Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
NULL NaN undef 1#QNAN 0xffffffff ヽ༼ຈل͜ຈ༽ノ ヽ༼ຈل͜ຈ༽ノ Ṱ̺̺̕o͞ ̷i̲̬͇̪͙n̝̗͕v̟̜̘̦͟o̶̙̰̠kè͚̮̺̪̹̱̤ i masa innych niebezpiecznych ciągów znaków
Ciekawa, ciągle aktualizowana baza „podejrzanych” ciągów znaków, czyli takich które dość często stwarzają rozmaite problemy. Autor projektu jako rozgrzewkowy przykład podaje użycie tzw. zero-width space, który na Twitterze daje (dawał) internal server error…
Twitter…
Pamiętajcie żeby tych nazw nie stosować np. jako nazw użytkowników, a dla (pen) testerów to idealne miejsce, z którego można czerpać jako źródło dla swojej bazy podstawowego fuzzingu.
Baza podzielona jest na kategorie: m.in. częste słowa „zarezerwowane”, operacje matematyczne, sztuczki w Unicode, ciągi znaków „skorumowane” ;), czy wreszcie podstawowe testy na poważniejsze podatności – np. wykonanie kodu w OS.
–ms
Brakuje fork bomby w rożnych językach programowania.
i pewnie jeszcze wielu rzeczy.
Nie jestem mega programistą, raczej prostym, bo zajmuję się systemami, ale przecież to oczywiste skąd się tę błędy biorą, gdyż takie same cyrki mogę zrobić w konsoli. W momencie kiedy wysyłany jest tekst (string) do systemu, programista powinien zawsze doklejać mu „uszy”, tak by całość traktowana była jako ciąg znaków, w przeciwnym razie gdzieś się „eskejupuje” i idzie już jako komenda/polecenie. W basku nie takie cyrki można robić, wystarczy wykonać more/less/cat na niewłaściwym pliku, też efekty są ciekawe.