Wiele razy pisałem i mówiłem, że encoding musi być właściwy dla kontekstu, w którym dane będą użyte. Tu kolejny przykład, w którym kontekst został źle zidentyfikowany: Twitter misidentifying context. Przypomina mi to przypadek, który opisałem w a href=javascript jest... no niespodzianka – ZŁE!.
O oba przypadki rozszerzyłem mój przykład http://bootcamp.threats.pl/lesson09/.
Oryginał tego wpisu dostępny jest pod adresem Znaj swój kontekst
Autor: Paweł Goleń
Tomek podesłał mi linka do zapisu sesji Become a Web Debugging Virtuoso with Fiddler. Może być ciekawe dla wszystkich, którzy tworzą aplikacje internetowe i muszą szukać w nich błędów. Nie tylko tych związanych z bezpieczeństwem.
Oryginał tego wpisu dostępny jest pod adresem Become a Web Debugging Virtuoso with Fiddler
Autor: Paweł Goleń
Z powodu braku czasu z lekkim opóźnieniem skomentuję odkrycie przez dziennikarzy (...) sieci Tor wypełnionej po brzegi pornografią (...). Fascynuje mnie nie tyle treść merytoryczna artykułu, co jego forma. Artykuł ten, według mnie, jest obliczony na wywarcie określonego efektu i przy okazji upowszechnia nieprawdziwy obraz sieci(?) Tor. Dziwi mnie koincydencja w czasie pomysłów “blokowania niebezpiecznych stron” i swoistego ataku na narzędzie, które może zostać wykorzystane do obejścia tych ograniczeń. Innymi słowy – knuję spiskową teorię dziejów...
Dwie osoby uporały się z wyzwaniem. Dla pozostałych, kolejny hint:
gzip.zlib.decompress(re.search('SessionState” value=“(.*)“', \ urllib2.urlopen('http://bootcamp.threats.pl/lesson17/').read()).groups()[0].decode('base64')).encode('rot13')
Oryginał tego wpisu dostępny jest pod adresem Bootcamp XVII: hint II
Autor: Paweł Goleń
Fuzzery są fajne. Są zdecydowanie szybsze niż ludzie, wykonają więc więcej testów. Tylko... jak sprawdzić jaki jest skutek tego fuzzowania?
W końcu trafiłem na “typowy” przykład SQLi, w którym mogłem wykorzystać sqlmap. Nie twierdzę, że w tych “mniej typowych” przypadkach tego narzędzia nie dało się użyć, łatwiej było mi jednak przerobić mój już istniejący skrypt. Tym razem się jednak zawziąłem i...
Jakiś czas temu z pewnym zdziwieniem patrzyłem na ludzi, którzy mówili, że śledzą ich Oni , okręcali głowy folią aluminiową, by Oni nie mogli czytać ich myśli albo “wkładać myśli prosto do głowy”. To, co kiedyś można było uznać za wytwór chorego umysłu cierpiącego na urojenia, dziś zaczyna być przykrą rzeczywistością...
Pojawiła się nowa wersja OWASP Top10. Nie jest to jeszcze wersja ostateczna, ma status RC. Zmiany w stosunku do OWASP Top10 2007 są niewielkie (fragment PDF):
Warto zapoznać się z tym dokumentem.
Oryginał tego wpisu dostępny jest pod adresem OWASP Top10 2010 (RC1)
Autor: Paweł Goleń
Jakiś czas temu pisząc o identyfikatorach globalnych i pośrednich zadałem pytanie całkiem niezwiązane z tematem:
Pytanie dodatkowe nie związane z tematem: kiedy (prawdopodobnie) powstał ten post? Co za tym przemawia?
Temat chyba nikogo nie zainteresował, nie każdy jest tak nienormalny jak ja, ale co tam, odpowiem sam sobie – może komuś się przyda.
Wymieniony post zawiera ten obrazek. Przy odwołaniu do niego serwer zwraca następującą odpowiedź:
HTTP/1.1 200 OK Server: IdeaWebServer/v0.60 Date: Thu, 12 Nov 2009 21:33:10 GMT Content-Type: image/png Content-Length: 71467 Connection: Keep-Alive Last-Modified: Wed, 05 Aug 2009 20:21:52 GMT Expires: Fri, 13 Nov 2009 21:33:11 GMT
Odpowiedź na zadane pytanie sugeruje nagłówek Last-Modified.
Oryginał tego wpisu dostępny jest pod adresem Kiedy powstał tamten post – odpowiedź
Autor: Paweł Goleń
W psychologii istnieje pojęcie piramidy (hierarchii) potrzeb. Potrzeby wyższe aktywizują się dopiero po zaspokojeniu potrzeb niższych. Również w przypadku budowania aplikacji, (w)budowania bezpieczeństwa i jego testowania są rzeczy, które mają większy priorytet niż inne. Dopiero po ich realizacji można przejść “poziom wyżej”.
