Są dni, kiedy człowiek jest jakiś taki sponiewierany, zmęczony, (...), nie może podnieść się z łóżka. Wydaje się wówczas, że gorzej być nie może. Poranek dnia następnego udowadnia jednak, że jest w błędzie. Może. Właśnie testuję naturalną kofeinę z guarany.
Oryginał tego wpisu dostępny jest pod adresem A jednak może
Autor: Paweł Goleń
Tomek podrzucił mi informację, że Anti-XSS Library v3.0 w końcu osiągnęła status RTM. Czym jest Anti-XSS Library już kiedyś pisałem.
Oryginał tego wpisu dostępny jest pod adresem Anti-XSS Library v3.0
Autor: Paweł Goleń
Czasami w trakcie testów trafia się na zachowanie aplikacji, które jest co najmniej zagadkowe. Mam na myśli tu różnego rodzaju udziwnienia, które prawdopodobnie w zamyśle jej twórców mają na celu podniesienie jej bezpieczeństwa. W praktyce ich skuteczność jest jednak często bliska zeru. Fakt, trzeba się chwilę zastanowić o co właściwie chodzi (co artysta miał na myśli), ale to trochę security by obscurity przy czym to obscurity szybko przestaje być tajemnicą bo wystarczy na przykład rzucić okiem w kod JavaScript.
Przykładowy exploit jest dostępny na milw0rm. To tak ku pamięci, że nie tylko Internet Explorer jest dziurawy.
Oryginał tego wpisu dostępny jest pod adresem Dla równowagi dziura w Firefox
Autor: Paweł Goleń
Na odmianę drobna uwaga o nieskuteczności niektórych implementacji math captcha.
Skoro wspominałem ostatnio ponownie o Application Security Verification Standards, warto wspomnieć o nowej wersji narzędzia Watcher. Wersja 1.2 tego narzędzia zawiera wsparcie dla ASVS właśnie. Wsparcie, czyli mapowanie kilku testów na punkty kontrolne zdefiniowane w ASVS.
Oryginał tego wpisu dostępny jest pod adresem Watcher v1.2.0 i ASVS
Autor: Paweł Goleń
Tomek na swoim blogu odniósł się do mojej serii o implementowaniu haseł. Przedstawił nieco inne podejście, czyli zamiast implementować hasła, skorzystać z oferowanych usług w tym zakresie (np. OpenID, information card). Zdecydowanie warto przeczytać i zastanowić się dlaczego wykorzystanie tego typu rozwiązań wciąż jest tak małe i programiści wciąż wolą implementować hasła po swojemu.
Oryginał tego wpisu dostępny jest pod adresem Tomek o hasłach
Autor: Paweł Goleń
Drobne nawiązanie do tekstu Czy potrzebujesz właśnie testów penetracyjnych i tematów podnoszonych przez Michała (xterm) w komentarzach.
Mógłbym znowu napisać jak fatalnie się jeździ, ale szkoda moich nerwów. Misiek – droga “na skos” też wcale nie jest taka szybka, zwłaszcza jak wiele innych samochodów z niej korzysta. Poza tym trzeba najpierw do niej dojechać...
EDIT: ...a powrót niewiele lepszy był...
Oryginał tego wpisu dostępny jest pod adresem Polskie drogi po raz kolejny
Autor: Paweł Goleń
Od dłuższego czasu zbieram się w sobie do napisania tego tekstu. Wcale nie jestem przekonany, że testy penetracyjne są tym, z czego klient odniesie najwięcej korzyści, mimo, że je chce zamówić (często pod nazwą audytu bezpieczeństwa). Chodzi mi tu o testy penetracyjne sieci a nie testy penetracyjne (dedykowanej) aplikacji internetowej bo to trochę dwie różne kwestie.