Kilka razy wypowiadałem się pozytywnie o Threat Modeling , głównie w kontekście aplikacji internetowych. Właśnie ukazał się IT Infrastructure Threat Modeling Guide, czyli przewodnik odnośnie zastosowania modelowania zagrożeń dla infrastruktury IT.
Oryginał tego wpisu dostępny jest pod adresem IT Infrastructure Threat Modeling Guide
Autor: Paweł Goleń
Stronę Security bulletins and advisories trzeba będzie dodać do ulubionych... Kolejna poprawka dla Adobe Reader: APSB09-07.
Oryginał tego wpisu dostępny jest pod adresem APSB09-07 czyli kolejna poprawka dla Adobe Reader
Autor: Paweł Goleń
Tym razem trochę pracy u podstaw. Jest to praktyczna demonstracja tego, że encoding danych wyjściowych jest potrzebny oraz tego, że powinien być realizowany w sposób zależny od kontekstu, w którym dane są użyte.
UWAGA: zgodnie z zapowiedziami jutro przestawiam feed RSS na FeedBurner.
Oryginał tego wpisu dostępny jest pod adresem Jutro przestawiam feed RSS na FeedBurner
Autor: Paweł Goleń
Jest sobie projekt OWASP Enterprise Security API. Do niego jest przykładowa aplikacja ESAPI Swingset. W ramach tego przykładu jest między innymi plik EncodingSecure.jsp. Zwracam uwagę, że jest to EncodingSecure.jsp, czyli przykład dobrego przykładu (w odróżnieniu od przykładu złego przykładu EncodingInsecure.jsp). Encoding jest jedną z metod zapobiegania XSS (CWE-79: Failure to Preserve Web Page Structure ('Cross-site Scripting')). Czy tylko ja dostrzegam tu pewien akcent humorystyczny?
Hint : yvavn pmgreanfgn
Oryginał tego wpisu dostępny jest pod adresem Spot the bug: przykład w ESAPI
Autor: Paweł Goleń
W pewnej chwili mój system (Windows Vista) zaczął zachowywać się w sposób, który był dla mnie kompletnie nie do zaakceptowania. Mianowicie sporadycznie (ale na tyle często, by było to bardzo irytujące) pojawiał się memory leak.
...na nietypowym przykładzie wycieczki rowerowej.
To nie do końca jest wpis techniczny. W trakcie korespondencji z Karolem przy rozwiązywaniu wyzwania (jak na razie tylko Karol mu podołał, zapraszam do dalszej zabawy: http://bootcamp.threats.pl/lesson08/, zadanie jest proste – wystarczy się zalogować) zauważyłem, że chyba nie do końca dobrze wyjaśniłem koncepcję blind sql injection. Spróbuję to trochę lepiej wyjaśnić.
Istnieje przynajmniej jedna osoba, która usiłuje podołać wyzwaniu. Ktoś więcej próbuje? Patrząc w logi mam pewne wątpliwości... W każdym razie pora na kolejne wskazówki.
W zasadzie nie tyle bloga, co treści. Głównie chodzi o format wpisów, zrobiłem kilka modyfikacji przy migracji, część z nich działa tak jak chciałem, część z nich nie do końca i wymagane są ręczne poprawki. Planuję po prostu przejrzeć kilka najpopularniejszych wpisów i je nieco odświeżyć (pod względem formatowania). Jeśli ktoś zauważy, że jakiś istotny/interesujący wpis wygląda beznadziejnie, niech da mi znać, również go poprawię.
Oryginał tego wpisu dostępny jest pod adresem Refaktoring bloga
Autor: Paweł Goleń