Paweł Goleń, blog

Prawie trzy lata temu zamieniłem pracę w korporacji na pracę na własny rachunek. Z decyzji cieszę się, a utwierdzają mnie w niej wpisy takie jak ten: Czara goryczy. Jednak już tak mam, że właśnie po około trzech latach potrzebuję zmiany. Teraz też, choć na nieco innej zasadzie. Do tej pory (np. pracując w korporacji) nie czułem wpływu na to, co robię oraz co i jak będę robił jutro. Obecnie jest inaczej. W najbliższym czasie na blogu prawdopodobnie pojawi się kilka wpisów odnośnie moich obserwacji z pracy (pen)testera, problemów i ich możliwych rozwiązań.

Oryginał tego wpisu dostępny jest pod adresem Czas na zmiany?

Autor: Paweł Goleń

Moje podejście do testów penetracyjnych aplikacji internetowych trochę ewoluuje. Podobnie jak do tematu ich tworzenia, czego przykładem może być mój komentarz do wpisu Przemka. Podejrzewam, że gdyby udało się wyeliminować 20%25 “złych praktyk programistycznych” (na początek choć CWE-20: Improper Input Validation oraz CWE-116: Improper Encoding or Escaping of Output), ilość podatności zmniejszyłaby się o 80%25.

Wracając do tematu testów penetracyjnych – brakuje mi często określenia jakie mogą być zagrożenia (cele intruza) związane z daną aplikacją. W części przypadków pomaga intuicja i doświadczenie, ale nie zawsze. Niektóre aplikacje są “dziwne”, zarówno jeśli chodzi o ich stronę techniczną, jak i cele biznesowe. I co wtedy?

Oryginał tego wpisu dostępny jest pod adresem Ale konkretnie CO mam sprawdzić?

Autor: Paweł Goleń

Taki mały mój manifest: nie znoszę skracania linków i sam tego procederu (przynajmniej z wykorzystaniem zewnętrznych narzędzi/serwisów) nie stosuję, a w skracane linki klikam z dużą niechęcią. Nie lubię ciemnych ścieżek w nieznane z mnóstwem zakrętów i potencjalnym gościem z gazrurką za co drugim węgłem...

Oryginał tego wpisu dostępny jest pod adresem Skracanie linków jest ZŁE!

Autor: Paweł Goleń

Tomek podesłał mi wczoraj link do informacji o nowych funkcjach dostępnych w AntiXSS, wyszła właśnie wersja 3.1 tej biblioteki. Chodzi tu przede wszystkim o funkcje GetSafeHtmlFragment oraz GetSafeHtml , które służą do “oczyszczania” danych wejściowych z potencjalnie niebezpiecznych treści. W tej chwili trzeba wspomnieć o OWASP AntiSamy Project.

EDIT: New and Improved AntiXss 3.1, Now With Sanitization, byłem szybszy niż blog MS :)

Oryginał tego wpisu dostępny jest pod adresem Nowe funkcje w AntiXSS

Autor: Paweł Goleń

Mało jest książek, na które czekam i doczekać się nie mogę. Ale na trzecią część Pana Lodowego Ogrodu czekam. Jest szansa, że w końcu się doczekam(y): Pocztówka od Vuko. Druga książka, na którą uporczywie czekam to Malowany Człowiek (trzecia część).

Oryginał tego wpisu dostępny jest pod adresem Pocztówka od Vuko

Autor: Paweł Goleń

Piotrek Konieczny już zwrócił uwagę na to, ale... W oficjalnej informacji Policji dotyczącej wykrycia/złapania osób odpowiedzialnych za wykradzenie danych z Wykop.pl pojawia się stwierdzenie:

Odzyskali także wszystkie skradzione kopie bazy danych. Nie ma żadnych wiarygodnych informacji, że obecnie dane użytkowników są w jakikolwiek sposób zagrożone.

Chciałem subtelnie zwrócić uwagę, że informacja (zawarta w zaatakowanej bazie danych) nie została skradziona w “klasyczny” sposób, lecz po prostu została zwielokrotniona (i przy okazji w pewnym zakresie ujawniona). Jak w takim kontekście traktować stwierdzenie o odzyskaniu skradzionych kopii? Ciekawy też jestem na jakiej podstawie oparte jest twierdzenie, że odzyskane zostały wszystkie kopie bazy.

Skradzione z Wykop.pl dane nie zniknęły , lecz utraciły co najmniej jeden z istotnych atrybutów -poufność. Samo odzyskanie kopii (nawet wszystkich) tego nie zmieni, stosowanie w takim przypadku pojęć właściwych w przypadku kradzieży rzeczy (czegoś materialnego) jest niewłaściwe.

Oryginał tego wpisu dostępny jest pod adresem Informacja to nie przedmiot!

Autor: Paweł Goleń