picoCTF 2017 — Ive Got A Secret [format string]

Kolejne zadanie z picoCTF 2017 czyli Ive Got A Secret.  Zadanie to wprowadza do ataków typu format string.  Atak ten wykorzystuje błędny sposób przekazywania argumentów do funkcji operujących na ciągach formatujących, takich jak printf(), w języku C.

Czytaj dalej picoCTF 2017 — Ive Got A Secret [format string]

Subsystem Linux dla Windows 10 — NodeJS & Angular

Linux Subsystem dla Windows 10 to moja ulubiona funkcja systemu Windows 10. Pozwala ona uruchomić system operacyjny linux wewnątrz Windowsa bez zabaw z maszynami wirtualnymi. Pytanie tylko czy można z takiego „wbudowane” linuxa korzystać na poważnie np. pracy z NodeJS?

Czytaj dalej Subsystem Linux dla Windows 10 — NodeJS & Angular

Parsowanie dużych plików XML w PHP – optymalne rozwiązanie

Ostatnio musiałem napisać aplikację do obsługi hurtowni która dysponowała sporym cennikiem XML (~50MB) w dodatku aplikacja musiała działać na dość słabych serwerach wirtualnych. Z natywnych rozwiązań najlepsze to SimpleXML oraz XMLReader. Obydwa niestety nie pasowały do moich potrzeb, pierwszy ładuje cały plik do pamięci co mogło by powodować problemy na serwerach z mniejszą ilością RAM a drugi nie jest nieco skomplikowany przy przetwarzaniu dokumentu. Znalazłem ciekawe połączenie obydwóch metod.

Czytaj dalej Parsowanie dużych plików XML w PHP – optymalne rozwiązanie

Zaokrąglanie ceny brutto bazując na cenie netto i podatku

Zaokrąglanie float’ów w PHP to łatwizna ale czasem potrzeba nam czegoś więcej.  Kiedy mamy w sklepie cenę netto i wartość VAT i na tej podstawie chcemy wygenerować fajną cenę brutto w stylu 123.45 -> 159.90 zamiast: 151.84.

Czytaj dalej Zaokrąglanie ceny brutto bazując na cenie netto i podatku

picoCTF 2017 – ciekawe zadania – LEVEL 2 SoRandom

Zawody picoCTF 2017 już dawno za nami ale nic nie stoi na przeszkodzie by spróbować swoich sił w tej zabawie dla początkujących pentesterów. W tym wpisie opiszę mój sposób rozwiązania jednego z wielu czekających na zawodników ciekawych zadań: [LEVEL 2] SoRandom.

Czytaj dalej picoCTF 2017 – ciekawe zadania – LEVEL 2 SoRandom

PrestaShop i ciekawy bug pozwalający wyciągnąć dane klientów i nie tylko (PSCSX-8871)

Jakiś czas temu postanowiłem się przyjrzeć nieco, w kontekście błędów i bezpieczeństwa popularnemu silnikowi e-commerce PrestaShop.

Po pobieżnym przejrzeniu dispatcher`a, silnika zarządzania modułami i innymi bardziej zaawansowanym mechanizmom od niechcenia rzuciłem okiem na bardzo prostą funkcjonalność jaką jest ponowienia zamówienia. Pomyślałem że tak prosta mechanika (na liście zamówień pozwala ponowić wybrane zamówienie) nie ma szans posiadać żadnej luki, jakie było moje zdziwienie kiedy okazało się że jest inaczej…

Czytaj dalej PrestaShop i ciekawy bug pozwalający wyciągnąć dane klientów i nie tylko (PSCSX-8871)