Przeglądasz posty z kategorii: "::medium::"
Lut
19

Mało znany trick z 8.3

autor: p____h  //  ::medium::, Security  //  brak komentarzy

Był sobie konkurs (który nieskromnie mówiąc wygrałem). Przypomniał mi on o pewnym „tricku”, który dotyczy krótkich nazw plików (8.3).

Czytaj dalej »»

Paź
31

OvertheWire Natas Wargame – write-ups

autor: p____h  //  ::medium::, Security  //  brak komentarzy

Kilka dni temu, OvertheWire dorzucił do swojej kolekcji nowe wargame. Tym razem webowe. Po kilku godzinnej zabawie, zamieszczam rozwiązania wszystkich 16 poziomów, z którymi się uporałem.
Uwaga. Poniższy wpis zawiera rozwiązania wszystkich zadań. Jeśli nie chcesz psuć sobie zabawy, nie klikaj w link „Czytaj dalej”.

Czytaj dalej »»

Gru
4

JavaScript, a URLencoding

autor: p____h  //  ::medium::, Security  //  komentarze 2

W porównaniu do kilku poprzednich wpisów, dziś nazwa tematu zdecydowanie mniej finezyjna, ale sam temat za to zdecydowanie bardziej techniczny. Spotkałem się już kilka razy ze stwierdzeniem, że urlencode jest całkiem niezłym pomysłem nad zabezpieczeniem przed Cross-Site Scripting. Poniżej – kilka słów o tym, że nie jest jednak tak kolorowo.

Czytaj dalej »»

Wrz
27

header() to nie zabezpieczenie

autor: p____h  //  ::medium::, Security  //  komentarzy 5

Dzisiaj pod lupę postanowiłem zaciągnąć bardzo często używaną funkcję header(). Właściwie nie tyle samą funkcję,  co jej złe wykorzystanie. Oto jak wygląda kod, z którym zetknąłem się już kilka razy:

<?
if( !isset( $_SESSION['session']["authCode"] ) )
	header("Location: login.php");
echo "WTF is wrong with my awesome code?!";
?>

A poniżej słów kilka dlaczego jest on zły.

Czytaj dalej »»

Sie
19

HTML5, a zabezpieczenia obrazków przed kopiowaniem

autor: p____h  //  ::medium::, Security  //  komentarzy 6

Wszystko co wyświetlane jest po stronie klienta jest w praktyce niemożliwe do zabezpieczenia przed kopiowaniem. Jedynym sposobem jest utrudnienie kopiowania, tak, aby dla przeciętnego Kowalskiego było ono zbyt trudne do osiągnięcia, a dla robotów przeczesujących Sieć – nieopłacalne (ze względu na czasochłonność wydobycia odpowiednich danych).
Poniżej prezentuję garstkę lekkich przemyśleń jak można taki efekt osiągnąć (działa tylko dla małych obrazków, wymiary 256×256 zajmują jeszcze znośny czas generowania).
W skrócie, co chcemy osiągnąć: zablokowania możliwości skopiowania metodą zapisz jako/PrintScreen/podania bezpośredniego linka do obrazka.

Czytaj dalej »»

Lut
27

ZeuS – kilka słów o nim

autor: p____h  //  ::medium::, Security  //  komentarze 2

Banki zaczynają ostrzegać o niebezpieczeństwie. Do polskiej sieci zawitała wersja ZeuSa, która potrafi omijać dwuskładnikowe uwierzytelnienie. Pojawia się coraz więcej informacji o tym malware. Rzućmy okiem na pare szczegółów opisujących jego działanie.

Czytaj dalej »»