Publisert
Juni 2002. Om hvor lett man kan lure noen til å utføre en
webhandling de ikke ønsker, og hvordan utviklere kan programmere
for å unngå lureriet.
En sønderklippet versjon ble publisert
i Computerworld 49,
august 2002.
Juni 2001. Om forskjell på infrastruktursikkerhet og
applikasjonssikkerhet, og om problemer som kan oppstå hvis utviklere
tror sikkerhet er noe driftsgutta håndterer alene. Fokus på "SQL
Injection".
Publisert
i Computerworld 47,
juni 2001.
August 2000. Om trivielt sikkerhetshull i Lærerlagets webtjeneste.
Publisert
i Computerworld 58,
august 2000.
Upublisert
August 2003. On extracting secrets using binary search through
scripts vulnerable to SQL Injection.
November 2001. Why it's a bad idea to store clear text passwords in a
database.
|
Utvalgte innlegg i mailinglister
vuln-dev, May 2002. Thoughts on passing data to sub-systems and being
ignorant.
vuln-dev, March 2002. Thoughts on separating input validation and
passing of data to sub-systems.
vuln-dev, March 2002. Why meta character handling is not the same as
input validation.
vuln-dev, January 2002. Examples on how timing may not be an issue
when stealing session cookies with Cross-site Scripting.
webappsec, November 2001. How malicious mails with scripts, read
using Outlook, may control an authenticated HTTPS session in Internet
Explorer.
|