Dawno, dawno temu wjazdu na osiedle, na którym mieszkam, broniła brama. Taka zwykła, przesuwana brama sterowana z pilota. W pewnej chwili jednak wjazdu bronić przestała. Po długim czasie postanowiono, że zamiast bramy zainstalowany zostanie szlaban. Został on zainstalowany, po dłuższych perypetiach z pilotami – uruchomiony. I...
Przykład z session fixation nie jest tak ciekawy, jak ten z XSS przygotowany przez Krzyśka. Jego rozwiązanie jest dość proste – na formatce logowania jest XSS w parametrze target , który musi zostać przekazany w GET. A skoro jest XSS, to w zasadzie zadanie jest już rozwiązane. Prawie.
W Windows 2000 wprowadzone zostało rozszerzenie do NTFS, które pozwalało na szyfrowanie plików – EFS. Zgodnie z oczekiwaniami wkrótce potem pojawiły się pytania jak odzyskać zaszyfrowane pliki. Nawet nie tyle – jak odzyskać pliki , tylko jak je odszyfrować. Ponieważ ciągle tego typu problemy się trafiają, postanowiłem trochę ten temat wyjaśnić. Po części dlatego, że słowa kluczowe związane z EFS trafiają się wśród tych, które prowadzą do mojego bloga. Ograniczę się do “domowego” scenariusza wykorzystania EFS, czyli do stacji roboczej bez domeny, bez całej infrastruktury PKI i bez agentów odzyskiwania danych.
Kilka razy marudziłem, że sqlmap jest bardzo dobrym narzędziem, tylko w praktyce nie działa. Dziś krótka historia przypadku, który doprowadził mnie do lekkiej irytacji.
W 1953 roku na uniwersytecie w Yale przeprowadzony został ciekawy eksperyment. Poproszono studentów ostatniego roku o zapisanie celów, jakie chcą oni osiągnąć w życiu. Po 20 latach wrócono do uczestników eksperymentu. Okazało się, że sprecyzowane cele miało jedynie 3%25 badanych. Jednocześnie okazało się, że te 3%25 uczestników zgromadziło majątek większy, niż pozostałe 97%25. Wyniki tego eksperymentu pokazują, jak w samodoskonaleniu ważne jest zdefiniowanie swojego celu.
Eksperyment ten ma tylko jedną wadę. Najprawdopodobniej nigdy się nie odbył...
Oryginał tego wpisu dostępny jest pod adresem Do celu
Autor: Paweł Goleń
Dwie wskazówki do tematu z session fixation (Poćwicz sobie Session Fixation).
W trakcie testów często problemem jest to, że do końca nie wiadomo jakie parametry przyjmuje dany punkt wejścia. Czasami może się okazać, że dopisanie jakiegoś parametru spowoduje nieco inne zachowanie aplikacji. Jak powinien nazywać się parametr? Cóż, można próbować zgadnąć. Można też sprawdzić nazwy parametrów, które występują na danej formatce, na przykład jako pola hidden. Warto pamiętać, że parametr może być przekazany metodą POST lub GET, aplikacja nie zawsze te metody traktuje równorzędnie.
Druga wskazówka: Same-origin policy for cookies.
Oryginał tego wpisu dostępny jest pod adresem Session Fixation: hint I
Autor: Paweł Goleń
O session fixation wspominałem już kilka razy, między innymi tu: Dlaczego należy zmienić identyfikator sesji po uwierzytelnieniu.
Dawno, dawno temu przygotowałem ten przykład Lekcja 21: Przykład – phishing na formatce logowania z wykorzystaniem XSS, ale nie wzbudził on specjalnego zainteresowania. Dziś postanowiłem go trochę zmodyfikować i teraz oprócz phishingu (jeśli ktoś chce, nadal może go sobie poćwiczyć), można na nim również przećwiczyć session fixation. Zadanie nie jest zbyt wymagające, choć przyda się trochę pomysłowości. Chodzi o to, jedyne cookie PHPSESSID wysłane przez przeglądarkę klienta przy próbie logowania było tym, które ustawi atakujący.
Zapraszam: http://bootcamp.threats.pl/lesson21/.
Oryginał tego wpisu dostępny jest pod adresem Poćwicz sobie Session Fixation
Autor: Paweł Goleń
Zamiast wystawiania slajdów (są dostępne tutaj), postanowiłem zrobić mały przegląd swoich starszych wpisów i zebrać je w jednym poście. Dzięki temu jeśli ktoś jest zainteresowany tematem, będzie mógł poczytać trochę więcej, niż z suchych slajdów.
Chyba wpis na temat algorytmów HOTP i OCRA nie spotkał się z większym zainteresowaniem. A szkoda. Zadałem w nim pytanie:
Jakie są skutki tego stanu rzeczy? Potencjalny replay attack. Oczywiście parametr Q może być losowy, w związku z czym replay attack staje się mało prawdopodobny. Pytanie – kiedy challenge (Q) jest nie do końca losowy?
Pora na odpowiedź.
Muszę powiedzieć, że moje wrażenia po SecDay są bardzo pozytywne. Prezentacje ciekawe, choć w większości dość niskopoziomowe. Z tej tematyki wyłamały się chyba tylko trzy tematy: ulot elektromagnetyczny, bankowość internetowa (mój, przy okazji: ZeuS Mitmo: Man-in-the-mobile (I) via ^rezos) oraz informatyka śledcza. Szczególne wyrazy uznania dla tej ostatniej prezentacji i dyskusji po niej. Doskonały przykład jak o informatyce śledczej można rozmawiać bez niepotrzebnego nadęcia.
EDIT : Jeszcze w temacie malware na telefony komórkowe
Oryginał tego wpisu dostępny jest pod adresem I po SecDay
Autor: Paweł Goleń