Low-level hacking

Jakiś czas temu niefortunnie przypiąłem sobie plakietkę - "Przemek od OWASPa". Stało się to pewnie za pomocą udziału w grancie i aktywności na spotkaniach OWASP Poland Local Chapter. Zapewne ten i poprzedni blog, który w dużej części zawiera wpisy dotyczące bezpieczeństwa aplikacji webowych nie pomaga mi pokazać tego co naprawdę lubię i od zawsze szanuję. Nawet praca dyplomowa była o WAF'ach..., a przez 3 lata pracowałem dla jednego z największych portali w Polsce - pozdrowienia dla całej ekipy z tych lat! :) Ja rozumiem, że jest taki trend. XSS'y to dzisiaj współczesny shellcode, który kiedyś był pisany w staranności co do bajta. Właśnie o tych bajtach, rejestrach i językach niskiego poziomu zapomnieć nie mogę.

Dzisiaj Adam podesłał mi URL'a do swojego bloga i materiałów z konferencji, na których był prelegentem - tu i tu. Część prezentacji znałem, bo widzieliśmy się na tym imprezach (choćby ostatnio na FIŚ'ie), ale dały mi one do myślenia. Czy większość swojego czasu poświęcam zagadnieniom, które dają mi prawdziwą radość i satysfakcję? Przecież na początku mojej kariery zawodowej (umowa o pracę - pełny etat) prowadziłem podobną prezentację. Pamiętny rok 2004, pawilon konferencyjno-wystawowy "Kotłownia" i temat "Bezpieczne programowanie - zagrożenia i ochrona". W prezentacji na dość wysokiem poziomie abstrakcji podszedłem do opisywach podatności przez co wydaje mi się, że nie straciła bardzo na czasie. Wiadomo, trochę inaczej organizowany jest kod przez kompilatory, struktury danych wyglądają nieco odmiennie choćby z uwagi na architekturę, wykorzystuje się teraz podatności, które wtedy były uznawane za odporne na kontrolę przez piszącego exploita, ale nadal spotykam wiele osób, które o format string czy signal race nie słyszeli... w ogóle.

Co będzie ze mną dalej? \x90\x90 ;) Będzie dobrze.