Diverse teksterOm sikkerhet i webapplikasjoner |
|
PublisertClient-side Trojans, eller: Hvordan stjele penger ved å sende en mailJuni 2002. Om hvor lett man kan lure noen til å utføre en webhandling de ikke ønsker, og hvordan utviklere kan programmere for å unngå lureriet. En sønderklippet versjon ble publisert i Computerworld 49, august 2002. Websikkerhet: Mer enn brannmur og krypteringJuni 2001. Om forskjell på infrastruktursikkerhet og applikasjonssikkerhet, og om problemer som kan oppstå hvis utviklere tror sikkerhet er noe driftsgutta håndterer alene. Fokus på "SQL Injection". Publisert i Computerworld 47, juni 2001. Så enkelt er det å lage et sikkerhetshullAugust 2000. Om trivielt sikkerhetshull i Lærerlagets webtjeneste. Publisert i Computerworld 58, august 2000. UpublisertUsing Binary Search with SQL InjectionAugust 2003. On extracting secrets using binary search through scripts vulnerable to SQL Injection. Why Clear Text Passwords are Bad, and How to Avoid ThemNovember 2001. Why it's a bad idea to store clear text passwords in a database. |
Utvalgte innlegg i mailinglisterWhy Escaping Quotes Will not Always Helpvuln-dev, May 2002. Thoughts on passing data to sub-systems and being ignorant. On HTML Sanitizing on the Input Sidevuln-dev, March 2002. Thoughts on separating input validation and passing of data to sub-systems. Splitting Input Validation and Meta Character Escapingvuln-dev, March 2002. Why meta character handling is not the same as input validation. Cross-site Scripting and Timing When Stealing Sessionsvuln-dev, January 2002. Examples on how timing may not be an issue when stealing session cookies with Cross-site Scripting. On Client-side Trojans: Controlling MSIE Sessions from Outlookwebappsec, November 2001. How malicious mails with scripts, read using Outlook, may control an authenticated HTTPS session in Internet Explorer. |
| Forside | Firma | Kontakt | Eksempler | Kurs | Konsulent | Bok | Tekst |