Nie bardzo rozumiem całego szumu wokół URLzone. Nie robi on niczego nieoczekiwanego. Owszem, jest sprytny, ale nie odkrywczy. Malware na komputerze może stworzyć użytkownikowi dowolną iluzję rzeczywistości, która ograniczona jest jedynie inwencją twórców. Z tego powodu w systemach bankowości internetowej ważna jest nie tylko autoryzacja transakcji, ale również skuteczne poinformowanie użytkownika o parametrach autoryzowanej właśnie transakcji. Jak ostatnio pisałem, warunek ten obecnie spełnia autoryzacja transakcji przy pomocy kodów SMS. Oczywiście wraz z kodem autoryzacyjnym w SMS muszą być przesłane również parametry transakcji, jaka będzie realizowana. W interesie użytkownika natomiast leży ich sprawdzenie.
Prawie trzy lata temu zamieniłem pracę w korporacji na pracę na własny rachunek. Z decyzji cieszę się, a utwierdzają mnie w niej wpisy takie jak ten: Czara goryczy. Jednak już tak mam, że właśnie po około trzech latach potrzebuję zmiany. Teraz też, choć na nieco innej zasadzie. Do tej pory (np. pracując w korporacji) nie czułem wpływu na to, co robię oraz co i jak będę robił jutro. Obecnie jest inaczej. W najbliższym czasie na blogu prawdopodobnie pojawi się kilka wpisów odnośnie moich obserwacji z pracy (pen)testera, problemów i ich możliwych rozwiązań.
Oryginał tego wpisu dostępny jest pod adresem Czas na zmiany?
Moje podejście do testów penetracyjnych aplikacji internetowych trochę ewoluuje. Podobnie jak do tematu ich tworzenia, czego przykładem może być mój komentarz do wpisu Przemka. Podejrzewam, że gdyby udało się wyeliminować 20%25 “złych praktyk programistycznych” (na początek choć CWE-20: Improper Input Validation oraz CWE-116: Improper Encoding or Escaping of Output), ilość podatności zmniejszyłaby się o 80%25.
Wracając do tematu testów penetracyjnych – brakuje mi często określenia jakie mogą być zagrożenia (cele intruza) związane z daną aplikacją. W części przypadków pomaga intuicja i doświadczenie, ale nie zawsze. Niektóre aplikacje są “dziwne”, zarówno jeśli chodzi o ich stronę techniczną, jak i cele biznesowe. I co wtedy?
Taki mały mój manifest: nie znoszę skracania linków i sam tego procederu (przynajmniej z wykorzystaniem zewnętrznych narzędzi/serwisów) nie stosuję, a w skracane linki klikam z dużą niechęcią. Nie lubię ciemnych ścieżek w nieznane z mnóstwem zakrętów i potencjalnym gościem z gazrurką za co drugim węgłem...
Tomek podesłał mi wczoraj link do informacji o nowych funkcjach dostępnych w AntiXSS, wyszła właśnie wersja 3.1 tej biblioteki. Chodzi tu przede wszystkim o funkcje GetSafeHtmlFragment oraz GetSafeHtml , które służą do “oczyszczania” danych wejściowych z potencjalnie niebezpiecznych treści. W tej chwili trzeba wspomnieć o OWASP AntiSamy Project.
No i znowu wykopany został trup z ogródka, a konkretnie to odkopana sprawa wycieku bazy użytkowników z wykop.pl. Chodzi mianowicie o “aferę” z zablokowaniem kont części użytkowników w Naszej Klasie , tych, którzy mieli (nie)szczęście być również użytkownikami wykop.pl.