Był sobie uzdolniony muzycznie, ale chorowity chłopiec. Bardzo chciał sobie pograć na skrzypkach, a te znajdowały się w dworze. Zakrada się więc chłopak i... łapią go, posądzają o kradzież (...). Wiadomo jak to wszystko się skończyło. Później na lekcjach, przynajmniej za dawnych czasów, były rozważania co zrobiliby “państwo”, gdyby wrócili wcześniej, jak to zaopiekowali się Jankiem i jaki wspaniały byłby z niego skrzypek.
Z okazji pierwszego w tym roku Confidence odbył się konkurs CONFidence Security Evangelist. Wygląda na to, że z okazji kolejnej edycji Confidence jest również kolejna edycja konkursu.
Oryginał tego wpisu dostępny jest pod adresem Konkurs 2.0
Autor: Paweł Goleń
Tak sobie pomyślałem, że (prawie) rozwiązany wczoraj przykład można wykorzystać jeszcze do jednego zadania: korzystając z istniejącego w przykładzie XSS osadzić skrypt z innej strony. Przydatny może być XSS Cheat Sheet.
Oryginał tego wpisu dostępny jest pod adresem Bootcamp XVI: jeszcze jedno zadanie
Autor: Paweł Goleń
Radekk jest pierwszą osobą, która rozwiązała najnowsze zadanie na bootcamp. Przy okazji dołączył do bardzo nielicznego grona osób, które poradziły sobie z wyzwaniem (swoją drogą zapraszam, dostępnych jest kilka wskazówek). Tym razem również nie podam dokładnego opisu rozwiązania, zarówno XSS (w ramach inspiracji: JS Ninja) jak i SQLi (jeśli ktoś potrzebuje pomocy: Lekcja 7: (blind) SQL injection) nie są wyjątkowo interesujące. W przykładzie tym ważne jest coś innego...
Dziś można przeczytać, że Polak w pracy – wynosi sprzęt, kradnie towar, oszukuje... I w sumie nie dziwi mnie to, ale zastanawiam się jaki związek ma opublikowanie wspominanego raportu przez firmę Euler Hermes z lekko irytującymi reklamami ubezpieczenia ryzyka sprzeniewierzenia oferowanego przez wspomnianą firmę. Budzi się we mnie “drobna niewiara” w wyniki badania, jeśli firma będąca jego autorem jest równocześnie żywotnie zainteresowana sprzedażą swoich produktów, których to sprzedaż będzie tym wyższa, im bardziej mroczne wizje będą kreślone...
Oryginał tego wpisu dostępny jest pod adresem Dziwny zbieg okoliczności
Autor: Paweł Goleń
Ja wiem, że nie jest to może najbardziej pasjonujące wyzwanie, ale ponieważ kilka razy z takimi błędami spotkałem się na wolności , zwracam uwagę na jedno zagadnienie: skąd serwer “wie”, jak nazywa się przekazywany plik?
W ramach porannej rozrywki: http://bootcamp.threats.pl/lesson16/. Chodzi o XSS i SQLi.
Oryginał tego wpisu dostępny jest pod adresem Bootcamp XVI: co z tego, że tak nie można nazwać pliku?
Autor: Paweł Goleń
Trzeba wyciągać wnioski, z tego, co się już wie. Sam tak uczyłem się jeździć na rolkach (bez ochraniaczy). Po dwóch bliskich spotkaniach z podłożem wyciągnąłem prosty wniosek – to boli. Był on może niezbyt błyskotliwy, ale motywował mnie bardzo skutecznie do tego, by raz popełnionych błędów nie powtórzyć w przyszłości. Ta metoda nauki zadziałała w moim przypadku bardzo dobrze, obyło się bez złamań, choć kilka efektownych spotkań z ziemią jeszcze udało mi się zaliczyć :) Tak samo w drugą stronę, jeśli jakieś działanie osiągnie pożądany skutek, należy je powtarzać (co oczywiście nie wyklucza poszukiwania lepszych rozwiązań). Ten wzorzec postępowania wpaja się nam, przedstawicielom homo sapiens , od najmłodszych lat. Stosujemy go nawet tam, gdzie nie do końca pasuje. Dziś kilka słów o wyciąganiu błędnych wniosków, a właściwie czynieniu błędnych założeń, w trakcie testów bezpieczeństwa aplikacji.
Gdyby traktował określenie walka stulecia poważnie i był fanem/kibicem boksu, to chyba bym się załamał. Poziomem walki oczywiście. A może nie tyle poziomem, co tym, że coś takiego może być określane walką stulecia właśnie. Całe wydarzenie należy raczej rozpatrywać jako udany skok na kasę organizatorów “gali bokserskiej” oraz dowód na to, jak łatwo (obecnie) manipulować ludźmi.
W temacie nomenklatury wypowiedzieć się postanowiłem... Bezpośrednim tego powodem jest wpis ryzyko podatność skutek zagrożenie błąd... Michała, jak również związany z nim wpis Przemka: Nomenklatura: Zarządzanie ryzykiem (który z kolei odsyła między innymi do mojego starego wpisu). A chcę powiedzieć przede wszystkim to, że sam się w tej nomenklaturze gubię...