Saturday, September 26. 2009
Prawie trzy lata temu zamieniłem pracę w korporacji na pracę na własny rachunek. Z decyzji cieszę się, a utwierdzają mnie w niej wpisy takie jak ten: Czara goryczy. Jednak już tak mam, że właśnie po około trzech latach potrzebuję zmiany. Teraz też, choć na nieco innej zasadzie. Do tej pory (np. pracując w korporacji) nie czułem wpływu na to, co robię oraz co i jak będę robił jutro. Obecnie jest inaczej. W najbliższym czasie na blogu prawdopodobnie pojawi się kilka wpisów odnośnie moich obserwacji z pracy (pen)testera, problemów i ich możliwych rozwiązań.
Friday, September 25. 2009
Moje podejście do testów penetracyjnych aplikacji internetowych trochę ewoluuje. Podobnie jak do tematu ich tworzenia, czego przykładem może być mój komentarz do wpisu Przemka. Podejrzewam, że gdyby udało się wyeliminować 20% "złych praktyk programistycznych" (na początek choć CWE-20: Improper Input Validation oraz CWE-116: Improper Encoding or Escaping of Output), ilość podatności zmniejszyłaby się o 80%.
Wracając do tematu testów penetracyjnych - brakuje mi często określenia jakie mogą być zagrożenia (cele intruza) związane z daną aplikacją. W części przypadków pomaga intuicja i doświadczenie, ale nie zawsze. Niektóre aplikacje są "dziwne", zarówno jeśli chodzi o ich stronę techniczną, jak i cele biznesowe. I co wtedy?
Thursday, September 24. 2009
Dwa główne powody, z których używam (głównie) Fiddlera.
Ciąg dalszy "Dlaczego używam Fiddlera" »
Monday, September 21. 2009
Taki mały mój manifest: nie znoszę skracania linków i sam tego procederu (przynajmniej z wykorzystaniem zewnętrznych narzędzi/serwisów) nie stosuję, a w skracane linki klikam z dużą niechęcią. Nie lubię ciemnych ścieżek w nieznane z mnóstwem zakrętów i potencjalnym gościem z gazrurką za co drugim węgłem...
Tomek podesłał mi wczoraj link do informacji o nowych funkcjach dostępnych w AntiXSS, wyszła właśnie wersja 3.1 tej biblioteki. Chodzi tu przede wszystkim o funkcje GetSafeHtmlFragment oraz GetSafeHtml, które służą do "oczyszczania" danych wejściowych z potencjalnie niebezpiecznych treści. W tej chwili trzeba wspomnieć o OWASP AntiSamy Project.
EDIT: New and Improved AntiXss 3.1, Now With Sanitization, byłem szybszy niż blog MS :)
