TL;DR JAXP er Oracle Javas XML API som kan brukes for lesing, skriving og prosessering av XML. Alle metodene i JAXP er “vulnerable by design” 🤯 og sårbare for blant annet XXE. Som Javautvikler må du som regel forholde deg til XML, man bør bruke defence-in-depth tankegang, og skru på alle sikkerhets-features for XML. XXE er sårbarheten det fokuseres på i denne artikkelen, men det finnes flere. Ikke tro! Ha håndfaste bevis for deg selv basert på det du selv vet. Dessverre er det ingen shortcuts, fyr opp en kanne kaffe og les JAXP Security Guide. Eller enda bedre, les denne artikkelen, forhåpentligvis ikke så knusktørr!
I decided it in 2020 that was time to up my game and go for the OSCP certification.️ This would be a proof to both myself and the company I work for that I am serious about steering my careerpath from a senior developer to a penetration tester.
As a developer for over 20 years with an interest in security, hacking and vulnerabilities, I had played around with OverTheWire, done some boxes on VulnHub, and participated in some CTF’s here and there, so I decided it in 2020 that was time to up my game and go for the OSCP certification. ☠️ This would be a proof to both myself, and the company I work for that I am serious about steering my careerpath from a senior developer to a penetration tester. I also think that being a developer helps me as a penetration tester.
PST (Politiets Sikkerhetstjeneste) hadde i 2020 også en julekalender. Den ble annonsert via en fiktiv annonse for NPST (Norpolar Sikkerhetstjeneste), som hadde en jobbannonse etter midlertidig stilling som snikende alvebetjent. Dette er en gjennomgang av julekalenderen som var en full CTF.
Denne gangen hadde de introdusert DASS - Digitale Arkiv- og SaksbehandlingsSystem. 🚽
Luke 1 🏴☠️ Flagg
Hei,
Kan du bekrefte at du har fått tilgang til systemet?
Det gjør du ved å svare på denne meldingen med verifiseringskoden RUV{JgkJqPåGtFgvLwnKilgp}.
OBS: Jeg mistet verifiseringskoden din i salaten, så mulig du må rette opp i den før du svarer.
Vennlig hilsen din nærmeste leder
Etterretningstjenestens oppdrag er å avdekke hva eller hvem som truer Norge og Norges interesser, og på den måten bidra til vern av Norge. For å lykkes må vi blant annet skaffe oss tilgang til informasjon. Dette gjør vi ved bruk av ulike metoder og teknikker. En av metodene kaller vi offensive cyberoperasjoner. Etterretningstjenesten er den virksomheten i Norge som gjennomfører offensive cyberoperasjoner. Etterretningstjenesten trenger folk som har potensial til å bli de aller beste innenfor dette fagfeltet, og vi ønsker å tilby talenter en jobb hos oss. De som er kvalifisert vil få et heltidskurs i offensive cyberoperasjoner før de starter sin operative tjeneste.
Etteretningstjenesten har en åpen vurdering av aktuelle sikkerhetsutfordringer for Norge, som ble publisert i Fokus 2020. Fokus er Etterretningstjenestens åpne vurdering av aktuelle sikkerhetsutfordringer for Norge På side 78 av denne var det et hint til en CTF konkurranse, og denne ble også reklamert for. Ved å gå til https://ctf.cybertalent.no/ så kunne man registrere seg og etterhvert delta på konkurransen. Jeg endte opp på en finfin 21. plass til slutt og lærte mye på veien. Konkurransen forgikk ved å bruke SSH for å komme seg inn på konkurranseserveren, hvor man kunne finne noen dokumenter, litt historie, og de faktiske oppgavene. Oppgavene var delt opp i Grunnleggende, Hjernetrim og Oppdrag. La oss hoppe i det!
PST (Politiets Sikkerhetstjeneste) hadde i 2019 en julekalender. Den ble annonsert via en fiktiv annonse for NPST (Norpolar Sikkerhetstjeneste), som hadde en jobbannonse etter midlertidig stilling som snikende alvebetjent. Dette er en gjennomgang av julekalenderen som var en full CTF.
Mot slutten av november i 2019 ble det sluppet en del stillingsannonser og artikler om NPST som utlyser en midlertidig stilling som snikende alvebetjent. Etter å ha gått igjennom en del av stillingsannonsene, Kunne man finne en faktisk link til starten av en veldig gøy CTF arrangert av PST. Man kunne nok ha gjettet seg fram til domenet også.
Adidas smart Run is a fantastic training watch, but Adidas elected to shut down their online service, and left the buyers of the watch with absolutely nothing. At the moment of service shutdown, all the watches got effectively bricked, not possible to update, not possible to upload new workouts, not possible to extract existing workouts. This blog entry is the first in a series with my attempts to make it possible to use your own server for the watch to talk to.
A walkthrough of OverTheWire natas 10 - 14 with tool recommendations, recommendations for further reading, recommendations for protecting your server against attackers, failures and wins. Natas level 10-14 is quite easy, giving you a very gentle introduction to this wargame.
OverTheWire is a wargame site with several challenges. It contains several challenges with a nice increase in difficulty. This is the third entry of a writeup of the natas challenges, which teaches the basics of serverside web-security. I will walk you through the mind-process of searching for and finding vulnerabilities.
A walkthrough of OverTheWire natas 5-9 with tool recommendations, recommendations for further reading, recommendations for protecting your server against attackers, failures and wins. Natas level 5-9 is quite easy, giving you a very gentle introduction to this wargame.
OverTheWire is a wargame site with several challenges. For a beginner it contains several challenges with a nice increase in difficulty. This is the second entry of a writeup of the natas challenges, which teaches the basics of serverside web-security. I will walk you through the mind-process of searching for and finding vulnerabilities.
A walkthrough of OverTheWire natas 0-4 with tool recommendations, recommendations for further reading, recommendations for protecting your server against attackers, failures and wins. Natas level 0-4 is quite easy, giving you a very gentle introduction to this wargame.
OverTheWire is a wargame site with several challenges. For a beginner, it contains several challenges with a nice increase in difficulty. This is the first entry of a writeup of the natas challenges, which teaches the basics of serverside web-security. I will try to walk you through the mind-process of searching for and finding vulnerabilities.
Pagination
Templates (for web app):
Keep going!Keep going ×2!Give me more!Thank you, thank youFar too kind!Never gonna give me up?Never gonna let me down?Turn around and desert me!You're an addict!Son of a clapper!No wayGo back to work!This is getting out of handUnbelievablePREPOSTEROUSI N S A N I T YFEED ME A STRAY CAT
Etteretningstjenesten har en åpen vurdering av aktuelle sikkerhetsutfordringer for Norge, som ble publisert i Fokus 2020. 
Mot slutten av november i 2019 ble det sluppet en del stillingsannonser og 