The AccessReferenceMap interface is used to map from a set of internal direct object references to a set of indirect references that are safe to disclose publicly. This can be used to help protect database keys, filenames, and other types of direct object references. As a rule, developers should not expose their direct object references as it enables attackers to attempt to manipulate them.
Teoretycznie mój PoC związany z kodowaniem identyfikatorów globalnych można zrealizować jako implementację tego interfejsu. Do pewnego stopnia działanie tej hipotetycznej implementacji zbliżone byłoby do RandomAccessReferenceMap.
Najchętniej taki z większych. Chcę sprawdzić doświadczalnie jak zachowają się dyski (i dane na nich) po bliższym kontakcie z takim magnesem. Dyski już mam :)
Zmieniałem w jednym miejscu adres korespondencyjny. Zrobiłem w to sposób wskazany w instrukcji, znaczy się wydrukowałem formularz, wypełniłem, podpisałem i przesłałem faksem. Okazuje się, że z jakiegoś powodu zmiana danych nie mogła być wykonana, bo “nie można potwierdzić autentyczności (...)”, o czym zostałem poinformowany listem (wraz z papierową wersją tego samego formularza). Problem w tym, że został on wysłany na adres podany w formularzu, “którego autentyczności nie można potwierdzić”.
Zgodnie z przypuszczeniami temat “global-id encoding” nie zrobił kariery takiej, jak wpisy o łamaniu haseł. Jednak ponieważ istnieje co najmniej jedna osoba zainteresowana tematem – kilka wyjaśnień. Mam nadzieję, że Kravietz nie obrazi się za poruszenie tu dość elementarnych kwesti :)
User data stolen from job site Monster. W skrócie dane użytkowników serwisu monster.com (mówi się o 4,5 miliona “ofiar”) “wyciekły”. Można dyskutować na ile ten wyciek jest poważny, wiele zależy od tego, co uzna się za sensitive data , w każdym razie – jest on faktem. Swoja drogą ciekawe jak pod tym względem wyglądają polskie portale tego typu.
Prawie rok temu przeglądając statystyki odwiedzin zauważyłem, że pojawiły się słowa kluczowe wskazujące na “zapotrzebowanie” na łamanie haseł serwisu Nasza Klasa , czego nie omieszkałem skomentować. Obecnie jest to najczęściej odwiedzany wpis na blogu. Niestety, czytający nie są najwyraźniej w stanie zrozumieć treści wpisu, najwyraźniej prawdą jest stwierdzenie o sumie inteligencji i wzroście populacji.
Pamięć mam dobrą, acz nader krótką. Choć pamiętam słowa kluczowe i wciąż udaje mi się odnaleźć to, czego potrzebuję, to postanowiłem w końcu zrobić jakąś listę. Jeśli ktoś jest zainteresowany, lista dostępna jest na wiki.
Przykład jakie dodatkowe informacje na temat wstrzykniętego kodu można uzyskać analizując zrzut pamięci przy pomocy debuggera. Konkretnie to jest to przykład innego podejścia wyszukiwania wstrzykniętego kodu poprzez analizę wątków działających w procesach oraz przykład na to, że takie podejście może pominąć całkiem ciekawe rzeczy. Treść na wiki, bo akurat zrzuty z debuggera lepiej tam się prezentują.