Megszületett az idei Pwnies végeredménye:
- Legjobb szerver-oldali hiba: Apache Struts2 keretrendszer távoli kódfuttatás - futtass tetszőleges, akeretrendszert használó alkalmazáson keresztül saját kódot egyetlen HTTP kéréssel!
- Legjobb kliens-oldali hiba: Java megbízható metódus láncolás - amely csak utólag került be a jelöltek közé, de a Java biztonsági modelljének feje tetejére állítása tényleg megér egy pónit!
- Legjobb jogosultságkiterjesztés: Windows #GP trap handler - Itt azt hiszem, nem szükséges magyarázat.
- Leginnovatívabb kutatás: Flash mutatók kikövetkeztetése és JIT spraying - ASLR és DEP megkerülés a Flash virtuális gépén keresztül
- Legbénább gyártói válasz: LANrev távoli kódfuttatás - Nyissuk meg a gyerekeink webkameráit a pedofilok előtt, aztán bagatelizáljuk el a problémát, brávó!
- Legeposzibb bukás : (bocs1: hülye fordítás; bocs2: ez kimaradt az előző posztból) XSS az IE8 XSS szűrőjének segítségével - A kimenet kódolása ebben az esetben nem úgy sült el ahogy szerették volna, biztonsági szoftverek biztonsági rései kihazsnálni pedig mindig szívmelengető élmény.
- A Legjobb dal a Pwned - 1337 edition lett a Sophsec előadásában
Szolgálati közlemény: néhány napra elmegyek erdélyi pálinkákat kóstolgatni, jövő héten jövök, addig olvasgassátok a Leginnovatívabb kutatás kategória jelöltjeit!