Paweł Goleń, blog

Jak do tej pory nikt nie wykazał się wystarczającą spostrzegawczością. A przynajmniej nikt się nią nie pochwalił. Dla przypomnienia, chodzi o to zadanie: Ćwiczenie na spostrzegawczość.

W ramach podpowiedzi dwa obrazki, które różnią się drobnym(?) szczegółem. Co ta różnica oznacza, z czego ona wynika i jak ją wykorzystać?

Oryginał tego wpisu dostępny jest pod adresem Ćwiczenie na spostrzegawczość II: hint

Autor: Paweł Goleń

Dawno, dawno temu w ramach przewodnika po bezpieczeństwie aplikacji internetowych udostępniłem przykład związany z uploadem plików: Lekcja 16: XSS i SQLi w nazwie pliku.

Tym razem w oparciu o ten sam przykład ćwiczenie na spostrzegawczość: http://bootcamp.threats.pl/lesson16a/. Cel: SQLi. Powodzenia!

Oryginał tego wpisu dostępny jest pod adresem Ćwiczenie na spostrzegawczość

Autor: Paweł Goleń

Tak na wszelki wypadek, jeśli komuś przydarzyłoby się coś niepożądanego (np. tak jak tutaj: Historia pewnej infekcji), warto mieć na podorędziu kilka narzędzi. Jednym z możliwych sposobów postępowania w takim przypadku jest analiza pamięci fizycznej komputera. W takim przypadku pomocne mogą być:

• MoonSols DumpIt - do (łatwego) zrzutu pamięci (patrz też: MoonSols Windows Memory Toolkit),
• Volatility - framework do analizy zrzutu pamięci,
• Memoryze i AuditViewer - analiza pamięci, przeglądanie wyników analizy,
• Redline - przeglądanie wyników analizy zrzutu pamięci,

Gdy w końcu uda mi się znaleźć trochę czasu, pokażę trochę więcej odnośnie wykorzystania tych narzędzi.

Oryginał tego wpisu dostępny jest pod adresem Kilka narzędzi na wszelki wypadek

Autor: Paweł Goleń

No i co się tak gapi? Kozicy nie widział?

A poważnie – nie, nie miałem do tej pory okazji natknąć się na kozicę w Tatrach. Tym razem taka okazja natrafiła się aż dwa razy. W tym raz kozica popisała się biegiem na krechę z Kołowej Czuby w stronę Zadniego Stawu Polskiego.

Oryginał tego wpisu dostępny jest pod adresem Sierpniowy długi weekend 2011

Autor: Paweł Goleń

Najpierw (pewnie już znany) obrazek:

A później tekstowo:

• Theoretical and Practical Password Entropy,
• The science of password selection,

Oryginał tego wpisu dostępny jest pod adresem Obrazkowo o hasłach

Autor: Paweł Goleń

Warto zapoznać się z udostępnionym ostatnio przez OWASP dokumentem Session Management Cheat Sheet. Zawarte w nim wskazówki warto porównać z wymaganiami zdefiniowanymi w OWASP Application Security Verification Standard, zwłaszcza z rozdziałem V3 – Session Management Verification Requirements.

Z moich doświadczeń wynika, że obecnie większość aplikacji korzysta z wbudowanego we framework mechanizmu sesji. Jest to zresztą pierwsze z wymagań ASVS. Takie podejście jest o tyle dobre, że w większości przypadków standardowa obsługa sesji jest po prostu wystarczająco dobra. Mimo wszystko pewne problemy wciąż się powtarzają, w szczególności:

• brak zmiany cookie po uwierzytelnieniu (lub “after reauthentication”),
• brak ochrony cookie przy pomocy flag Secure i httpOnly,
• brak ograniczenia ścieżki, do której wysyłane jest cookie,
• brak wygasania sesji po określonym czasie bezczynności,
• brak niszczenia sesji po wylogowaniu,
• przesyłanie identyfikatora sesji bez szyfrowania,
• przesyłanie identyfikatora sesji w query string ,
• ujawnianie identyfikatorów sesji (np. w logach),

Mechanizmy związane z uwierzytelnieniem i kontrolą dostępu są po prostu nieskuteczne, jeśli atakujący jest w stanie ustalić lub wykraść prawidłowy identyfikator sesji ofiary.

Dodatkowo warto pamiętać również, że:

• reguły same-origin policy dla rożnych elementów (cookie, DOM, JavaScript, XMLHttpRequest) nieco różnią się między sobą,
• sesja jest (często) dobrem wspólnym – dwie różne aplikacje na jednym serwerze mogą wzajemnie “brudzić” swoje sesje,

I w ramach bonusu: How and why session IDs are reused in ASP.NET.

Oryginał tego wpisu dostępny jest pod adresem OWASP: Session Management Cheat Sheet

Autor: Paweł Goleń