Paweł Goleń, blog

Moje problemy z JBroFuzz jak występowały, tak występują, nawet mimo tego, że na liście zmian w nowej wersji teoretycznie znalazła się informacja o ich usunięciu:

Release Notes (2.2): (...) * Fixed “Payload in the wrong location” (sourceforge ID: 2997848) (...)

Poza tym i tak “standardowe” fuzzery nie sprawdzają się, gdy kolejne żądanie musi zostać nieco zmodyfikowane w stosunku do żądania “wzorcowego”, na przykład po to, by wstawić aktualny token.

Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic , być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych tematów.

Druga sprawa – zdaję sobie sprawę, że na prezentacji wiele tematów poruszyłem bardzo pobieżnie, nie wdając się w szczegóły. Nie pokazałem wszystkich informacji, które można było uzyskać z tego zrzutu ruchu sieciowego, nie do końca również wdawałem się w szczegóły techniczne dotyczące tego, jak niektóre informacje były uzyskane. Być może kilka wyjaśnień znajdzie się w kolejnych wpisach na blogu. Jeśli ktoś z Was ma jakieś pytania, czekam. Ja już widzę kilka tematów, które będę chciał rozwinąć.

I jeszcze jedna sprawa. Gratuluję Kamilowi Reszczykowi rozwiązania mini-konkursu. Niech koszulka dobrze się nosi :) Jednocześnie przepraszam tych z Was, których maile z rozwiązaniem nie dotarły. Proszę o przesłanie ich jeszcze raz, tym razem na pawel.golen na gmail. Rozwiązania opublikuję, może uda się również jakąś drugą turę w sensie gadżetów przeprowadzić. A ja spróbuję ustalić, dlaczego Wasze maile do mnie nie dotarły.

W dniu 10 czerwca w Krakowie odbędzie się ostatnie przed wakacjami spotkanie OWASP. Tym razem dwie prezentacje o tematyce będącej w pewnym stopniu kontynuacją poprzedniego spotkania, oraz oczywiście tradycyjne wieści z OWASP przekazywane przez Przemka Skowrona.

Do myślenia dał mi ostatnio ten post: Banking Malware uses PAC file. W tym przykładzie malware wprost ustawia adres skryptu PAC, z którego korzysta przeglądarka do określania przez jakie proxy powinna przesłać żądanie. Malware musi jednak jakoś ten klucz ustawić, czyli musi wejść na komputer. A co, jeśli wchodzić by nie musiał?

Najbardziej oryginalną (i niestety – jedyną) odpowiedź odnośnie pytania o ukryty sens dobrych praktyk udzielił Kravietz:

Dobre praktyki mają kapitalne znaczenie dla pentesterów, gdyż pozwalają rozdymać raporty nawet gdy nie udaje się znaleźć nic poważniejszego (...)

Wymienione przeze mnie punkty z ASVS mają jednak również praktyczne znaczenie, niestosowanie ich ma realny wpływ na ryzyko, przynajmniej w niektórych scenariuszach. Jakich?

Z dzisiejszych wykładów na Confidence najbardziej podobał mi się The Presence and Future of Web Attacks Multi-Layer Attacks and XSSQLI. Dlaczego akurat ta prezentacja, o tym później. Na pewno warto zapoznać się z zasobem HTML5 Security Cheatsheet. To przy okazji jest częściowa odpowiedź na pytanie, które padło na ostatnim spotkaniu OWASP, czyli “Co zmieni HTML5?”.

Mamy powódź. Znowu. Pozostaje czekać na ogłoszenie planów wsparcia dla powodzian. O przepraszam, nie trzeba czekać, przecież już wiadomo, że takie wsparcie będzie. Rząd da, państwo da. Tylko, że państwo to między innymi ja i jakoś takie ciągłe dawanie mi się nie uśmiecha.