Kolejne wskazówki/zadanie związane z bootcamp XXV. W tej części wskazówek udostępniony jest plik z zapisem sesji HTTP. Zadanie polega na przeanalizowaniu odpowiedzi serwera na poszczególne zapytania i identyfikacji na tej podstawie miejsc, w których należy się spodziewać sql injection. Więcej informacji: Wyzwanie V – wskazówki, część druga.
Oryginał tego wpisu dostępny jest pod adresem Bootcamp XXV – hint II
Autor: Paweł Goleń
Truizmem jest stwierdzenie, że człowiek jest najsłabszym ogniwem (bezpieczeństwa). Wydaje mi się, że za mało czasu poświęca się temu, by odpowiedzieć na pytanie dlaczego tak właśnie jest. Człowiek jest (tylko) człowiekiem, jest przez to “ograniczony”. Ograniczony przez tysiące lat ewolucji, które w pewien sposób nas ukształtowały. Uważam, że z czasów, gdy nasi przodkowie musieli walczyć o przetrwanie, pożywienie i sukces reprodukcyjny, zostało w naszym zachowaniu dużo więcej, niż chcemy się do tego przyznać. Są też inne, prostsze(?), zagadnienia z psychologii, które mogą przydać się przy projektowaniu mechanizmów bezpieczeństwa. Używalnych mechanizmów bezpieczeństwa, cokolwiek to znaczy.
Ciekawa lektura: Anonymous speaks: the inside story of the HBGary hack. Warto przeczytać i zobaczyć jak wiele “małych” błędów prowadzi do całkiem sporej wtopy. A błędy były proste i typowe:
W tej chwili zamiast się dowartościowywać wymyślając przemyślne epitety mające oddać brak profesjonalizmu ofiar ataku, lepiej zastanowić się, czy my sami się przed takim scenariuszem dobrze bronimy. To jak z tym jest?
Dla przypomnienia inna historia: Uczmy się na błędach: apache.org incident report. Znajdź części wspólne na tych obrazkach :)
UPDATE : W tym samym temacie HBGary hack: lessons learned.
Oryginał tego wpisu dostępny jest pod adresem Uczmy się na CUDZYCH błędach: HBGary hack
Autor: Paweł Goleń
Jeśli ktoś z czytelników ma trochę czasu do zmarnowania(?), to może niech go marnuje produktywnie. No, produktywnie przynajmniej dla mnie :) Chcę przeprowadzić pewien eksperyment, Wasz udział bardzo mi w tym pomoże.
O co chodzi? Przygotowałem prostą aplikację, która wyświetla przez kilka sekund kilka cyfr. Następnie te cyfry znikają, natomiast pojawia się pole do ich wpisania. Zadanie jest proste – spróbować przepisać wyświetlone wcześniej cyfry, lub przynajmniej tyle, ile udało się zapamiętać. Ilość wyświetlanych cyfr waha się od 3 do 10, czas ich wyświetlania zależy natomiast od ich ilości (sekunda na każdą cyfrę).
Przykład ten znajduje się pod adresem http://bootcamp.threats.pl/e/test01.php (wymaga włączonej obsługi JavaScript) i nie jest elementem mojego przewodnika po bezpieczeństwie aplikacji internetowych, więc proszę go nie hakować. Przykłady z przewodnika hakować oczywiście można :)
Oryginał tego wpisu dostępny jest pod adresem Prośba o pomoc: zmarnuj trochę czasu
Autor: Paweł Goleń
W trakcie porannej prasówki we wpisie Tomka (Autorization Manager – bestia i jak ją obejść) trafiłem na link do tego wpisu: Szkolenia programistyczne, czyli maszyna ssąco-uciszająca . Miażdżąca ocena szkoleń. Najgorsze jest to, że prawdziwa.
Znam Tomka i mogę praktycznie w ciemno założyć, że jego szkolenie było konkretne (treść) i ciekawe (forma przedstawienia, sposób mówienia, osobowość mówcy). Podobne odczucia mam w odniesieniu do kilku innych osób, co do których wiem, że łączą sporą wiedzę z umiejętnością ciekawego opowiadania. Znam też osoby, których wiedzę naprawdę podziwiam, ale na prezentacji/szkoleniu w ich wykonaniu wytrzymam góra 5 minut, potem zasnę, albo mnie trafi... I niestety też miałem wątpliwą przyjemność uczestniczenia w szkoleniach/prezentacjach, których treść i forma nie nadaje się nawet do /dev/null.
Oryginał tego wpisu dostępny jest pod adresem Złe szkolenia są ZŁE!
Autor: Paweł Goleń
Otrzymałem ostatnio zapytanie odnośnie przechowywania danych sesji po stronie klienta. Było ono związane z drugim z przygotowanych przeze mnie wyzwań. Jednym z istotnych elementów tego zadania była analiza danych przechowywanych po stronie klienta, co wyjaśniam w opisie implementacji sesyjności w przykładowej aplikacji. Pytanie – czy dane sesji można bezpiecznie przechowywać po stronie klienta?
Raz na jakiś czas przeglądam stronę z rozszerzeniami do Fiddlera. Dziś natknąłem się na nowe rozszerzenie: intruder21. Rozszerzenie to jest bardzo świeże, ale w zasadzie robi to, co do niego należy. Do tej pory z tematem fuzzowania radziłem sobie nieco inaczej, na przykład za pomocą skryptów, które pokazywałem/używałem we wpisach o szukaniu błędów kontroli dostępu do danych albo o poszukiwaniu błędów SQL Injection. Przypomnę, że do napisania skryptu zmotywowały mnie moje problemy z JBroFuzz.
Przyznaję, że intruder21 wygląda interesująco, ale już przyzwyczaiłem się do swoich skryptów i widzę w tym rozszerzeniu pewne braki. W wielu wypadkach będzie jednak narzędziem wystarczająco dobrym , dlatego warto się z nim zapoznać. A swoimi skryptami nadal nie zamierzam się dzielić. Nie dlatego, by była w nich jakaś wiedza tajemna, ale dlatego, że są po prostu brzydkie :)
Oryginał tego wpisu dostępny jest pod adresem Fiddler: rozszerzenie intruder21
Autor: Paweł Goleń
Na blogu informatyków śledczych znajduje się wpis o FTK Imager 3.0, w którym jako nowość w tej wersji FTK Imager wymieniana jest możliwość montowania obrazów dysków. Nowość w tym sensie, że funkcja ta jest dostępna za darmo.
Nie jest to do końca prawda, już wcześniej dostępne były darmowe narzędzia, które pozwalały na montowanie obrazu dysku w systemie Windows. Wystarczy wspomnieć o:
Narzędzie P2 eXplorer dostępne jest co prawda za darmo, ale na stronie pobierania znajduje się formularz, w którym trzeba zostawić swoje dane. Jak już kiedyś wspominałem takie formularze działają na mnie zniechęcająco...
Niespodzianka – ten formularz jest dobrym przykładem jak nie należy implementować tego typu funkcjonalności. Ach, te pola ukryte...
Oryginał tego wpisu dostępny jest pod adresem Zadanie: pobierz P2 eXplorer bez zostawiania danych
Autor: Paweł Goleń
W TOK FM jest sobie audycja OFF Czarek. W ramach tej audycji pojawił się cykl Oto Słowa Pańskie , w którym analizowane są wypowiedzi polityków. Analizowane pod kątem retoryki. Warto posłuchać.
Oryginał tego wpisu dostępny jest pod adresem Jak (słabo) mówią politycy
Autor: Paweł Goleń
jQuery to fajna biblioteka, która pozwala robić wiele rzeczy w łatwy sposób. Ale to, że coś można zrobić wcale nie znaczy, że należy to robić...
Pomarudzę – kiedyś było lepiej, zrobienie pewnych rzeczy wymagało większej ilości kodu, więc się ich po prostu nie robiło. Nie, nie chodzi mi o to, by z możliwości dawanych przez jQuery nie korzystać, ale o to, by robić to z głową. W przeciwnym wypadku powstają aplikacje nieintuicyjne i nieużywalne, ale za to tak wesoło błyskające kolorkami i naładowane innymi efektami. Ech...
Nie, nie mam nic do folkloru, ale (nad)używanie jQuery w aplikacjach internetowych jest tak samo praktyczne, jak (przykładowo) paradowanie na co dzień w krakowskim stroju ludowym z pawim piórkiem przy czapce...
Oryginał tego wpisu dostępny jest pod adresem jQuery – wieś tańczy i śpiewa
Autor: Paweł Goleń