Bezpieczny SVG

W jednej aplikacji nad którą pracuje odkryliśmy podatność dotyczącą plików SVG dostarczanych przez użytkowników. Szczegółowe wyjaśnienie jak można wykorzystać Scalable Vector Graphics do zrobienia Stored XSS dobrze opisał Sekurak. Vizzdoom (autor posta na Sekuraku) sugeruje zwracanie odpowiednich nagłówków (Content-Type, X-Content-Type-Options i Content-Security-Policy) – co zawsze jest dobrym pomysłem! a także zachęca do użycia narzędzia SVGPurifier. […]

FOSDEM 2019

Fosdem Logo

⅔ detektywów odwiedziło (już po raz trzeci) – FOSDEM, jedną z największych konferencji FOSS na świecie. Co to FOSDEM? FOSDEM jest konferencją wyjątkową pod każdym względem. Jeśli jesteś przyzwyczajony do Devoxxa czy Geecona, który skupia się na świecie JVM, to mocno się zdziwisz – Free Java to tylko jedna ze ścieżek. Nie ma tu też […]

Co znajduje się w kodzie karty pokładowej

Ostatnio często zdarza mi się latać po Polsce (linie krajowe). Czasem jednak kolejki na lotnisku są naprawdę duże – nie należę do osób które pojawią się na lotnisku półtorej godziny przed odlotem lub drukują sobie bilet – wolę to zrobić skanując kod z telefonu. No właśnie. Kod. Na biletach linii lotniczych nie spotkamy dobrze znanego […]

Archunit i Spock

Jeśli nie wiesz, co to archunit, to przedstawiony kod powie więcej niż niejedna dokumentacja. Jeśli wiesz, ale zastanawiasz się, czy archunit zadziała z Spock to mój przykład udowodni Ci, że działa :)