Przygotowałem pierwszą część wyjaśnienia zadania, dostępne jest ono tutaj. Jak do tej pory nadal tylko dwie osoby uporały się z zadaniem, nie widzę też by zadanie próbował rozwiązywać ktoś więcej, a szkoda. Głównym celem tego zadania jest ponowne pokazanie, że użytkownik może i będzie modyfikował dane, nad którymi ma kontrolę. Przykłady z ceną przekazywana w polach hidden są oklepane, dlatego w tym przypadku wykorzystałem przechowywanie stanu sesji po stronie klienta. Wybrałem ten przypadek, ponieważ niektóre frameworki pozwalają na przechowywanie całości lub części danych po stronie klienta, nie zawsze domyślnie właściwie chroniąc dane przechowywane w ten sposób. Czasami nie jest to istotne, a czasami wręcz przeciwnie...
Nabyłem sobie dziś nową (przynajmniej częściowo) płytę Skunk Anansie i niestety, by zrzucić ją sobie na komputerze, z którego zwykle puszczam muzykę, muszę wykonywać jakieś kombinacje. Okazuje się, że z kilku komputerów tylko jeden ma sprawny czytnik płyt CD(!), ostał się w moim starym C540. W D520 poszedł laser do CD (DVD działa), a czytnik w komputerze stacjonarnym tchórzliwie odmawia współpracy wydając przy okazji dziwne dźwięki... W związku z zaistniałą sytuacją nie zostało mi nic innego, jak zrzucić płytę do obrazu \*.iso, przenieść na docelowy komputer, podmontować (ImDisk, przy okazji – jest nowa wersja) i zrzucić. Komputery czynią nasze życie prostszym...
Tomek podesłał mi linka do zapisu sesji Become a Web Debugging Virtuoso with Fiddler. Może być ciekawe dla wszystkich, którzy tworzą aplikacje internetowe i muszą szukać w nich błędów. Nie tylko tych związanych z bezpieczeństwem.
Z powodu braku czasu z lekkim opóźnieniem skomentuję odkrycie przez dziennikarzy (...) sieci Tor wypełnionej po brzegi pornografią (...). Fascynuje mnie nie tyle treść merytoryczna artykułu, co jego forma. Artykuł ten, według mnie, jest obliczony na wywarcie określonego efektu i przy okazji upowszechnia nieprawdziwy obraz sieci(?) Tor. Dziwi mnie koincydencja w czasie pomysłów “blokowania niebezpiecznych stron” i swoistego ataku na narzędzie, które może zostać wykorzystane do obejścia tych ograniczeń. Innymi słowy – knuję spiskową teorię dziejów...
W końcu trafiłem na “typowy” przykład SQLi, w którym mogłem wykorzystać sqlmap. Nie twierdzę, że w tych “mniej typowych” przypadkach tego narzędzia nie dało się użyć, łatwiej było mi jednak przerobić mój już istniejący skrypt. Tym razem się jednak zawziąłem i...
Jakiś czas temu z pewnym zdziwieniem patrzyłem na ludzi, którzy mówili, że śledzą ich Oni , okręcali głowy folią aluminiową, by Oni nie mogli czytać ich myśli albo “wkładać myśli prosto do głowy”. To, co kiedyś można było uznać za wytwór chorego umysłu cierpiącego na urojenia, dziś zaczyna być przykrą rzeczywistością...
Pojawiła się nowa wersja OWASP Top10. Nie jest to jeszcze wersja ostateczna, ma status RC. Zmiany w stosunku do OWASP Top10 2007 są niewielkie (fragment PDF):
