata na kopcu Krakusa
Monday, 21 June 2010
Mistrzostwa świata...
Saturday, 1 July 2006
InfoSec Kraków
Friday, 7 March 2014
Coś mocniejszego niż MD5
Monday, 13 December 2010
Uczę się skrótów
Friday, 3 March 2023