Dziś kilka refleksji odnośnie wyboru narzędzia (CMS/platforma blogowa), a wszystko pośrednio pod wpływem dyskusji dotyczącej wpisu Jeden 0-day i.... Oczywiście nie musicie się zgadzać z moimi pomysłami/wskazówkami, ale być może dla kogoś będzie to przydatne.
Krótki wpis, być może komuś się przyda. Problem – uszkodzeniu ulega dysk, jakaś jego część jest fizycznie nieczytelna. Próba zrobienia obrazu dysku kończy się niepowodzeniem, pojawia się wiele mówiący błąd read error. Co zrobić w takiej sytuacji?
Jakiś czas temu na Niebezpieczniku pojawił się wpis Jeden 0day na WordPressa i leżymy! Co do zasady muszę się zgodzić z prezentowanym w tym wpisie stanowiskiem, ale... No właśnie, czy tak musi być?
Oryginał tego wpisu dostępny jest pod adresem Ech te świąteczne piosenki...
Autor: Paweł Goleń
Kontynuując cykl “zrób to sam w weekend” tym razem udostępniam kolejny przykład w moim przewodniku po bezpieczeństwie aplikacji internetowych. Tym razem jest to kolejne wyzwanie. Więcej szczegółów: Lekcja 25: Wyzwanie V. Powodzenia!
Oryginał tego wpisu dostępny jest pod adresem Bootcamp XXV: Wyzwanie
Autor: Paweł Goleń
Taka mała refleksja...
Jak teraz zaczyna się spotkanie biznesowe? Wymianą wizytówek... Jak będzie się zaczynać? Od wzajemnego pstrykania fotek swoimi wypasionymi komórkami...
Oryginał tego wpisu dostępny jest pod adresem Przyszłość jest ZŁA!
Autor: Paweł Goleń
Też napiszę kilka słów w temacie, którego dotyczył ten radosny artykuł: FBI zaszyło pluskwy w szyfrowaniu dla serwerów. Od razu dla przeciwwagi trzeba podać coś bardziej rzetelnego:
Przy każdej informacji o wycieku haseł z reguły pojawia się wątek o “słabości” MD5 oraz o tym, że trzeba dodawać salt. Jest z tym trochę jak ze słynnym radiem Erewań. Konkretnie chodzi mi o dwie sprawy:
Dzisiaj kontynuacja cyklu “zrób to sam w weekend”. Tym razem przykład jak szukać błędów typu sql injection (patrz: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')) Podobnie jak ostatnim razem wpis nie będzie zawierał jakiejś wiedzy tajemnej. Chcę po prostu pokazać w jaki sposób błędy typu SQLi można w stosunkowo prosty sposób zidentyfikować. Oczywiście przy użyciu tej techniki nie da się znaleźć 100%25 błędów, ale przynajmniej całkiem sporą ich ilość. Nie jest to podejście typu fire and forget , wymaga trochę myślenia, ale to raczej jego zaleta, niż wada. No i każdy może w stosunkowo prosty sposób dostosować to podejście do swoich potrzeb.
Ten wpis nie będzie zawierał jakiejś wiedzy tajemnej. Będzie raczej pokazywał w jaki sposób można podejść do tematu testowania kontroli dostępu. A kontrola dostępu jest bardzo ważnym elementem bezpieczeństwa aplikacji. Jeśli nie jest zrealizowana w sposób konsekwentny i prawidłowy, może się to skończyć takimi informacjami: Poważny błąd w Gadu-Gadu i Gadu Air.