Paweł Goleń, blog

Pojawiło się nowe rozszerzenie do Fiddlera: x5s - automated XSS security testing assistant. Koncepcja działania narzędzia jest dość prosta, a jednocześnie - skuteczna. Plugin ten po prostu monitoruje żądania wysyłane w trakcie pracy do aplikacji, a następnie fuzzuje je wstawiając w miejsce poszczególnych parametrów payload odpowiadający określonym przypadkom testowym. Rezultatem pracy narzędzia jest nie tyle lista XSS, co lista miejsc, w których XSS może wystąpić.

Wszystkie prezentacje mają to do siebie, że z zasady nie wyczerpują tematu, obejmują zwykle jedynie jego fragment. Czasami po prezentacji pozostaje kilka tematów, które chciałoby się rozwinąć. Z tego powodu mam kilka uwag do prezentacji Przemka Skowrona pod tytułem Obsługa incydentów: Ataki na aplikacje webowe z SEConference 2k10. Uwagi te, a w zasadzie uzupełnienia, bo sama prezentacja bardzo mi się podobała, dotyczą następujących kwestii:

• CSRF,
• Phishing z użyciem XSS na formatce logowania,
• Skuteczność IDS/IPS w wykrywaniu części ataków,

Wpis Łeb prawie 2.0 czyli coś trzeba zmienić powstał prawie dwa miesiące temu. Udało mi się nieco zmniejszyć ilość źródeł informacji, które śledzę. To znaczy źródeł informacji nadal jest wiele, ale są one agregowane w jednym miejscu. Kolejną pozytywną zmianą jest fakt, że z zebranymi informacjami zapoznaję się wtedy, gdy mam na to ochotę. Oczywiście, nadal nie jest idealnie, wiele pozostaje do poprawy, ale jakiś krok został zrobiony... Tylko, że w miejsce wyeliminowanych upierdliwości pojawiają się nowe. Może nie całkiem nowe, one istniały wcześniej, ale były "zasłaniane" przez rzeczy bardziej uciążliwe.

Do prezentowanej przed świętami listy wyzwań dodaję kolejne zadanie. Pod adresem http://bootcamp.threats.pl/lesson20/main.php znajduje się strona, która coś robi. Zadanie polega na ustaleniu czym jest to coś. Przykład powinien działać w IE, Firefox i Chrome, samo zadanie nie jest jakoś specjalnie skomplikowane, choć powinno zająć chwilę czasu.

Przy okazji - tak, po drodze powinien być Bootcamp XIX i nawet częściowo jest gotowy, ale brakuje mu oprawy. Jakiej - to się jeszcze okaże :)

Ja wiem, że to tylko komiks. Mimo wszystko osoby takie jak Wally istnieją w Prawdziwym Świecie i doskonale radzą sobie w Korporacjach. Wykorzystują specyfikę Korporacji do własnych celów. Choćby dzisiejszy (polski) przykład...