Paweł Goleń, blog

By zamknąć temat przykładu dotyczącego wykorzystania na stronie danych z różnych źródeł jedna krótka uwaga. Teoretycznie "prawidłowo" wstawiony payload XSS powinien wyglądać tak:

<img src="niemamnie" onerror="alert(/XSS/)">

Jak to zwykle bywa teoria rozmija się z praktyką. Okazuje się, że większość (wszystkie?) przeglądarek jest dość liberalna i równie ochoczo zinterpretują taki payload:

<img src="niemamnie" onerror="alert(/XSS/)"

Każdy może sobie to sprawdzić tutaj: http://bootcamp.threats.pl/lesson09/. Istnieją co prawda dodatkowe różnice między przeglądarkami w przypadku, gdy wspomniany kod HTML jest wstawiany poprzez innerHTML, ale to niech już każdy zainteresowany sprawdzi sobie we własnym zakresie :)

Bardzo podobają mi się takie wykresy, jak ten prezentowany niżej...

A o co chodzi? Po prostu mBank zmienia stronę logowania, ktoś przy okazji domagał się hasła maskowanego, ktoś inny odpisał mu, że to nie jest najlepszy pomysł i podał przy tym link do jednego z moich wpisów na temat haseł maskowanych, których szczerze nie lubię...

Korzystając z okazji przypomnę o swojej prezentacji dotyczącej mechanizmów bezpieczeństwa w bankowości internetowej i ich odporności na ataki z wykorzystaniem malware: Zamiast slajdów z SecDay.

A tak z zupełnie innej beczki, polecam artykuł Racjonalne bezpieczeństwo w epoce mediów.

Przed chwilą wróciłem ze spotkania SPINu, na którym miałem okazję mówić różne dziwne rzeczy, mam nadzieję, że ciekawe. Być może efektem ubocznym będzie kilka nowych wpisów na blogu. Po raz kolejny złapałem się na tym, że mówiąc o rzeczach oczywistych dla mnie i mojego środowiska, mogę jednocześnie mówić o rzeczach abstrakcyjnych dla innych. To chyba pokazuje, że musimy się częściej spotykać :)

Ważną rzeczą, którą chciałem przekazać jest to, że bezpieczeństwa aplikacji nie buduje się poprzez jej testowanie i przyklejanie kolejnych łatek w miejscach znalezienia i wskazania błędu. I tylko w tych miejscach. Bezpieczeństwo buduje się przez zmianę procesu tworzenia aplikacji, w którym różne testy bezpieczeństwa to tylko jeden z elementów układanki. Ważny, ale nie jedyny.

Być może spotkamy się po raz kolejny, tym razem na czymś w rodzaju prostych warsztatów. Tymczasem zapraszam do zapoznania się z moim krótkim przewodnikiem po bezpieczeństwie aplikacji internetowych. Od czegoś trzeba zacząć :) Jestem otwarty na wszelkie pytania, a może i w rezultacie pojawią się jakieś kolejne lekcje?

Tekst Co identyfikuje rachunek czyli ile cyfr (nie)wystarczy powstał już jakiś czas temu. Ostatnio temat ten ponownie się pojawił, a to w związku z niezbyt dobrze przyjętym artykułem Inteligo chciało dobrze, a wyszło jak zwykle oraz wpisem jego autora: Do czego jest dany token (polecam komentarze). Poruszany przeze mnie temat kolizji podjął ^rozie, czego rezultatem jest jego wpis Ile cyfr potrzeba, by numer konta był unikatowy? To tak w ramach kilku poczytajek dla zabicia czasu :)

PS: O, i jeszcze to: Bankowość internetowa.

Jakiś czas temu pojawiły się zapowiedzi, że Acrobat Reader w kolejnej dużej wersji będzie miał piaskownicę. Pomysł doskonały, ilość błędów w obsłudze plików PDF była w ostatnim czasie zatrważająca. I w końcu pojawił się ten wyczekiwany Acrobat Reader X, co z tym sandboxem?