Saturday, March 22, 2008

Malware installation attempt via phishing

I got this email yesterday and it immediately caught my attention, maybe due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent news about malware being installed via legitimate website. Or maybe most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous phishing attempts were about stealing username/passwords. This one is about installing something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir machine (which i am sure is some sort of malware). This might be a shift in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach and of course it makes a lot of business sense for bad guys too. Why steal username/password of one site when you can install a keylogger and get hell of a lot more information. Moreover, this is also less effort on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of phishers since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't have to go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hassle of setting up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing site (no matter how automated it has become for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of attack could be bigger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional phishing approach.

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new motto is "if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are dumb enough to enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir username/password, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are dumb enough to install a malware".

Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email below and please be very careful with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link.


From: "Bank of America"
Date: March 22, 2008 5:59:08 AM PDT
To:
Subject: important reminder: digital certificate issued

Dear Bank of America Direct User:
Our records indicate that a new digital certificate has been issued to your Bank of America Direct user ID.
Digital certificates are computer-based records issued to individual user IDs that allow Bank of America Direct to validate your identity and protect your information from unauthorized access. In order to access Bank of America Direct, you must use a valid digital certificate.

Installation Instructions
To install your newly-granted digital certificate, please access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Certificate Pick-Up site at:

http://direct-certs.bankofamerica.com/direct/certpickup.asp?session=971974397406832591921867087087815132658676515377821210267
Actual Url - http://direct-certs.bankofamerica.com.vllrvop.mobi/direct/certpickup.asp?session=971974397406832591921867087087815132658676515377821210267


Please have your Bank of America Direct login information readily available when completing this process.
Should you have any questions regarding this process, please consult your Company Administrator or contact your regional customer support center for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assistance.

Sincerely,
Bank of America Direct Technical Care Center

NOTE: This is an automatically generated communication.


Thursday, March 06, 2008

WASC meetup at RSA


RSA conference is around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corner and a lot of people from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webappsec field would be coming over to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference. This is a perfect opportunity to meet with your peers. To facilitate that, WASC is organizing a meetup on April 9, 2008 12pm to 2pm. Whitehat Security has graciously accepted to sponsor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. Please click on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image to see a larger version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 invite.

Last year WASC meetup @RSA
http://myappsecurity.blogspot.com/2007/02/today-at-wasc-meetup-quite-lot-of-crowd.html

Thursday, February 21, 2008

Certification for Web Application Security Professional

Web Application Security Consortium and SANS has partnered togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to define, train, test and certify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals. WASC is a leading web application security organization and SANS is a leader in training and certification. Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject matter expertise and process expertise to make this a huge success.


Why do we need this certification?

As more and more software is moving to a Web-based delivery model modern applications are becoming increasingly sophisticated and vital to business. With online business, come a number of new security risks that are exacerbated by immature Web application security programs.

With 9 out of 10 websites having vulnerabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web is dire. Due to lack of options many people are being hired into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application security field to take up positions without a solid understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack techniques and defense strategies to match. Often newcomers are confused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexities involved and desire something that’ll help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m think like a hacker, identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tactics, and thwart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attacks.
The certification will assist future web application security professionals entering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field to get a strong grasp of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements and get up to speed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-depth knowledge of web application security.


What is this certification about?

This certification enables web application security professionals to showcase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir skills to potential employers, customers or vendors. And for employers this certification will assist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in evaluating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualifications of respective candidates. Those certified are required to possess quality baseline set of skills to be considered web application security professionals.



We are doing a survey of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topics to be covered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification. If you have experience in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application security industry, please spare few minutes to take part in this survey.


https://www.surveymonkey.com/s.aspx?sm=kuEP2xG3RslU42_2ftRRs1Lg_3d_3d

Tuesday, January 29, 2008

New IRS Scam via SMS messages

I got a text message today which said like

From:TAX@internalrefunding.com
------Message-----
Subject: NOTICE
You have .30 IRS
UNITS pending for
refunding, complete
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form using
www.internalrefunding.com ASAP


My first reaction was "What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 f***" but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I started thinking "Could it be IRS?", if yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n "Why send a SMS?"

Then my paranoid mind started working and even though I haven't heard of a scam which involved sending SMS messages before, I decided to look into it. I tried to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link and see what it does but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site was down. I wish i could have been able to check where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website is located. Then I googled on IRS scam, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first link took me to IRS website, which talks about Email Scams. Check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link here
http://www.irs.gov/newsroom/article/0,,id=170894,00.html

They email scam had 6 or 7 variants on a period of 8-10 months. The last attempt was as latest as Jan 14, 2008. I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got tired of finding new ways of sending emails and instead started sending SMS messages. I am sure a lot of people would have fallen for this trick. What is interesting is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se people are not even trying to go for various web application attacks and instead just using social engineering to fool people into providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information.

I am sure we will see a lot more (similar) scams in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming days and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing we can do except for asking for more user awareness and education (i don't know how much will that help).

Wednesday, January 23, 2008

IETF starts working on security requirements for HTTP

Andre sent me a link on "Security Requirements for HTTP". It is exciting to see at least security issues of HTTP protocol are being addressed by IETF. This is a first draft and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are starting to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems and will address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a final part of this document.

http://www.ietf.org/internet-drafts/draft-ietf-httpbis-security-properties-00.txt

Recent IESG practice dictates that IETF protocols must specify mandatory-to-implement security mechanisms, so that all conformant implementations share a common baseline. This document examines all widely deployed HTTP security technologies, and analyzes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade-offs of each.

The internet draft of "Security Requirements of HTTP" addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing security mechanisms of HTTP or its lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof :)

Forms and cookies have number of properties that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m an excellent solution for some implementors. However, many of those properties introduce serious security trade-offs.

HTML forms provide a large degree of control over presentation, which is an imperative for many websites. However, this increases user reliance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface. Many users do not understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 construction of URIs [RFC3986], or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentation in common clients [[ CITATION NEEDED ]]. As a result, forms are extremely vulnerable to spoofing.

Cookies are susceptible to a large variety of XSS (cross-site scripting) attacks, and measures to prevent such attacks will never be as stringent as necessary for aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication credentials because cookies are used for many purposes. Cookies are also susceptible to a wide variety of attacks from malicious intermediaries and observers. The possible attacks depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookie data. There is no standard format for most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.


Remember this is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial draft and is incomplete but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good news is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have started working on it and sooner cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n later would be implemented. It may not have all that we want, but at least it will do something more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what we have today.

Monday, January 21, 2008

Do you have to fix XSS vulns to be PCI Compliant? ScanAlert Says No

I was reading Jeremiah's blog about ScanAlert's Response - ScanAlert - XSS is not our problem

I had blogged earlier about Should ScanAlert be revoked of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PCI Scanning abilities?

The interesting thing here is that if Hacker Safe is not detecting XSS attacks and I can bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would not be detecting SQL injection attacks as well. So, what part of web application attacks are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y trying to detect? I guess none. Which is OK as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do. Oh wait..this is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mention on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir website

http://www.scanalert.com/site/en/security/howwescan/

During this testing phase, all HTTP services and virtual domains are checked for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of potentially dangerous modules, configurations settings, CGIs and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scripts, and default installed files. The web site is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n "deep crawled," including flash embedded links and password protected pages, to find forms and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r potentially dangerous "interactive elements." These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n exercised in specific ways to disclose any application-level vulnerabilities such as code revelation, cross-site scripting and SQL injection. Both generic and software specific tests are performed in order to uncover misconfigurations and coding error vulnerabilities.


Well..I don't know what to say here..Let's assume for a second, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulns..which is OK. Hey!! I am not going to tell ScanAlert what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should and should not do. Its cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't want to detect XSS or SQL injection, its fine by me. They can say that "HackerSafe" is not going to detect XSS vulns as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not considered a serious risk. My question is, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not detecting XSS vulns and PCI standard says "Web sites should not have XSS vulnerabilities" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n can ScanAlert provide a PCI compliance certificate? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why penalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchants?

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, Lets say if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do scan and detect XSS and SQL injection vulns, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 websites mentioned on http://sl.ackers.org and XSSed.com which have hackersafe logo on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m should not have a PCI Compliance certificate from ScanAlert. Since PCI requirement Section 6.5.4 and 6.5.6 very clearly mentions that XSS and SQL injection vulnerabilities should be detected and fixed before a website becomes PCI certified.

I don't think ScanAlert team understands web application security properly based on some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments made by Joseph Pierini, director of enterprise services for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ScanAlert's Hacker Safe program. Here are a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m below.

“Pierini dismisses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suggestion that certifying a site as "Hacker Safe" when it remains vulnerable to XSS attacks could be confusing to consumers. "

Forget about consumers for a second and talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website owners. Does a site which is certified as Hacker Safe is by default PCI compliant or a site can be hacker safe but not PCI compliant? I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y differentiate between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two.


“He insists that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meaning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification is clear and notes that his company's scanning service reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSS flaws it finds to its clients.”

So, if ScanAlert has notified its clients that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have XSS flaws in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clients have not fixed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, I am assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n those clients are not PCI compliant and ScanAlert would not have issued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a PCI certificate. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why penalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clients alone and not ScanAlert as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y knowingly gave a certificate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clients when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had open vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system.


“Cross-site scripting can be used to do a variety of things, but it's all on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client side. And that's an area that we don't have control over."

This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of problems merchants are facing. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI ASV doesn't understand XSS attacks or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web application attacks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n how are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y going to educate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchants and as a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulns are left open and exploited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys. The ASVs wash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hands and merchants gets penalized. I think its time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASVs are held liable too for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ignorance or incompetence.


Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r suggested readings.

Who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real culprits for PCI compliance?

Many 'Hacker Safe' Web Sites Found Vulnerable

Group Tags More 'Hacker Safe' Sites

Re: [ISN] Many 'Hacker Safe' Web Sites Found Vulnerable

ScanAlert - XSS is Cool with Us

An open letter to Ken Leonard, CEO ScanAlert

The Fortification Movie

Last week i went to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentary by fortify on "The new face of Cybercrime". I went cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re thinking that it would be something that shows what cybercrime is all about and how bad guys are breaking into websites to steal credit card numbers, SSN, etc. and selling it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black market to make money. Basically a visual representation of what we deal with, day in, day out. But it turned out that it was nothing like that. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have done is take interviews from reporters and some key people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry and put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of a movie. I couldn't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message, this movie (or documentary) was trying to send and who was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target audience (as it definitely wasn't security professionals). Infact, someone actually asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same question and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could come up with is that it is thought provoking. (LOL). It was thought provoking all right, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought definitely wasn't web application security.

About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target audience, well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie was for C level executives and/or business owners to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of (in)security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir websites. I don't know, how this movie is going to help those guys get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message. I mean, if you are trying to sell a product or a service, sure, you can use this movie, instead of doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explanation verbally. Or at least I think so. Having worked for few financial institutions (including some really big names), and have seen first hand, how business decisions and timelines are driven, let me tell you right now, No matter, how much a business understands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need of web application security, but when it comes to user demand or a competitor coming out with a feature that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir web site doesn't have, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary focus becomes shipping out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feature with or without security.

I would have loved to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie targeted towards consumers with a visual representation of how an identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft occurs, how business's security (or lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof) affects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I don't know, how many security professionals would agree with me on this, but I think unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security is demanded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumers, it will just be treated as compliance.

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, you should watch it, just don't get your hopes high. As it has nothing new in it, that you already haven't heard or read somewhere. I am not trying to undermine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort by Fortify folks but I do think, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could have done a better job. Who knows, maybe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequel, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will :)

Tuesday, January 08, 2008

Calling all web hacks of 2007

Jeremiah Grossman is trying to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 neat researches behind web hacks of 2007.

"The hardest part is collecting a racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r complete list of references to vote on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place, so that’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason for this post. Below is what I’ve gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red so far, and if you know of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, please comment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title and link and I’ll add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few days cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list will be compiled and I’ll create an open survey."

Read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire post here

I think its a great idea. It will not only help build a repository of all cool hacks of 2007 but also give people a chance to showcase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work. Letting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 10 is an impartial way to choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best. For those who cannot get into top 10, will still get a lot of visibility, appreciation and who knows that might motivate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next year.

If you know of something which is not already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list, please feel free to add it.

It would be really interesting to see who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winners are.

Good Luck to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants.

Monday, January 07, 2008

Should ScanAlert be revoked of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PCI Scanning abilities?

I was passed on this link today about "Hacker Safe Website gets hit by Hacker". For those who don't know, Hacker Safe is a service provided by Scan Alert (which is set to be acquired by McAfee). I am not going to go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of how safe are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites displaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo "Hacker Safe". I don't even want to go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of what level of scanning services are provided by ScanAlert through Hacker Safe. What I do want to talk about is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Compliance Certificate provided by ScanAlert after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir scan.

ScanAlert provides a PCI scanning service for $149.00 a year. Oh and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir website claims cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work directly with VISA and MasterCard. Personally, I don't care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir pricing model, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir service for free, for all I care. What matters to me is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are "PCI APPROVED VENDOR".

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story today was about one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients, Geeks.com. Here is an excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article

"Geeks.com is a $150 million company specializing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sale of computer-related excess inventory and manufacturers' closeouts. Its Web site prominently proclaims that it is tested on a daily basis by ScanAlert Inc."

According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Compliance guidelines, Geeks.com should now become Level 1 merchant and have to pay fines and everything, now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been a breach resulting in loss of credit card details. But, what about ScanAlert, shouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y be penalized too?

As I mentioned in my last post -
Who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real culprits for PCI Compliance?
Geeks.com hired a PCI approved vendor to scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site and provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m solutions. ScanAlert scans Geeks.com site everyday and didn't find any vulnerabilities. Now that Geeks.com is hacked, I am sure everyone would blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about lax security practices and what not but what about ScanAlert? Shouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y share a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame too?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger question is - Is this level of service accepted by PCI Council?

Monday, November 19, 2007

AppSec 2007 pictures of breach party

OWASP and WASC AppSec Conference is over and it was by far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best conference i have ever been to. I was able to meet up with so many fantastic people, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m i have exchanged emails with before and was good to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in person. The conference topics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation were really good. It was also my first time moderating a panel and it was a great experience. With such a sensitive topic, I was hoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion would be a little bit more controversial but I guess since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was just one microphone, everyone was waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir turn and hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion got a little dull. Or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absece of google on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel and microsoft getting a lot better in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security practice didnt help much :) It was a good discussion none cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less.


Breach is building a reputation of throwing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best vendor parties during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conferences. Here are my set of pictures for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tech Expo and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach party.


RSnake flirting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 waitress



Pravir and Dinis Cruz sharing some thoughts



You get so many webappsec guys togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lightning starts to come down. :)

From left : Jeremiah Grossman, Arian Evans, pdp, Myself, Ryan Barnett, Stefano DiPaola, Ory Segal and his colleague from IBM


pdp giving Arian a lesson on Web 2.0 hacking :)




Ryan Barnett, Stefano and Ory Segal (Happy to be here)



Whitehat Security Ops Team with few friends



Dinis Cruz and Arian Evans



Jeremiah, pdp and (i dont cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle)



Ory Segal (enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party)




The pictures below are of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Expo














Wednesday, November 07, 2007

Who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real culprits for PCI compliance?

There was an article in SearchSecurity today on TJX issue.

Don't blame PCI DSS for TJX troubles, IT pros say
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1280854,00.html?track=sy160&asrc=RSS_RSS-10_160

Here is an excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article

The auditor said TJX passed a PCI DSS check-up, but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor failed to notice some key problems.

"They had no network monitoring and no logs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had unencrypted data," he said. "But this wasn't picked up by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor. They passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Level 1 inspection and shouldn't have."




This makes me wonder what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real objective of PCI complpiance. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies are still trying to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI requirements and hire a third party to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure for PCI compliance. Now, if PCI council has approved a vendor to assess a company's infrastructure for PCI requirements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n for a company, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor understand PCI requirements and have proven to PCI council that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are qualified and capable of doing a good job. Now if a vendor charges $1000 to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job or $15000 is upto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor. Companies are always looking for a good bargain and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing wrong with that, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are going to an approved vendor.

So if a company still gets breached after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are PCI compliant (assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data stored was not encrypted), who is actually liable in this case? The company or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor who certified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company for PCI compliance? In my mind, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor would have told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensitive data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir database, and company has not done it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no question of company being PCI compliant.

Company getting penalized is understandable but is PCI council also going to impose penalties and fines on vendors who are not doing a good enough job? If a company is PCI compliant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n its not completely company's fault for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data breach as much as it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors, who did not identify and report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues and certified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company as PCI compliant.

Monday, November 05, 2007

Panel discussion on Website Vulnerability Disclosure during AppSec Conference on Nov 15

As most of you know that OWASP-WASC AppSec Conference is held in ebay between Nov12-Nov15 including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training sessions. There are very many exciting topics to look forward to in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference and not to forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor parties at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things i am excited about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel discussion on Website Vulnerability Disclosure (which i will be moderating). We have some really great people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel and i am expecting a great lively discussion as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic is also a little bit touchy :)

The panelists are
1. Robert "RSnake" Hansen - CEO of SecTheory with his blog at "http://ha.ckers.org".
2. Bruce Lowenthal - Director of Oracle Security Alerts Group, Oracle
3. Zulfikar Ramzan - Advanced Threat Team, Symantec;
4. Katie Moussouris - Security Strategist, Microsoft
5. Christopher Ernst - US Secret Service, San Francisco Field Branch.

I am expecting this to be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best panel since it is not only a sensitive topic but also since we will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate, hacker and govt/law point of view on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject.

Since i have been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions to ask during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel discussion, i thought i will also take ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs opinion on what kind of questions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would like to be asked. So, if you have any suggestions, please feel free to send me an email or leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog.

Do plan to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as it should be fun. The date/time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel discussion is
Nov 15, 16:30 - 17:30

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire conference agenda
http://www.owasp.org/index.php/7th_OWASP_AppSec_Conference_-_San_Jose_2007/Agenda

Conference Registration page (if you havent registered already) including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor parties
http://www.owasp.org/index.php/7th_OWASP_AppSec_Conference_-_San_Jose_2007

Thursday, November 01, 2007

WASC meetup on Nov 8

Its time for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r WASC Meet-Up. As usual this will be an informal gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring. No agenda, slide-ware, or sponsors. Just some like minded people from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry getting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir stories over beer. Everyone is welcome and it should be a really fun time!

Please RSVP by email ASAP, if you haven't done so already, so we can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper reservations: anurag dot agarwal at yahoo dot com

Time: Thursday, Nov. 8 @ 7:00pm

Place:

Duke of Edinburgh
10801 N Wolfe Rd
Cupertino, CA 95014-0618
Phone: (408) 446-3853

Tuesday, September 04, 2007

OWASP & WASC AppSec 2007

The OWASP/WASC Black Hat cocktail party was so successful it only made sense to join forces again, this for an upcoming conference. OWASP & WASC AppSec 2007 is scheduled for Nov 12 – 15 @ eBay campus in San Jose, California. This will be an entire conference dedicated to web application security and something not to be missed. In fact, we’re a little nervous because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 venue might be able to fit everyone (300 max) wanting to attend.

Currently we’re busy formalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agenda and coordinating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logistics with parties and events. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wish list pans out, we’ll have an amazing speaker/topic line-up, a ton of industry experts in attendance, security professionals from all over silicon valley, and a hopefully a few surprises to go with it. The official announcement is below and I'll update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog with new developments.

FYI: There are plenty of sponsorship opportunities for interested organizations.

OWASP and WASC have joined forces for this year's AppSec 2007 conference being held at eBay in San Jose, CA on Nov 12-15. A huge concentration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry leading experts will be in attendance presenting high quality web application security content. AppSec 2007 offers a unique opportunity for security professionals, software developers, and IT managers to get up to speed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest attack techniques, defense strategies, and industry trends in an atmosphere of peers. The conference format and venue is also perfect for networking and sharing experiences with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs that are down in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches. AppSec 2007 expects to exceed all attendance records from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previously years, making space extremely limited. There's only room for approximately 300 attendees. So if you're planning to come, please register soon.

For more details and registration:
http://www.owasp.org/index.php/OWASP_&_WASC_AppSec_2007_Conference.

The conference also features:
1) Two full days of tutorials on a wide variety of web application security topics.
http://www.owasp.org/index.php/7th_OWASP_AppSec_Conference_-_San_Jose_2007/Training
2) A web services security track
3) Vendor services and technology expoConference

Location: The AppSec 2007 Conference will be held at eBay at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir facility at: 2211 North First Street in San Jose, CA Nov 12th-15th.

Training Days: Novermber 12th-13th
Main Conference: November 14th-15th

WASC Meetup at IT Security World Conference on Sep 17

WASC is organizing anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Meet-Up during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT Security World Conference (Sep 17-18) in San Francisco @ O'Neills). As usual this will be an informal gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring. No agenda, slide-ware, or sponsors. Baysec is also organizing a meetup during that time and we are hoping to meet ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security professionals from Bay Area. Everyone is welcome and it should be a really fun time!


Please RSVP by email ASAP, if you haven't done so already, so we can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper reservations: (mailto:anurag.agarwal@yahoo.com?subject=WASC%20meetup)

Time: Monday, Sep. 17 @ 7:00pm

Place:

O’Neills Irish Pub
747 3rd StSan Francisco,
CA 94107
Phone: (415) 777-1177

Wednesday, August 22, 2007

WASC WASSEC Project - Update

Thank you all for your patience. We have received an overwhelming response from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WASSEC (Web Application Security Scanner Evaluation Criteria) project. To proceed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project please

1. Please email wasc-wassec-subscribe@webappsec.org and reply to confirmation email.
2. It is moderated subscription so every contributor has to be approved to send messages to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list.
3. Once you are subscribed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n email wasc-wassec@webappsec.org to post messages.

All furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communication will be done through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mailing list. Please keep checking your junk mail folder in case some messages might go cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. We are also in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of setting up a wiki for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 length of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project to post updates, etc. Until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I will be updating my blog with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project details.

Once again, thank you for your participation.

Monday, August 13, 2007

WASC Announcement: 'WASSEC Project' Call for Participants

WASC has announced a new project WASSEC (Web Application Security Scanner Evaluation Criteria). Currently WASC is seeking volunteers from various sections of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community including penetration testers, scanner vendors, security researchers and also end users to contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project.

A brief description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project

The Web Application Security Evaluation Criteria is a set of guidelines to evaluate web application security scanners on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir identification of web application vulnerabilities and its completeness. It will cover things like crawling, parsing, session handling, types of vulnerabilities and information about those vulnerabilities. The goal of this project is to evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application security scanners and NOT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 features provided by it.

The project page can be found at
http://www.webappsec.org/projects/wassec/

If you would like to be involved with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project, please contact Anurag Agarwal (anurag.agarwal@yahoo.com)

Sunday, August 12, 2007

Did WebApp developers learn from Samy worm?

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mozilla Pyjama party during Blackhat, Me and Jeremiah met up with Bubba Gump and he shared with us an interesting story on how he was able to do something similar like Samy worm on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r social networking site. His story just goes to show that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r websites which are still getting hacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way but eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r have no clue or are in a denial mode. We asked him to share his story with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community too and if he can write it for us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I will post it on my blog. The site developers were already notified of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have fixed it so I am posting this story on my blog. Here it goes


Awhile back I read a Newsweek article about a new social networking website called GoLoco.org. This site is designed for making car-pooling arrangements and is run by an environmentalist CEO named Robin Chase. The idea is to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment and save money on gas at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time – an interesting concept.

After signing up for a free account on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GoLoco site, I couldn't help but play around with it a bit. I started by going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Modify Profile page and injecting <> tags into various items in my profile to see what would happen. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, any tag I injected would be properly HTML encoded before being echoed back onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y forgot to lock down two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fields in my profile. Upon furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r experimentation, I found that each field had a max length of 255 characters and could hold a persistent Cross-Site Script. Nice!

Although some very interesting feats could be accomplished with this vulnerability, I sat on this info for awhile – cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Goloco site was new, with only about 1000 users at that time. There wasn't much glory to be had in creating anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Samy worm on this site.

But two weeks later I received an email from Robin Chase. She laid down a challenge – cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Goloco user to exceed her in number of friends would win a free t-shirt. It was almost like she was asking to be XSSed!

I started by inserting some AJAX code into my profile that would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person viewing it automatically POST a request to become my friend. In order to get more people to view my profile, I posted a trip from Boston to California. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site's users are from Boston, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would see this trip listed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir homepage upon logging in. Clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trip Details link would bring up my profile, which would cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to unknowingly make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 friendship request.

I expected to start receiving lots of friendship request emails, but was disappointed at first. An average of just one or two requests came in per day, which reflected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 low amount of traffic on this site and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a user would have to click on my link out of a list of about 20 trips in order to be hit with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSS. Clearly I needed to re-think my approach.

A little more exploration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site led me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breakthrough that I was hoping for. It turns out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trip location names were also Cross-Site Scriptable, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination location name is what showed up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 homepage after a user logs in. This means that users no longer had to click on my link to get hit with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSS – all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y needed to do was log into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd immediately request to become my friend. I did not attempt to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSS payload wormable because I did not want to do anything that would cause damage to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peoples' profiles or trips.
After this new, improved XSS was put in place, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 friendship requests started pouring in at a rate of about 15 per day, which for this particular site was impressive. A nice, unexpected side-effect is that I would receive an email every time a user logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. I quickly got to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage habits of various people – for example, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employees of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site had a strange tendency to log in at 4:00 AM. I also experienced anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unintended side-effect. The site had no controls in place to prevent duplicate friendship requests from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same person, so I began to get spammed with duplicate requests as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same user hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 homepage multiple times. This became annoying after awhile, so I modified my XSS to drop a cookie on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's machine to track whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had submitted a friendship request already – ah, much better!

While waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 friendship requests to come in, I explored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site a bit furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, this time looking for interesting HTML comments. I discovered that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site's developers were displaying private communications between members in HTML comments. I was able to obtain lots of interesting info this way, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site's developers and CEO Robin Chase's cell phone number. This would come in handy later.

After three days, I had built up enough friendship requests to exceed Robin. And in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last person to get hit with my XSS was none ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Robin Chase herself, who logged in bright and early at 6:45 AM. I removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSS, accepted all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 friendship requests that had queued up, and counted my friends – sure enough, I was ready to claim my prize.

Later that morning I called Robin and claimed my t-shirt. Interestingly, she didn't ask me how I obtained her cell phone number or how I had acquired so many friends so quickly. But she congratulated me and told me she'd send me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 t-shirt.

Shortly after that, I got in touch with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people in charge of development for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site and told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security issues, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y quickly addressed. Today, Goloco is integrated with Facebook, so I suspect that it is a bit harder to hack than it used to be. And Robin, if you're reading this I just want to remind you that I'm still waiting for my t-shirt!

-Bubba

My experience at BlackHat and DefCon

I came back from blackhat and defcon last Sunday. I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire 9 days (combined blackhat and defcon) and when i came back, I realized why people said 9 days of Vegas are toooo long. It was my first time to Vegas so I didn’t see it earlier but now i have learnt my lesson. :)

It had been a very enjoyable experience. Though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party really took off on Tuesday night when most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people started to come in for briefings. I had dinner with Mozilla guys along with several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r webappsec professionals. I was talking to Dan from Mozilla and to my surprise; he asked me “What kind of security features would you like to see in firefox”. They also had a discussion with RSnake, Jeremiah Grossman and I am sure with some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r webappsec professionals too. I am impressed by firefox’s approach. They are reaching out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webappsec community and asking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir support and advice in making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir browser more secure. I think it’s a great start and I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will get flooded with suggestions, most of which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won’t be able to include until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next decade but at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are sincere and making an effort(or so it appears, we’ll find out soon enough).

I met with a lot of great guys from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webappsec community including from google, TiVo, verisign, iSECPartners, Outpost24, ebay, Breach, Aspect Security, Ounce Labs, and many more. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m I didn’t know before, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m I had interacted with emails earlier and some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m I did a reflection on, but it’s great to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in person (RSnake, Ryan Barnett, Ivan Ristic, Alex Stamos, Robert Auger, Andrew Van der Stock, Jeff Williams, Dinis Cruz). I spent sometime with id from ha.ckers.org. He takes time in opening up but when he does, he is actually a very nice guy (that is only if you are not planning to take his laptop away from him).

I also got a chance to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ex-L0pht guys, now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own company (SafeLight). Rob Cheyne (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy who wrote LC4 and also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO of SafeLight) handed me his business card in a sleeve. Interesting, why is that? Actually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sleeve is a radio frequency blocking sleeve to protect your RF enabled credit cards from being stolen even when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in safely tucked in your wallet.

Bubba Gump was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r guy I can recall very well since he had a very interesting story to share which I will publish as a separate post as it is well worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read.

The most hilarious presentation of Blackhat and Defcon award goes to Jeff Moss. Jeff Moss made a presentation titled “Cisco Gate” (his experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco IOS flaw presentation fiasco). The content of-course was interesting since everyone wanted to know “behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenes” story but I think his content delivery was equally good. We could not stop laughing through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire length of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation.

Last but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP-WASC party was a huge success. There were over 350 people who came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party. The feedback I got from several people was that it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best party of Blackhat. Many thanks to Heacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cason of Breach Security, who did an excellent job in organizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole show. She also sent me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pictures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party which you can see below.


















Monday, July 02, 2007

Reflection on Dinis Cruz


In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last episode of reflection, we have someone who has become a pillar of OWASP. Dinis Cruz is a chief OWASP evangelist and a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP board. At OWASP, he organizes events such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP Autumn of Code, delivers keynotes and advanced technical presentations on OWASP Conferences and leads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP .Net Project where (amongst ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) he created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools: OWASP Report Generator, OWASP Site Generator, SAM'SHE (Security Analyzer for Microsoft's Shared Hosting Environments) and Asp.Net Reflector. Dinis Cruz is a Security Consultant based in London specialized in Penetration Testing, ASP.NET Application Security, Source-Code Security reviews, Reverse Engineering and Security Curriculum Development. On his reflection, Dinis shares with us how he started in web application security. In his own words

“When I was 10 years old and started programming assembly on my brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r’s ZX Spectrum 48k. I remember being very happy by using PEEK and POKE to manipulate pixels on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen (I also remember translating by hand Assembly Code into Bytes since at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I had a book on assembly but had no compiler (ahhhh, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se kids today have it so easy).

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n went though an Amiga phase (probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best computer ever, which was at that time miles ahead of everybody else), trying to write games and cool demos (again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no Internet available).

After that came cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BBS world with 2400 baud modems, followed by a super fast 14440 Modem and big phone bills. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet arrived I couldn’t get enough of it.

I started with Web Application Security about 6 years ago when I become fascinated on how easy it was to remotely 0wn computers. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n decided to shift my professional focus into security and have not looked back since.

I think my programming background was a big help since once I understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues with security I was able to use those skills to find vulnerabilities (and propose solutions)

On security, my first experiments where with first Edition of Hacking Exposed which taught me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of Network Security, followed by a special focus on ASP Classic and .NET Framework security.

My journey with OWASP started with an email that I sent to Mark Curphey in October 2003 about my research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security implications of running ASP.NET code in Full Trust. Mark replied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge "Hey!, why don’t you publish this material on OWASP and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP .Net project?", which I accepted and have since dedicated considerable amount of energy to it. OWASP is a very empowering, open organization where motivated and focused individuals can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir place and shine. OWASP was a perfect match for my values and professional objectives. I published most of my .NET Research and eventually become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chief OWASP Evangelist.”


Based out of London, UK, Dinis is 32 years old. Below is a list of his contributions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.


Articles:-

Roadmap to a Partial Trust Managed Code world
http://blogs.owasp.org/diniscruz/2007/03/05/roadmap-to-a-partial-trust-managed-code-world/

‘Security Awareness Modes’ & cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘day Microsoft changes’
http://blogs.owasp.org/diniscruz/2007/03/05/security-awareness-modes-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-day-microsoft-changes/

On Microsoft’s lack of Partial Trust Managed Code (PTMC) focus and ideas for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future
http://blogs.owasp.org/diniscruz/2007/03/05/on-microsofts-lack-of-partial-trust-managed-code-ptmc-focus-and-ideas-for-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-future/

I give up, no more posts to Full-Disclosure and DailyDave about Full Trust and .Net /Java Sandboxes
http://archives.neohapsis.com/archives/fulldisclosure/2006-04/0147.html

An 'Asp.Net' accident waiting to happen
http://www.owasp.org/index.php/An_

Microsoft must deliver secure environments not tools to write secure code
http://www.owasp.org/index.php/Microsoft_must_deliver_secure_environments_not_tools_to_write_secure_code
Full Trust Asp.Net Security Vulnerabilties, and Microsoft's current position
http://www.owasp.org/index.php/Full_Trust_Asp.Net_Security_Vulnerabilties,_and_Microsoft

What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Real World' security advantages of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .Net Framework and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JVM?
http://www.owasp.org/index.php/What_are_cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365_

.NET research from OWASP .NET Project

Rooting The CLR (demo files available on request)
http://www.owasp.org/index.php/Rooting_The_CLR

Buffer OverFlow in ILASM and ILDASM
http://www.owasp.org/index.php/Buffer_OverFlow_in_ILASM_and_ILDASM

Full Trust CLR Verification issue: changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Method Parameters order
http://www.owasp.org/index.php/Full_Trust_CLR_Verification_issue:_changing_cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365_Method_Parameters_order

Full Trust CLR Verification issue: changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 return address order
http://www.owasp.org/index.php/Full_Trust_CLR_Verification_issue:_changing_cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365_return_address_order

Full Trust CLR Verification issue: Changing Private Field using Proxy Struct
http://www.owasp.org/index.php/Full_Trust_CLR_Verification_issue:_Changing_Private_Field_using_Proxy_Struct

Full Trust CLR Verification issue: Exploiting Passing Reference Types by Reference
http://www.owasp.org/index.php/Full_Trust_CLR_Verification_issue:_Exploiting_Passing_Reference_Types_by_Reference

Manipulating private method behavior by overriding public virtual methods in public classes
http://www.owasp.org/index.php/Manipulating_private_method_behaviour_by_overriding_public_virtual_methods_in_public_classes

CSharp readonly modifier is not enforced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLR (when in Full Trust)
http://www.owasp.org/index.php/CSharp_readonly_modifier_is_not_inforced_by_cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365_CLR_(when_in_Full_Trust)

ANSI/UNICODE bug in System.Net.HttpListenerRequest
http://www.owasp.org/index.php/ANSI/UNICODE_bug_in_System.Net.HttpListenerRequest


Tools written by him:-

DN_BOFinder (DotNet Buffer Overflow Finder)
http://www.owasp.org/index.php/DN_BOFinder

OWASP Site Generator
http://www.owasp.org/index.php/Owasp_SiteGenerator

OWASP Report Generator
http://www.owasp.org/index.php/Owasp_Report_Generator

.NET Assembly Analyzer
http://www.owasp.org/index.php/.Net_Assembly_Analyzer

New version (v2.0) of Foundstone's HacMe Bank (with Web Services) http://secure.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/hacmebank.htm

Video of above is located here
http://secure.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/videos/hacmebank/index.htm

Foundstone's CodeScout (basic Source code analysis tool) http://secure.foundstone.com/resources/proddesc/codescout.htm

Foundstone's .NETMon (Flow Trace Tool for .NET)
http://secure.foundstone.com/resources/proddesc/dotnetmon.htm

HttpModule for Foundstone’s Validator.NET http://secure.foundstone.com/resources/proddesc/validator.htm

OWASP’s SAMSHE (Security Analyzer for Microsoft's Shared Hosting Environments)
http://www.owasp.org/index.php/SAM
is a part of
http://www.owasp.org/index.php/ANBS

OWASP’s ANSA (Asp.Net Security Analyser)
http://www.owasp.org/index.php/ANSA

Online Active Directory User Management System

Multi-lingual website Content Management System (COTS application)

Windows Security Log Analysis solution

Relational Database for London University Researchers
Back end for travel agency website

E-Commerce system for music publisher selling custom CDs online

Online website Content Management System


Contributions:-

Created and organized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP Autumn of Code 2006 http://www.owasp.org/index.php/OWASP_Autumn_Of_Code_2006

OWASP Spring of Code 2007 http://www.owasp.org/index.php/OWASP_Spring_Of_Code_2007

Participation as a speaker in several Security Conferences (including Keynote presentations at OWASP conferences)

Buffer Overflows on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .Net Framework, 2006 Seattle

Panel: "The role of frameworks (e.g., .Net, Java, Enterprise Library, Struts, JaCorb) in 'forcing' developers to create and deploy 'secure' applications" , 2006 Seattle

Keynote OWASP 2.0 - Enabling organizations to develop, maintain, and acquire applications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can trust, 2006 Europe (Leuven) and 2006 Seattle

Panel: "The role of Sandboxing in creating secure .Net and Java applications.”, 2006 Europe ( Leuven )

Rooting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLR, 2005 Washington DC

The Fog of Software, 2005 London

OWASP DotNet Security tools: DefApp, ANBS, SAM'SHE, ASP.NET Reflector, Beretta, .NETMon , 2005 London

Full Trust Asp.Net Insecurity, 2004 NYC


Videos:

FSTV (Foundstone TV) Interview on '.NET, web security tools, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of OWASP, and ‘Open Source Software' , BlackHat 2006 http://video.google.com/videoplay?docid=941077664562737284

Attacking Web and Windows Apps ( UK 's DDD3 on Jun 2006) http://www.roadtowinfx.com/ddd3/2006-06-03%20Developer%20Developer%20Developer%20session%203.lo%20res.wmv

Attacking Web and Windows Applications (presented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DDD2 on Oct 2005)
http://www.roadtowinfx.com/ddd/2005-10-22_DeveloperDay_session06.wmv

Rooting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLR, OWASP conference in DC's NISC, Oct 2005 http://video.google.com/videoplay?docid=-2492965730809426450&q=owaspLog

Training:-

Advanced Asp.Net Exploits and Countermeasures (IOActive):

London (July 17th/18th)
http://www.nxtgenug.net/Course.aspx?CourseID=4

Black Hat in Las Vegas (July 28th/29th and July 30th/31st )
http://www.blackhat.com/html/bh-usa-07/train-bh-us-07-io-net.html

Advanced Asp.Net Security (Security Compass)

Writing Secure ASP.NET Code (IOActive)

Writing Secure Code - ASP.NET (C#) (Foundstone)

Writing Secure Code Boot Camp ( Intense School / Vigilar)


Memberships:-

OWASP


Company working for:-

Dinis has a main contract with Ounce Labs but continue to do ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r projects and training (for example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat training in Las Vegas for IOActive)


Companies worked for:-

Dinis has been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 director of his UK based company for 10 years now, and have worked (under direct contract) for companies like: Ounce Labs, ABN AMRO, IOActive, Foundstone, Vigilar, Infosys, Security Compass, UK’s Defence Science and Technology Laboratory, UK’s Department for Transport, UK’s Competition Commission and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.


Email:-

Dinis.Cruz at owasp.net


Blog:-

http://blogs.owasp.org/diniscruz


Website:-

http://www.owasp.org/


Education:-

Dinis has 50% of a degree from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Portuguese’s University of Algarve in ‘Computing Systems and Analysis’ (where he completed 3 out of five years) and have 50% of a degree from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK ’s University of Westminster in ‘Commercial Music’ (where he completed 1 and ½ of 3 years).

So basically he has a degree in ‘Computing Commercial Systems and Music Analysis’


Dinis uses both Apple and Windows and prefer to program in C#. When he is not in front of a computer, he likes to spend time with his family, play football, golf, guitar and drums.

With this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reflection project comes to an end. I would like to thank everyone who participated in it and spent time with me in putting all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. It has been truly a fantastic experience.

Last Week - Cesar Cerrudo