Z cyklu – do posłuchania: DARKNET DIARIES. Interesujący podcast, na przykład ten odcinek: EP 50: OPERATION GLOWING SYMPHONY, albo ten: EP 47: PROJECT RAVEN.
Oryginał tego wpisu dostępny jest pod adresem DARKNET DIARIES
Autor: Paweł Goleń
Dawno, dawno temu WebScarab był narzędziem, którego dało się używać. Ale te czasy to już dawno minęły, OWASP rozwija OWASP Zed Attack Proxy, który z kolei jest forkiem Paros. Do czego zmierzam? Cóż, gdy ktoś w 2019 roku wymienia WebScarab na liście narzędzi to jest to co najmniej dziwne...
Oryginał tego wpisu dostępny jest pod adresem WebScarab. W 2019 roku.
Autor: Paweł Goleń
Ten artykuł aż boli: Nowy, bzdurny pomysł mBanku. Artykuł i zamieszone pod nim komentarze. W sumie nawet nie wiem, która perełka boli najbardziej. Odczytywanie adresu MAC i licencji Windows z poziomu przeglądarki? Nagłówki HTML? Flaga HttpOnly w kontekście malware na stacji (jako ochrona)?
Oryginał tego wpisu dostępny jest pod adresem Aż boli...
Autor: Paweł Goleń
Prosta sytuacja – operacja wymaga jednorazowego kodu. Korzystając z PSD2 powiedzmy, że jest to operacja logowania do banku. Załóżmy, że atakujący zna hasło, a kod OTP jest generowany po prawidłowym podaniu loginu i hasła. Co może pójść nie tak?
Friends is an American television sitcom, created by David Crane and Marta Kauffman, which aired on NBC from September 22, 1994 , to May 6, 2004, lasting ten seasons.
Oryginał tego wpisu dostępny jest pod adresem 25 lat temu
Autor: Paweł Goleń
To było już 18 lat temu... Dość dziwne uczucie patrzeć „na żywo” jak samolot wbija się w drugą wieżę. Pamiętam jak po pierwszym uderzeniu podawano komunikat „(...) nie wiadomo, czy to zamach (...)”, drugie uderzenie raczej rozwiało wątpliwości.
Oryginał tego wpisu dostępny jest pod adresem 9/11
Autor: Paweł Goleń
“Kiedyś to były czasy (...)”. Bo były, ludzie myśleli i potrafili coś więcej niż (ledwo) obsłużyć Burp. I potrafili coś więcej niż tylko:
I jeśli payload byłby przekształcany do postaci uppercase, nie byliby załamani. Nie działa? To zadziała coś innego, na przykład [TO]() - w wersji źródłowej:
TO
Lepiej jest wiedzieć, że się czegoś nie wie, niż myśleć, że się wie, bo przecież “pentest nic nie znalazł”. False sense of security jest gorszy niż (świadoma) niepewność.
Oryginał tego wpisu dostępny jest pod adresem Tak, XSS po uppercase jest możliwy
Autor: Paweł Goleń
Super podcast: 13 Minutes to the Moon.
Oryginał tego wpisu dostępny jest pod adresem 13 Minutes to the Moon
Autor: Paweł Goleń
Na wypadek gdyby ktoś sprawdzał – tak, prowadziłem jeden z wykładów/warsztatów na CONFidence Class.
P.S.: zdjęcia z CONFidence Class.
Oryginał tego wpisu dostępny jest pod adresem CONFidence Class
Autor: Paweł Goleń
Do posłuchania: What is an SBOM and Why Should You Care? w/ Allan Friedman.
Jedną z rzeczy, które mnie irytują/martwią to założenie, że problem opisywany jako Using Components with Known Vulnerabilities można zaadresować przez testowania. Nie, nie można i to z wielu powodów. Choćby dlatego, że pentest dzieje się w określonym czasie, a nowe podatności są wykrywane 24/7/365. Inne formy testowania (vulnerability scanning, source code scanning) również odbywają się okresowo. Nawet jeśli produkt jest aktywnie rozwijany, a samo skanowanie jest zintegrowane z CI/CD pipeline, to i tak istnieje niezerowa szansa, że problem nie jest rozwiązany. Dlaczego? Proste pytanie – jak wiele poziomów w głąb używane narzędzia sięgają?
Tutaj (paradoksalnie) uważam, że vulnerability scanning (lub raczej DAST) ma pewną przewagę nad SAST (pentestu nie porównuje z uwagi na inną “cykliczność”) – jeśli narzędzie używane do skanowania ma sygnaturę (OK, w tym kontekście nie do końca o sygnaturę chodzi) dla określonej podatności, to istnieje duża szansa, na jej znalezienie, nawet jeśli jest ona powodowana przez bibliotekę wiszącą gdzieś głęboko w drzewie zależności.
@Filip: dla Ciebie :)
Oryginał tego wpisu dostępny jest pod adresem Podcast: What is an SBOM and Why Should You Care? w/ Allan Friedman
Autor: Paweł Goleń