https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:48 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1693 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Goleń) Akurat oddzielanie kodu JavaScript od kodu HTML jest całkiem sensownym pomysłem. Na podobnej zasadzie jak wyrzucenie "wyglądu" do CSS. Fri, 16 Oct 2009 07:47:17 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1693 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1689 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Michal Wiczynski) Coraz wiecej jest takich 'nietypowych' serwisow. Brakuje kodu standardowego kodu js typu onclick, wiele rzeczy umieszcza sie w klasach ktorych automaty nie sa w stanie wykryc. Wtedy nawet recznie jest problem dotrzec do bledu i wiele rzeczy znajduje sie 'przypadkiem' Thu, 15 Oct 2009 18:52:43 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1689 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1687 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com () no haha no bardzo śmieszne Wed, 14 Oct 2009 17:20:59 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1687 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1685 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Goleń) W temacie SQLi i XSS: Microsoft Source Code Analyzer for SQL Injection XSS Detect Przy czym ten XSS Detect jakoś ostatnio mi się zapodział. Zresztą akurat te narzędzia z przyczyn dość oczywistych akurat dla mnie są umiarkowanie przydatne (brak dostępu do kodu). Wed, 14 Oct 2009 15:59:15 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1685 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1684 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Krawczyk) O, a co to za narzędzie MS? Bo jedyne co widziałem w przeszłości to wpisy na blogach MSDN/Techneg z użyciem findstr. Wed, 14 Oct 2009 15:54:24 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1684 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1681 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Goleń) Tu pozytywnie wyróżnia się Microsoft udostępniając narzędzia do analizy kodu. Sporo rzeczy można wychwycić również przez "zaawansowane techniki" typu grep/regexp. Oczywiście w tym przypadku raczej nie ma co liczyć na pełne prześledzenie ścieżki od wejścia do wyjścia, jednak w połączeniu z kilkoma zasadami, do których programiści powinni się stosować (np. nie sklejamy SQL dynamicznie, wypisujemy zawsze z encodingiem itp.) pozwala to na zidentyfikowanie miejsc, którym co najmniej trzeba się przyjrzeć. Wed, 14 Oct 2009 13:11:26 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1681 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1680 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Krawczyk) Najskuteczniejsze do wyłapywania typowych błędów walidacji wejścia jest nadal jednak skanowanie kodu źródłowego (static code analysis). Tyle, że narzędzi otwartych do tego nie ma (=są nędzne) a komercyjne kosztują fortunę (n*10E4 dolarów rocznie). Istnieją też narzędzia, które to samo potrafią robić na binarce (bez źródeł) - np. Veracode - ale trzeba tam dodać jeszcze jedno zero do cen. I mają w tym wysoką skuteczność - co zresztą można zaobserwować w testach narzędzi do testowania "black box" (Acunetix) i tych samych narzędzi z sensorem (Acunetix+AcuSensor) po stronie serwera (=z dostępem do kodu PHP/ASP). Jedna z najciekawszych prezentacji jakie ostatnio widziałem na temat algorytmicznego zaprojektowania takich testów mówi o wykorzystaniu do tego celu języka PDDL: http://www.frhack.org/slides/FRHACK2009_Sarraute.pdf Wed, 14 Oct 2009 12:38:24 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1680 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1678 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Goleń) I jeszcze na szukanie nowych testów, które warto uwzględnić przy testach automatycznych :) A jak to wygląda teraz? Modyfikuje się parametr(y) i sprawdza jaki ma to wpływ na aplikację. Teoretycznie część z tych rzeczy można zrobić automatem, przynajmniej wspomagać się nim. Tylko, że można trafić na formatkę, gdzie jest 50 parametrów, z czego, przykładowo, modyfikacja 15 (rozłożonych losowo) powoduje wylogowanie z aplikacji. Skanery automatyczne wciąż nie potrafią w zadowalający sposób odtworzyć szeroko pojętego stanu aplikacji w takim przypadku. Zwłaszcza, gdy aplikacja jest "nietypowa"... Wed, 14 Oct 2009 07:41:02 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1678 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1677 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Paweł Goleń) A zasłużyłeś sobie. Jak ktoś porusza ciekawy temat, to nie widzę powodu, by o tym nie napisać, zwłaszcza jeśli piszę akurat o temacie podobnym :) Wed, 14 Oct 2009 07:31:02 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1677 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1676 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Przemek Skowron) Niestety do czasu kiedy konsultanci ds. bezpieczeństwa aplikacji nie będą zapraszani, nie będą mogli się dobić do wcześniejszych etapów powstawania aplikacji niż final release na produkcji albo tuż przed otwarciem na produkcji to będzie trudno testować XSS'y, SQLi z automatu. Nie zawsze łatwo jest o dostęp do źródeł, technologii jest masa, a trudno robić code review ad-hoc dla języka czy frameworka'a, którego się nie zna. BTW: Dzięki Paweł za tak intensywne linkowanie :) nie wiem czym sobie zasłużyłem. BTW#2: Jeszcze w tym roku zostanie wybudzona pewna grupa... i będzie można na nowo rozpocząć uświadamianie społeczeństwa odnośnie bezpieczeństwa (nie tylko) aplikacji. Tue, 13 Oct 2009 23:22:50 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1676 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#c1675 https://archive.mroczna-zaloga.org/archives/736-szukania-sqli-i-xssow-mam-juz-dosc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=736 nospam@example.com (Tomek) Nie wiem jak to wykonujecie tam teraz bo rzadko się tematem zajmuję ale tak sobie myślę że zadanie takie jak wyszukiwanie XSS i SQLi to powinno byc w zasadzie prowadzone na zasadzie zdefiniowanego dla aplikacji automatycznego testu. Powtarzalnego i tak dalej ... Waszym zadaniem powinno byc ewentualnie interpretowanie wynikow tegoz lub sprawdzenie co bardziej interesujacych przypadkow ... ... a gdy takie sprawdzenie by trwalo czas moznaby poswiecic na ciekawsze i istotniejsze rzeczy o ktorych mowisz. Tue, 13 Oct 2009 22:38:15 +0200 https://archive.mroczna-zaloga.org/archives/736-guid.html#c1675