Comments on: Testowanie bezpieczeństwa aplikacji internetowych - część 3: Słowniki wartości testowych http://lukasz.pilorz.net/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/ Bezpieczeństwo aplikacji PHP Fri, 21 Nov 2008 23:14:07 +0000 http://wordpress.org/?v=2.6.3 By: carstein http://lukasz.pilorz.net/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1336 carstein Tue, 09 Oct 2007 21:22:39 +0000 http://lukasz.pilorz.net/index.php/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1336 Heh, mam tego typu plików całkiem dużo :) Co do słowników - pewnie też tak zrobię, ale najgorzej zacząć zbierać :) Heh, mam tego typu plików całkiem dużo :)
Co do słowników - pewnie też tak zrobię, ale najgorzej zacząć zbierać :)

]]> By: Łukasz Pilorz http://lukasz.pilorz.net/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1333 Łukasz Pilorz Tue, 09 Oct 2007 18:18:59 +0000 http://lukasz.pilorz.net/index.php/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1333 Testowe pliki też kiedyś dorzucę (między innymi takie z kodem w poprawnych plikach graficznych), ale to już chyba w wersji "extended". Jeśli chodzi o słowniki, te tworzyłem na bazie luk z którymi sam się spotkałem, ale na pewno można je rozbudować, chociażby podglądając skanery. Testowe pliki też kiedyś dorzucę (między innymi takie z kodem w poprawnych plikach graficznych), ale to już chyba w wersji “extended”. Jeśli chodzi o słowniki, te tworzyłem na bazie luk z którymi sam się spotkałem, ale na pewno można je rozbudować, chociażby podglądając skanery.

]]> By: carstein http://lukasz.pilorz.net/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1329 carstein Tue, 09 Oct 2007 12:40:17 +0000 http://lukasz.pilorz.net/index.php/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1329 Widzę, że dzisiaj pojawiło się tzw. mięsko. Trzecia część bardzo mi się podoba - jest konkretna i nieźle opisana. Faktycznie Intruder bardzo pomaga automatyzować testy - aż dziwne, że nie mam jeszcze żadnej biblioteki takich słowników. W każdym razie, zaczynam zbierać. :) Co do uploadu plików - sprawdzanie typu często niewiele da, ponieważ da się wsadzić kod PHP w komentarz np. pliku GIF (i pewnie w inne formaty też). Zresztą - samo uploadowanie pliku to jeszcze nie tragedia - dopiero możliwość jego wywołania powoduje problemy. :) Widzę, że dzisiaj pojawiło się tzw. mięsko. Trzecia część bardzo mi się podoba - jest konkretna i nieźle opisana.
Faktycznie Intruder bardzo pomaga automatyzować testy - aż dziwne, że nie mam jeszcze żadnej biblioteki takich słowników. W każdym razie, zaczynam zbierać. :)

Co do uploadu plików - sprawdzanie typu często niewiele da, ponieważ da się wsadzić kod PHP w komentarz np. pliku GIF (i pewnie w inne formaty też). Zresztą - samo uploadowanie pliku to jeszcze nie tragedia - dopiero możliwość jego wywołania powoduje problemy. :)

]]> By: Łukasz Pilorz http://lukasz.pilorz.net/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1305 Łukasz Pilorz Mon, 08 Oct 2007 18:16:25 +0000 http://lukasz.pilorz.net/index.php/2007/10/08/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-3-slowniki-wartosci-testowych/#comment-1305 @kanedaaa&carstein: Książka - czemu nie? @Piotr Konieczny: Dzięki za podpowiedzi, zdaje się że będę musiał dodać w którymś odcinku galerię skanerów :) @kanedaaa&carstein: Książka - czemu nie?
@Piotr Konieczny: Dzięki za podpowiedzi, zdaje się że będę musiał dodać w którymś odcinku galerię skanerów :)

]]>