Wednesday, April 15. 2009
Kolejna lekcja: Cross Site Request Forgery, na razie tylko przykład. Całość to nieco zmodyfikowana lekcja III, do której wprowadziłem podatność XSS. Poza tym parametr action jest brany obecnie z $_POST, a nie $_REQUEST (by nie było za łatwo). Zadanie - za pomocą XSS usunąć dowolną wiadomość. Nie jest to do końca "cross site", bo atak jest z tej samej strony, na której wykonywana jest akcja, ale chodzi o pokazanie, że można zmusić przeglądarkę, by wykonała akcję bez udziału użytkownika.
Ciąg dalszy "Bootcamp IV: Cross Site Request Forgery (tylko..." »
Tuesday, April 14. 2009
Nie lubię świąt. Mam kolejny argument - świąteczne wyjazdy/powroty. Z roku na rok jest coraz gorzej. My chcemy Euro 2012??? Już widzę te tabuny uradowanych kibiców piłkarskich "oglądających" mecze w korkach... Drogowych oczywiście.
Ciąg dalszy "Polskie drogi..." »
Monday, April 13. 2009
Jeśli komputer zachowuje się dziwnie, działa niedeterministycznie, zawiesza się to... pora na wiosenne porządki. Takie z użyciem odkurzacza. Komputer to maszyna. Ma to do siebie, że się grzeje, w szczególności zasilacz, procesor, karta graficzna, chipset czy dysk (między "starymi" barracudami można było robić tosty). Urządzenia elektroniczne mają to do siebie, że działają prawidłowo w pewnych zakresach temperatur, dlatego w komputerach można znaleźć radiatory i wentylatory, a wszystko po to, by efektywnie odprowadzać ciepło i utrzymać akceptowalną temperaturę. Jeśli te elementy są zakurzone, nie mogą odprowadzać ciepła w sposób efektywny. A wtedy komputer zaczyna zachowywać się "dziwnie"...
Ciąg dalszy "Świąteczne porządki (komputer "nie..." »
Friday, April 10. 2009
Jednym z efektów ubocznych "znania się na komputerach" jest fakt, że człowiek staje się supportem dla całkiem sporej liczby krewnych i znajomych królika...
Ciąg dalszy "Komputer "nie działa"" »
Przekazywanie identyfikatorów sesji w URL jest ZŁE (mówiłem o tym w prezentacji o zarządzaniu sesją na spotkaniu OWASP). Sama koncepcja umieszczenia w URL dodatkowej unikalnej informacji już zła nie jest, oczywiście zależy do czego będzie ona wykorzystywana. Zawarcie w URL losowego tokenu powoduje, że atakujący nie będzie w stanie przygotować odpowiedniego URL, co przeprowadzenie kilku typów ataków skutecznie utrudni. Więcej: Improving Security with URL Rewriting.
Ciąg dalszy "Improving Security with URL Rewriting" »
