BSidesLjubljana dnevnik s komentarji. https://0x7e8.bsidesljubljana.si/schedule/

Obiskal sem:
* SSXSS: Žal ni predstavil nobene resne težave, ki izhaja samo z SXSSS. Predstavljeni napadi so pod predpostavko, da obstajajo poleg renderer browserja še ostali vulnerable programi.
* DOCX OLE weaponization: Edini impact enournega predavanja je word dokument, ki ob dvojnem kliku kjerkoli na strani naredi HTTP GET na poljuben URL in nato odpre popup "[Run] or [Save] the file?". Vse nadaljne stvari temeljijo na predpostavki, da uporabnik klikne na "Run file xxx.bat from 123.45.67.8:8080".
* Exploting Win drivers: zelo zanimiva predstavitev, bila mi je zelo všeč. Za eksploitacijo teh bring your own vulnerable driver vulnov sicer mora napadalec že imeti dostop do administratorskega računa na windowsih, kar mi je kot linuksašu zelo čudno -- ko imamo administratorski dostop, imamo itak pod nadzorom cel računalnik. no, windows je malce čuden glede tega in je considered security vuln, če admin dobi kernel code execution. Na linuxu je pričakovano, da root (razen root v user namespaceu) lahko izvede kodo v jedru. afaik.
* picousb: spet eno zelo dobro predavanje. brez pripomb.
* k8s: zanimivo, toda k8s nikoli nisem uporabljal, zato mi je veliko predstavljenih konceptov španska vas.
* hekanje pametnega stanovanja: super izvrstno predavanje, brez pripomb. se mi zdi da sem o tem pred leti že bral na hackernews.
* k8s dynamic admission control: nisem poslušal predavanja, sem pa opazil hvale vredno zanimivost -- predavatelju se je pod projekcijo izpisovala vrstica s sproti generiranimi podnapisi. res uporabno, ko se slabo sliši ali če angleščine ne razumeš dobro. za generiranje je uporabljal v google slides vgrajeno funkcionalnost (deluje s chromium brskalnikom).
* scanning the internet in < 5' on a budget: