Dzisiaj kilka ciekawostek powiązanych z językiem PHP na które natrafiłem podczas CTF-ów RADARCTF oraz VOLGA CTF.

Czasami zdarza się, że odnalezione przez nas błędy nie są możliwe do wykorzystania w normalnych warunkach. Jednym z takich błędów jest self XSS, kiedy to użytkownik wchodzi na stronę internetową, otwiera konsole deweloperską przeglądarki i wkleja do niej złośliwy kod.

Błędy w aplikacjach to nie tylko XSSy czy też SQL Injection. O błędnie zaimplementowanej funkcjonalności pozwalającej na usuwanie lub przenoszenie plików z katalogu.

Pracujesz z dużą ilością serwerów linuxowych podczas swojej pracy? Do każdego z nich logujesz się przy pomocy swojego klucza SSH? Z jednej strony chciałbyś go często zmieniać, ale z drugiej natłok pracy związany ze zmianą certyfikatów na wielu serwerach Cię przytłacza?

W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne? Czy ja również padłem ofiarą danego zdarzenia?

Dlaczego banki tak bardzo chcą aby ich użytkownicy porzucili tradycyjne potwierdzenia sms na poczet mobilnych aplikacji potwierdzających znajdujących się w naszych telefonach komórkowych?

Dzisiaj o nowej funkcji, która już za jakiś czas znajdzie się w iPhone a w teorii ma pozwolić nam na odzyskanie naszego skradzionego telefonu nawet gdy atakujący usunie z niego kartę sim a także nie podłączy się do żadnej sieci wifi.

Co to jest szyfrowanie dysków oraz jak ono działa, a także dlaczego zwykły Kowalski a także właściciele firm powinni korzystać z tego narzędzia.