Paweł Goleń, blog

Do myślenia dał mi ostatnio ten post: Banking Malware uses PAC file. W tym przykładzie malware wprost ustawia adres skryptu PAC, z którego korzysta przeglądarka do określania przez jakie proxy powinna przesłać żądanie. Malware musi jednak jakoś ten klucz ustawić, czyli musi wejść na komputer. A co, jeśli wchodzić by nie musiał?

Najbardziej oryginalną (i niestety - jedyną) odpowiedź odnośnie pytania o ukryty sens dobrych praktyk udzielił Kravietz:

Dobre praktyki mają kapitalne znaczenie dla pentesterów, gdyż pozwalają rozdymać raporty nawet gdy nie udaje się znaleźć nic poważniejszego (...)

Wymienione przeze mnie punkty z ASVS mają jednak również praktyczne znaczenie, niestosowanie ich ma realny wpływ na ryzyko, przynajmniej w niektórych scenariuszach. Jakich?

Z dzisiejszych wykładów na Confidence najbardziej podobał mi się The Presence and Future of Web Attacks Multi-Layer Attacks and XSSQLI. Dlaczego akurat ta prezentacja, o tym później. Na pewno warto zapoznać się z zasobem HTML5 Security Cheatsheet. To przy okazji jest częściowa odpowiedź na pytanie, które padło na ostatnim spotkaniu OWASP, czyli "Co zmieni HTML5?".

Jak zwykle mój kolejny bootcamp bardzo szybko prawie rozwiązał Krzysztof Kotowicz. Podpowiem, że sedno tego przykładu leży w parametrze token, a problemy, które należy zauważyć, są dwa. Pierwszy problem, ten znaleziony, to replay. Możliwe jest wielokrotne wykorzystanie tej samej wartości tokenu. Pytanie - w jakim przypadku? Czy to mówi coś na temat tego, kiedy generowany jest token? Pytanie zasadnicze: czy można wysłać żądanie bez prawidłowej wartości tokenu? Hint: CWE-665: Improper Initialization.

UWAGA: pamiętajcie, że to jest przykład, nie doszukujcie się więc wielkiego sensu czy rzeczywistego ryzyka związanego z tą konkretną podatnością. Ten sam typ błędu w innym kontekście skutki powodować może już całkiem poważne.

Mamy powódź. Znowu. Pozostaje czekać na ogłoszenie planów wsparcia dla powodzian. O przepraszam, nie trzeba czekać, przecież już wiadomo, że takie wsparcie będzie. Rząd da, państwo da. Tylko, że państwo to między innymi ja i jakoś takie ciągłe dawanie mi się nie uśmiecha.