Prosta sytuacja – operacja wymaga jednorazowego kodu. Korzystając z PSD2 powiedzmy, że jest to operacja logowania do banku. Załóżmy, że atakujący zna hasło, a kod OTP jest generowany po prawidłowym podaniu loginu i hasła. Co może pójść nie tak?
Friends is an American television sitcom, created by David Crane and Marta Kauffman, which aired on NBC from September 22, 1994 , to May 6, 2004, lasting ten seasons.
Oryginał tego wpisu dostępny jest pod adresem 25 lat temu
Autor: Paweł Goleń
To było już 18 lat temu... Dość dziwne uczucie patrzeć „na żywo” jak samolot wbija się w drugą wieżę. Pamiętam jak po pierwszym uderzeniu podawano komunikat „(...) nie wiadomo, czy to zamach (...)”, drugie uderzenie raczej rozwiało wątpliwości.
Oryginał tego wpisu dostępny jest pod adresem 9/11
Autor: Paweł Goleń
“Kiedyś to były czasy (...)”. Bo były, ludzie myśleli i potrafili coś więcej niż (ledwo) obsłużyć Burp. I potrafili coś więcej niż tylko:
I jeśli payload byłby przekształcany do postaci uppercase, nie byliby załamani. Nie działa? To zadziała coś innego, na przykład [TO]() - w wersji źródłowej:
TO
Lepiej jest wiedzieć, że się czegoś nie wie, niż myśleć, że się wie, bo przecież “pentest nic nie znalazł”. False sense of security jest gorszy niż (świadoma) niepewność.
Oryginał tego wpisu dostępny jest pod adresem Tak, XSS po uppercase jest możliwy
Autor: Paweł Goleń
Super podcast: 13 Minutes to the Moon.
Oryginał tego wpisu dostępny jest pod adresem 13 Minutes to the Moon
Autor: Paweł Goleń
Na wypadek gdyby ktoś sprawdzał – tak, prowadziłem jeden z wykładów/warsztatów na CONFidence Class.
P.S.: zdjęcia z CONFidence Class.
Oryginał tego wpisu dostępny jest pod adresem CONFidence Class
Autor: Paweł Goleń
Do posłuchania: What is an SBOM and Why Should You Care? w/ Allan Friedman.
Jedną z rzeczy, które mnie irytują/martwią to założenie, że problem opisywany jako Using Components with Known Vulnerabilities można zaadresować przez testowania. Nie, nie można i to z wielu powodów. Choćby dlatego, że pentest dzieje się w określonym czasie, a nowe podatności są wykrywane 24/7/365. Inne formy testowania (vulnerability scanning, source code scanning) również odbywają się okresowo. Nawet jeśli produkt jest aktywnie rozwijany, a samo skanowanie jest zintegrowane z CI/CD pipeline, to i tak istnieje niezerowa szansa, że problem nie jest rozwiązany. Dlaczego? Proste pytanie – jak wiele poziomów w głąb używane narzędzia sięgają?
Tutaj (paradoksalnie) uważam, że vulnerability scanning (lub raczej DAST) ma pewną przewagę nad SAST (pentestu nie porównuje z uwagi na inną “cykliczność”) – jeśli narzędzie używane do skanowania ma sygnaturę (OK, w tym kontekście nie do końca o sygnaturę chodzi) dla określonej podatności, to istnieje duża szansa, na jej znalezienie, nawet jeśli jest ona powodowana przez bibliotekę wiszącą gdzieś głęboko w drzewie zależności.
@Filip: dla Ciebie :)
Oryginał tego wpisu dostępny jest pod adresem Podcast: What is an SBOM and Why Should You Care? w/ Allan Friedman
Autor: Paweł Goleń
Jak zwykle miałem problem z wymyśleniem tytułu wpisu, więc użyłem stwierdzenia, używanego często przez mojego znajomego, a którego znaczenia nie podejmuję się wytłumaczyć. Nie, nie chodzi tutaj o znaczenie bezpośrednie, ale o kontekst, w którym jest ono używane.
Do rzeczy. Bardzo spodobał mi się wpis Tomka – Od Maca do Booka. Od dłuższego czasu używam na zmianę Dell XPS 13 oraz MacBook Pro 13”, model z 2015 roku. Części problemów opisanych przez Tomka nie doświadczyłem (choćby klawiatura), części tak (patrz Staingate). Jeśli chodzi o przegrzewanie się to większe problemy mam z moim XPS, może to czas zanieść go do serwisu, przeczyścić, (...).
Ale do rzeczy. Coraz bardziej jest mi wszystko jedno, którego systemu akurat używam. Lepiej czuję się pod Windows, znam go lepiej, ale praca na MacBooku nie jest wcale traumatycznym przeżyciem. Natomiast najistotniejsze jest to, że coraz większy udział w czasie spędzonym „przed komputerem” ma iPad, który jest wystarczająco dobry, jest cichy, ma bardzo przyzwoity czas pracy na baterii, a w przypadku potrzeby napisania większej ilości tekstu – pod ręką mam klawiaturę.
Gdyby ktoś mnie zapytał jaki będzie mój kolejny laptop – nie wiem. Natomiast najbliższym nabytkiem prawdopodobnie będzie nowszy iPad, i to wcale nie Pro – „zwykły” jest wystarczająco dobry.
Oryginał tego wpisu dostępny jest pod adresem I’m agnostic to (...)
Autor: Paweł Goleń
Ostatnio zmieniałem ISP, tym razem światłowód. Cóż, to dość dziwne uczucie, gdy kabel, który sam zaciskałeś dość dawno temu okazuje się powodem ograniczenia przepustowości łącza. Tak, obecnie moje łącze to ponad 100Mbps, a kabel, który był słabo zaciśnięty, ograniczał przepustowość do 100Mbps. Wcale nie jest wykluczone, że ten kabel zaciskałem w czasie, gdy łącze, z którego korzystałem miało zawrotną przepustowość 512kbps...
P.S. Tym razem mam swoją skrzynkę z krosownicą. Udało się nie stracić żadnych palców przy zabawie z kabelkami.
Oryginał tego wpisu dostępny jest pod adresem Czasy się zmieniają
Autor: Paweł Goleń
Tak, udało się, tym razem łączny dystans to 1200 kilometrów. W tym roku dystans nie był celem samym w sobie, chodziło mi przede wszystkim o utrzymanie nawyku i to udało się zrealizować. Trzy razy w tygodniu (z reguły – poniedziałek, środa i piątek) czuję wewnętrzną presję by pójść pobiegać. Oczywiście zdarzały się tygodnie, gdy nie udało się tego osiągnąć, ale to były raczej odstępstwa od reguły, zwykle spowodowane „obiektywnymi trudnościami”.
