Paweł Goleń, blog

Jakiś czas temu przygotowałem nową wersję zadania. Jak na razie zabrał się za nią chyba tylko Krzysiek Kotowicz, oczywiście jak zwykle z sukcesem. Samo zadanie nie jest zbyt trudne, występujące warianty sql injection nie różnią się wiele od tych już opisanych, choć jest co najmniej jedna drobna, ale istotna różnica.

Celem tego ćwiczenia jest nie tyle znalezienie samego sql injection (a jest jego kilka wariantów), ale pokazanie, że da się je wykorzystać. Oznacza to co najmniej skonstruowanie (pod)zapytania, które będzie zawierać SELECT, AND lub OR. Można oczywiście również wykorzystać UNION SELECT.

I jeszcze jedno – być może ciekawszym zadaniem niż to (nudne już) sql injection jest znalezienie i zrozumienie wskazówki, którą ukryłem w tym zadaniu. Wyszło z tego coś podobnego do wyzwania Beatthis! crypto challenge przygotowanego przez Krzyśka (pierwszych poziomów).

Zadanie dostępne jest pod adresem: http://bootcamp.threats.pl/lesson25c/.

Oryginał tego wpisu dostępny jest pod adresem Bootcamp XXV: przypominam o “nowej” wersji zadania

Autor: Paweł Goleń

W ramach porannej prasówki natknąłem się na ten post: Nikon Image Authentication System: Compromised. Jeśli dobrze rozumiem, to wszystkie aparaty, w których zaimplementowana jest funkcja Image Authentication korzystają z tego samego klucza. Super...

Warto się też zastanowić, czy można to zrobić dobrze (czyli skutecznie). Oczywiście lepszym rozwiązaniem byłoby wygenerowanie unikalnego klucza prywatnego dla każdego urządzenia z osobna. Można również próbować lepiej zabezpieczyć klucz przed pobraniem go na zewnątrz. Ale czy do sfałszowania zdjęcia na pewno potrzebne jest pozyskanie tego klucza? Może wystarczy ładnie poprosić taki aparat, by podstawione przez nas zdjęcie (w domyśle – zmodyfikowane) podpisał. Bo czy cały aparat jest w 100%25 odporny na modyfikacje?

Oryginał tego wpisu dostępny jest pod adresem Ciekawy temat: czy to zdjęcie jest prawdziwe

Autor: Paweł Goleń

Szlaban, o którym już pisałem, jak był niszczony, tak nadal jest. Właśnie zakładany jest nowy, już straciłem rachubę który. Ciekawe jak długo ten przeżyje. A wszystko “pod okiem kamery”, która znajduje się dosłownie 5 metrów od wjazdu na osiedle tak bohatersko, aczkolwiek nieskutecznie, bronionego przez szlaban. To tyle w temacie prewencyjnej roli kamer, nie czuję się przy nich bezpieczniej. A i w ujęciu sprawców kamera nie pomaga...

Jaki efekt? Taki, że czuję się biedniejszy. Po pierwsze dlatego, że za ten “monitoring” płacę, po drugie dlatego, że za kolejne szlabany również płacę. Super!

Oryginał tego wpisu dostępny jest pod adresem Kolejne życie szlabanu

Autor: Paweł Goleń

Pytanie, czy pierwsza odpowiedź jest najlepsza miała drugie dno. Tym dnem jest książka 50 wielkich mitów psychologii popularnej. Jedenym z mitów(?) omawianych w tej książce jest stwierdzenie:

Kiedy rozwiązujesz test i nie jesteś pewny odpowiedzi, najlepiej zaufać pierwszemu przeczuciu.

Czytaj dalej...

Istnieje przeświadczenie, że pierwsza odpowiedź (w testach wyboru) jest najlepsza. Sam z tej “zasady” wielokrotnie korzystałem, raczej z dobrym skutkiem. Uważam ją za skuteczną nie z jakichś magicznych powodów, ale dlatego, że mam skłonność do przekombinowania. Po prostu często wydaje mi się, że odpowiedź nie może być taka prosta i na pewno musi być w pytaniu jakiś haczyk, więc doszukuję się w pytaniach i odpowiedziach drugiego i trzeciego dna. Jak pokazuje doświadczenie – zwykle tak nie jest, pytania (i odpowiedzi) są z reguły tym, czym wydają się być na pierwszy rzut oka.

Zasada “pierwsza odpowiedź jest najlepsza” nie zwalnia oczywiście od przeczytania (i zrozumienia) pytania oraz odpowiedzi. Nie zwalnia również od myślenia i zastanowienia się. To nie jest “strzelanie w ciemno”. W moim przekonaniu takie podejście jest specyficznym wykorzystaniem zasady ekonomii myślenia.

Jakie jest Wasze zdanie na ten temat? Macie podobne, czy inne doświadczenia? I tak, tym razem pytanie ma drugie dno. A może nawet trzecie :)

Oryginał tego wpisu dostępny jest pod adresem Pierwsza myśl zawsze najlepsza?

Autor: Paweł Goleń

W trakcie testów bezpieczeństwa aplikacji nie jestem zwolennikiem podejścia “czarnego pudełka”. Wychodzę z założenia, że celem testów jest identyfikacja jak największej ilości podatności oraz słabości (słabość nie jest tożsama z podatnością). Wszystko po to, by bezpieczeństwo aplikacji poprawiło się.

Czytaj dalej...

Jakiś czas temu wspominałem o scenariuszu związanym z network forensic (Network Forensic: Nitroba University Harassment Scenario). Opierając się na dostępnym w ramach tego przykładu zapisie ruchu sieciowego, pokażę małą ciekawostkę. Jak ruch NTP może posłużyć do ustalenia ile komputerów jest aktywnych za NAT.

Czytaj dalej...

Krótki i gawędziarski wpis odnośnie tego, jak szukać prostych przypadków XSS. Przynajmniej teoretycznie prostych. Jeśli mamy do czynienia z dużą aplikacją, w ramach której można zidentyfikować kilkadziesiąt punktów wejścia (w uproszczeniu – formatek), z których każdy przyjmuje kilka(naście) parametrów, dokładne przeanalizowanie każdego z nich może być niemożliwe przez ograniczenia czasowe. Z drugiej strony dobrze jest zidentyfikować te miejsca, w których dane pochodzące od użytkownika są wypisywane na stronie i w dodatku są wypisywane w kontekście, który na XSS pozwala.

Czytaj dalej...

Było sobie trzęsienie ziemi i tsunami w Japonii. Zginęło w nim prawdopodobnie około 20 000 osób (potwierdzone ofiary oraz osoby uznane za zaginione). Jednym z efektów trzęsienia i fali tsunami jest awaria w jednej z elektrowni atomowych (Fukushima). W efekcie tej awarii na całym świecie ponownie pojawiły się głosy, że należy zrezygnować z tej formy pozyskiwania energii. A w Polsce pojawił się pomysł, by o budowie elektrowni atomowej zadecydowało referendum (SLD chce referendum ws. budowy elektrowni jądrowej w Polsce).

Ja wiem, że jesteśmy krajem, w którym żyje ponad 40 milionów ekspertów. W dodatku eksperci są bardzo wszechstronni, znają się na wszystkim, od ochrony przeciwpowodziowej, katastrof lotniczych i możliwości wywoływania sztucznej mgły, aż po, jak się okazuje, fizykę jądrową, budowę i eksploatację elektrowni atomowych. Każdy z tych ekspertów dysponuje oczywiście dogłębną wiedzą o stanie naszej infrastruktury przeznaczonej do produkcji i przesyłania prądu, jak również doskonale zdaje sobie sprawę z obecnego i oczekiwanego zapotrzebowania na energię elektryczną w naszym kraju... Zdają sobie oni również doskonale sprawę gdzie w sąsiedztwie Polski znajdują się elektrownie atomowe i potrafią bez problemu uzasadnić, dlaczego budowa nowoczesnej elektrowni na terenie naszego kraju znacząco zwiększa ryzyko. Może jakiś nowatorski sposób “zamykania granic”? Coś jak pomysł Żyrinowskiego odnośnie strzelania do przelatujących nad granicą ptaków w celu walki z ptasią grypą.

Nie, nie mamy 40 milionów ekspertów, a ludzie... ech. Cytując Kazika nasz domorosły ekspert “(...) mówi to co słyszał w radio i z gazety (...)”. A na temat racjonalnego bezpieczeństwa w epoce mediów pisał Paweł Krawczyk: Racjonalne bezpieczeństwo w epoce mediów.

Pytanie – ile osób zginęło w związku z produkcją tej strasznej “energii atomowej”, a ile w związku z “konwencjonalnymi” metodami produkcji energii? Chodzi mi o cały proces od rozpoczęcia budowy elektrowni, poprzez pozyskiwanie paliwa do niej, aż po posłanie jej do odbiorców. Litościwie pominę ofiary wojen o surowce mineralne do produkcji energii potrzebne.

Nie jestem zatwardziałym zwolennikiem elektrowni atomowych, chcę jednak wiedzieć jakie mamy realne (technicznie, ekonomicznie i ekologicznie) alternatywy. Na razie jak słyszę o pomysłach typu “referendum” zaczynam się poważnie zastanawiać nad gromadzeniem zapasów świeczek, nafty i odgrzebaniem na strychu wynalazku Łukasiewicza.

Oryginał tego wpisu dostępny jest pod adresem Referendum dobre na wszystko?

Autor: Paweł Goleń

Mój eksperyment dotyczący autoryzacji transakcji składał się z dwóch części. Wyniki pierwszej części dotyczącej kodów SMS już omówiłem, teraz pora na drugi przykład symulujący działanie tokenu C/R.

Czytaj dalej...