Tuesday, November 2. 2010
Mój niezbyt trudny przykład doczekał się rozwiązania. Jego autorem jest ^radekk, a zobaczyć je można (podobnie jak wcześniejsze ^koto) na blipie (tag #thrts). Jak wspominałem, sam przykład nie jest specjalnie trudny, ciekawsza może być stojąca za nim historia.
Ciąg dalszy "Bootcamp XXIV: rozwiązanie" »
Friday, October 29. 2010
Czasami jest tak, że niektóre żądania do serwera HTTP kończą się nagłym acz gwałtownym zakończeniem połączenia przy pomocy RST. Zdarzenie takie z dużą dozą pewności sugeruje, że do akcji wkroczył IPS. Jak wymacać, w którym miejscu sieci rzeczony IPS się znajduje?
Ciąg dalszy "Jak wymacać IPS" »
Thursday, October 28. 2010
Dziś odbędzie się kolejne spotkanie SPINu. Pierwotnie podana była informacja, że na tym spotkaniu będę mówił ja na temat testów bezpieczeństwa. Plany uległy drobnej zmianie i temat bezpieczeństwa został przesunięty na listopad. Więcej informacji: <Kraków> XXXIV spotkanie SPINu - 28.10. To tak tylko w ramach informacji, bo wiem, że kilku osobom ta zmiana umknęła.
Wednesday, October 27. 2010
Od wczoraj(?) stało się głośno o firesheep, korzystanie z tego narzędzia opisane jest między innymi tu: Wykradamy sesję użytkownika (Firefox + Firesheep). Odkrywczego tutaj nie ma nic. Przejęcie identyfikatora sesji powoduje (zwykle) przejęcie sesji użytkownika, dlatego identyfikator ten należy chronić. Między innymi poprzez szyfrowanie komunikacji między przeglądarką i serwerem. Opowieści o tym, że jest to bardzo kosztowne obliczeniowo, są "nieco" przesadzone. Warto zapoznać się na przykład z tym tekstem: Overclocking SSL.
Ciąg dalszy "Warto się wylogować" »
Tuesday, October 26. 2010
Po eksploatacji starego już przykładu (patrz: Session Fixation: rozwiązanie), przyszedł w końcu czas by pokazać coś nowego. To coś nowego znajduje się pod adresem http://bootcamp.threats.pl/lesson24/. Przykład jest chyba dość prosty, można mu zrobić krzywdę na więcej niż jeden sposób.
UPDATE: Info wraz z kilkoma wskazówkami: Lekcja 24: Dane z różnych źródeł.
