Jednym z podstawowych testów wykonywanych w trakcie testów mechanizmu uwierzytelnienia (formatki logowania) jest sprawdzenie, czy można odróżnić przypadek podania prawidłowej nazwy użytkownika i nieprawidłowego hasła, od podania nieprawidłowej nazwy użytkownika i nieprawidłowego hasła. Jeśli taka różnica istnieje, możliwe jest określenie nazw użytkowników istniejących w aplikacji, co czasami pozwala na dalsze ataki. Jak jest w przypadku http://bootcamp.threats.pl/lesson08/?
Nie mam i przynajmniej do końca miesiąca nie będę miał czasu na napisanie wyjaśnienia do odcinka dotyczącego SQL Injection: http://bootcamp.threats.pl/lesson07/. Podam jednak kilka wskazówek.
Dziś udostępniam już pełną wersję lekcji Bootcamp: Home-brewed Crypto. Przesłanie jest jedno: zostawmy wymyślanie algorytmów kryptograficznych ekspertom , ograniczmy się do prawidłowego z nich korzystania.
Zakończył się konkurs CONFidence Security Evangelist, w którym mój blog, jeśli ktoś tego jeszcze nie wie, zajął drugie miejsce w kategorii IT Security Blog in Polish,a przynajmniej tak wynika z aktualnych wyników. Zwycięzcom gratuluję, głosującym na mój blog dziękuję. I po konkursie mały komentarz.
W przeglądarkach obiekt history jest chroniony, między innymi po to, by uzyskanie listy stron, które odwiedził użytkownik nie było (zbyt łatwo) możliwe. Oczywiście jest kilka innych metod wykorzystujących ukryty kanał , demonstracja jednej z nich dostępna jest na Start Panicking! To jak będzie z tą paniką?
Wkrótce wybieram się na mały urlop. Ponieważ Moja Ulubiona Czarownica chce wypoczywać w miarę nieaktywnie, zdecydowaliśmy się na wyjazd nad nasze polskie morze, konkretnie do miejscowości Niechorze.