Paweł Goleń, blog

Zadania związane z obfuskowanym kodem JavaScript zostały rozwiązane, głównie przez Krzysztofa Kotowicza. Planowałem przygotować jeszcze jedną mutację tego zadania, ale ostatecznie chyba ją sobie odpuszczę, przynajmniej na razie. Do rozwiązania pozostają jeszcze inne zadania, związane z phishingiem na formatce logowania, oraz kontrolą dostępu do funkcji. Pora na wyjaśnienie zadania dotyczącego kontroli dostępu do funkcji.

Skusiłem się ostatnio na książkę 2012: Gniew Ojca. Choć widywałem ją w księgarni od pewnego czasu, jakoś omijałem ją szerokim łukiem. Rok 2012 w tytule sugerował kolejnego katastroficznego gniota, ale...

Zastanawiałem się właśnie nad pewnym scenariuszem ataku, do którego przydatny byłby XMLHttpRequest. Scenariusz był raczej mało prawdopodobny z uwagi na mechanizm same-origin policy , ale spróbować można. W trakcie tej próby trafiłem na kolejny przykład moich “ulubionych” różnic między przeglądarkami. Chodzi mianowicie o same-origin policy dla XMLHttpRequest, a w zasadzie o różne postępowanie przeglądarek w przypadku, gdy same-origin policy jest naruszone. Okazuje się, że Interrnet Explorer w przypadku naruszenia zasad same-origin policy nie wyśle żądania, Firefox i Chrome (a może i inne przeglądarki) żądanie wyślą. Zresztą mają ku temu pewne uzasadnienie, ale o tym później.

Chodzi mi o ten temat: Apache Foundation Hit by Targeted XSS Attack. Warto przyjrzeć się jak ten atak wyglądał i dlaczego zakończył się powodzeniem.

Z zadaniem dotyczącym analizy obfuskowanego skryptu poradziło sobie już kilka osób. Udało mi się zainspirować tym zadaniem powstanie ciekawego wpisu: Beating JavaScript obfuscators with Firebug. Ja ze swojej strony przygotowałem drobną modyfikację zadania, która dostępne jest pod adresem http://bootcamp.threats.pl/lesson20/main1.php. Pora również podzielić się kilkoma dodatkowymi spostrzeżeniami związanymi z tym zadaniem.

W poprzednim wpisie być może nie do końca jasno napisałem o co chodzi w zadaniu, bo nie wierzę by zadanie było tak trudne, że nikt nie jest w stanie go rozwiązać.

Wszystkie prezentacje mają to do siebie, że z zasady nie wyczerpują tematu, obejmują zwykle jedynie jego fragment. Czasami po prezentacji pozostaje kilka tematów, które chciałoby się rozwinąć. Z tego powodu mam kilka uwag do prezentacji Przemka Skowrona pod tytułem Obsługa incydentów: Ataki na aplikacje webowe z SEConference 2k10. Uwagi te, a w zasadzie uzupełnienia, bo sama prezentacja bardzo mi się podobała, dotyczą następujących kwestii:

• CSRF,
• Phishing z użyciem XSS na formatce logowania,
• Skuteczność IDS/IPS w wykrywaniu części ataków,

Wpis Łeb prawie 2.0 czyli coś trzeba zmienić powstał prawie dwa miesiące temu. Udało mi się nieco zmniejszyć ilość źródeł informacji, które śledzę. To znaczy źródeł informacji nadal jest wiele, ale są one agregowane w jednym miejscu. Kolejną pozytywną zmianą jest fakt, że z zebranymi informacjami zapoznaję się wtedy, gdy mam na to ochotę. Oczywiście, nadal nie jest idealnie, wiele pozostaje do poprawy, ale jakiś krok został zrobiony... Tylko, że w miejsce wyeliminowanych upierdliwości pojawiają się nowe. Może nie całkiem nowe, one istniały wcześniej, ale były “zasłaniane” przez rzeczy bardziej uciążliwe.