昨天一路塞車塞回家 坎尼到家時已經快七點半了
然後看到忘了帶出門的手機.....老板 call 了四通啊 囧>
今天又要早起下高雄出差 所以昨晚吃過東西 盥洗完就上床了
好啦 交待完畢
今天就來回顧一下昨天的owasp第二天 (可是好多東西都沒印象了 orz
第一場是坎尼期待的 RSnake所講的 Clickjacking
本來坎尼只以為和之前看到的 就是控制使用者端的 Webcam 及 Microphone
但 Robert Hansen 提出來一些用法真的讓坎尼豁然開朗
像是設計一個 text input 利如 1 + 1 = [ Here is the TextBox ]
利用iFrame及css的排版方式 讓 allow button 位於這個位置
一般的使用者如坎尼...會有種很強烈的想點它的慾望...
此時....Webcam可能已經被人偷偷的開啟了.....
當然 Clickjacking 只是個手法
你可以利用 iFrame 的方式 令其他人將你加入他們社交網站的好友
也可以讓使用者點了下載按鈕
或是#@%$#$%$% click anything what you want
Wow....我只能這麼讚嘆.....
如同新聞稿所講 這東西是尚無解決方法的.....
即時你將 javascript關掉也是一樣 (如何 恐怖吧~~~
現在能做的 只是消極的更新及盡量使用 no script 的環境
還有上網時自己小心了
坎尼等這幾天忙完了也想來研究 clickjack的程式面
不過坎尼會很好心的先用幾個好友來測試啦 XDDD
(囧興 才一個人就講這麼一大篇了
第二場是 Chenxi Wang 博士
王博士有提到Web 2.0的進步其實不只增加了大家的便利性
也增加了更多采多姿的攻擊方式
Web App Security確是目前坎尼所看到的開發缺失
案子在規劃階段從不會將此議題納入 總是等到事情鬧大了才去補東補西
今天坎尼去出差時也順便看了一下這個案子的程式碼
囧興~ 程式碼裡竟然有 SQL Injection的危險存在
由於要改的數量可能不少 坎尼都不敢跟承辦人提起這件事
從這邊來看 我猜應該公司部分案子都有被入侵的危險
(有空是該跟同事交流一下coding的方式和觀念了
第三場是來自 Hong Kong 的 Anthony
不過 Anthony 自認中文不太好 所以還是全程講英文
讓坎尼避免了和 Tim 去 TechED 時相同的命運 XDDD
Anthony示範了如何利用工具去 Exploit
這段也讓坎尼嚇到屁滾尿流
坎尼知道駭客們多多少少會有些工具 不過這些工具也太厲害了
不僅寄存在對方的 process 中 還可以隨意變換
當然對方電腦裡的東西都一目了然 還可以做 upload & download
連同對方的 MS Sql server 的 Table Schema 下個指令就跑出來了
還可以分析弱點 囧興~ (這是坎尼派出的第幾隻囧烏龜??
Anthony講話也很好笑 尤其是開場的快速自我介紹令人印象十分深刻
還有那個改變自己寄存的process 導致 IE 自動關閉
「使用者只會以為IE又掛了。Thanks Microsofx」 (消音中)
可惜Anthony時間不是很足夠 只好匆匆的結束整個演說
這篇真的太長了 坎尼只好默默的在標題上補個 『上』
當然 有任何講錯的也請給與意見指教 感謝 :p
訂閱:
張貼留言 (Atom)
Google Spreadsheet 裡用規則運算式
最近因為工作關係,遇到要用 Google Form 及 Google Sheet 所以研究了 Google Sheet 裡的一些 function 怎麼用 首先,分享一下如何在 Google Sheet 裡用規則運算 :D
-
今天坎尼去上課老師講了一題很有趣的題目 所以回到家坎尼就順手試驗了一下 I. XOR (exclusive OR) XOR 是邏輯運算子之一,定義為: 當兩數的值不同才為 true,相同則為 false 其他相關說明可以參考 維基百科:XOR II. 程式 以往的做法會宣...
-
雖然到最後你還是沒留下你的名字... 今天就來介紹一下,如何用程式撰寫多維 矩陣乘法運算 首先要了解一下矩陣乘法的計算方式 (m1 x n1) * (m2 x n2) 結果會是 (m1 x n2)的矩陣 上例中的 n1 = m2 矩陣乘法位置互換結果就會不同 (大家可以直接點上方...
-
最近處理了一個 Session 變數會莫名消失的問題,麻煩的地方在於,這個舊系統在.NET 1.1的環境上活的很愉快,但是努力升級到.NET 2.0之後,在 某些狀況 下 Session 變數就會莫名的消失,導致權控子系統判斷為 Session Timeout,而將...
沒有留言:
張貼留言