Czym jest eskalacja przywilejów? Ogólnie mówiąc jest to sytuacja, gdy posiadając jakieś uprawnienia w systemie/aplikacji możliwe jest ich zwiększenie. Czyli na przykład posiadając prawa zwykłego użytkownika, możemy “zrobić się” administratorem. Albo z uwagi na jakiś błąd logiczny móc w aplikacji wykonać operacje, których wykonać ze swoim poziomem uprawnień nie można...
Tak tak, dzisiaj “domknąłem” brakujący kawałek od Zielonek do Mogiły. Muszę jednak powiedzieć, że forty w tym obszarze podobają mi się umiarkowanie. Sporo jest niedostępnych, pozostałe są strasznie zdewastowane. A towarzystwo jakie tam zachodzi... Ale ogólnie widziałem dziś forty:
...i co z tego? I tak nasi siatkarze są WIELCY. Znajdują się w ścisłej światowej czołówce i walczą z najlepszymi. Niech tylko mi ktoś zacznie marudzić, że słabo, że źle...
...pojawiła mi się na łańcuchu mojego rowerka... Jestem niepocieszony. To znaczy ja wiem, że łańcuch nie musi się świecić jak psu wiadomo co, tylko ma pracować w miarę bez oporów i cicho, ale jednak fajnie, jak wygląda znośnie. Właśnie się mi konserwuje, ale te kropki, które zauważyłem jakoś zniknąć nie zamierzają :( No nic, być może po prostu w przyszłym sezonie zakupię nowy? Są ludzie, którzy twierdzą, że łańcuch należy zmieniać co 1000 kilometrów, cóż, mój przejechał tych tysięcy znacznie więcej :)
Dzisiaj znalazłem chwilę, by przetestować nową wersję narzędzia accesschk. Kilka sekund później obudził się we mnie instynkt zabójcy...
Ostatnio pisałem, że chcę wykorzystać algorytmy do wyliczania edit distance w celu sortowania nazw domen wygenerowanych przez mój skrypt do fuzzingu/wyszukiwania nazw podobnych do wskazanej. Nie był to jednak najlepszy pomysł.
Pojawiła się informacja o dziurze w WinPcap. Z uwagi na fakt, że WinPcap jest dołączany choćby do Wireshark albo Cain, to szansa, że ktoś posiada dziurawą wersję, jest spora. Dlatego też należy zrobić upgrade do wersji 4.0.1. Po co kusić los...
Czasem przydatną informacją jest wiedza o tym, jak bardzo dwa stringi różnią się między sobą.
Fajne. Jakoś nigdy nie ufałem biometrii.
Chodzi oczywiście o aplikacje webowe i kodowanie znaków. Osobiście uważam, że należałoby przejść po prostu na UTF-8 i korzystać z tego kodowania konsekwentnie (i dlatego Python jest taki fajny, bo posiada bardzo dobre wsparcie dla Unicode). Jeśli aplikacja wykorzystuje różne kodowania znaków w sposób niekonsekwentny, efekt może być opłakany. I nie chodzi tylko o coś w stylu “za??? ???t? ja??” na stronie, ale również XSS czy nawet sqlinjection. Przykłady? Proszę bardzo: