Ten artykuł aż boli: Nowy, bzdurny pomysł mBanku. Artykuł i zamieszone pod nim komentarze. W sumie nawet nie wiem, która perełka boli najbardziej. Odczytywanie adresu MAC i licencji Windows z poziomu przeglądarki? Nagłówki HTML? Flaga HttpOnly w kontekście malware na stacji (jako ochrona)?
Poniedziałek, październik 21. 2019
Czwartek, wrzesień 26. 2019
Z czasem zdarzenie staje się pewne
Prosta sytuacja - operacja wymaga jednorazowego kodu. Korzystając z PSD2 powiedzmy, że jest to operacja logowania do banku. Załóżmy, że atakujący zna hasło, a kod OTP jest generowany po prawidłowym podaniu loginu i hasła. Co może pójść nie tak?
Ciąg dalszy "Z czasem zdarzenie staje się pewne" »Niedziela, wrzesień 22. 2019
25 lat temu
Friends is an American television sitcom, created by David Crane and Marta Kauffman, which aired on NBC from September 22, 1994, to May 6, 2004, lasting ten seasons.
Środa, wrzesień 11. 2019
9/11
To było już 18 lat temu... Dość dziwne uczucie patrzeć „na żywo” jak samolot wbija się w drugą wieżę. Pamiętam jak po pierwszym uderzeniu podawano komunikat „(...) nie wiadomo, czy to zamach (...)”, drugie uderzenie raczej rozwiało wątpliwości.
Poniedziałek, wrzesień 2. 2019
Tak, XSS po uppercase jest możliwy
"Kiedyś to były czasy (...)". Bo były, ludzie myśleli i potrafili coś więcej niż (ledwo) obsłużyć Burp. I potrafili coś więcej niż tylko:
<script>alert(1)</script>
I jeśli payload byłby przekształcany do postaci uppercase, nie byliby załamani. Nie działa? To zadziała coś innego, na przykład TO - w wersji źródłowej:
<A HREF="" ONCLICK="alert(1)">TO</A>
Lepiej jest wiedzieć, że się czegoś nie wie, niż myśleć, że się wie, bo przecież "pentest nic nie znalazł". False sense of security jest gorszy niż (świadoma) niepewność.
