-
Google upublicznia RatProxy
Tym razem krótko :) Michal Zalewski kilka dni temu poinformował na blogu Google’a o upublicznieniu firmowego narzędzia do pasywnego testowania zabezpieczeń aplikacji internetowych, którego przy okazji jest autorem. Więcej info na Google Online Security Blog.
-
Mail injection
Mimo swojego wieku e-mail pozostaje w czołówce sposobów komunikacji w Internecie. Niemal na każdej stronie firmowej czy domowej można znaleźć adres e-mail umożliwiający skontaktowanie się z jej właścicielem. Na wielu z nich komunikacja jest ułatwiona poprzez wstawienie formularza, którego wypełnienie automatycznie wysyła maila. Działanie takie poza ułatwieniem życia użytkownikom może ułatwić życie także spamerom, ale…
-
Filtr XSS w IE8
Na oficjalnym blogu IE pojawił się wpis informujący o jednej z nowości dodanych do Internet Explorer 8 beta 2 mającej w znacznym stopniu zwiększyć bezpieczeństwo korzystania z Internetu. Mowa o filtrze XSS, który powstał we współpracy z teamem Security Vulnerability Research & Defense.
-
„Mój” art w Hackin9
W oczekiwaniu na projekcję The Incredible Hulk postanowiłem odwiedzić Empik i zapoznać się z jakże ciekawą zawartością gazet i czasopism IT z bieżącego miesiąca. Na pierwszy ogień poszedł Hackin9 w poszukiwaniu nowych informacji na temat webapp sec. Przerzucając kolejne strony natrafiłem na artykuł, którego tematem był spam, a konkretnie „Techniki spamowania” napisany przez Rafała Podsiadłego.…
-
Nosił wilk razy kilka …
Jak można było zauważyć w czwartek treść bloga się trochę zmieniła :) Została ona (tak samo jak komentarze) podmieniona. Dla osób którym nie było dane zobaczyć tego zjawiska screen: Niestety nie znam przyczyny błędu, ponieważ Progreso trzyma logi tylko z aktualnego dnia, a jako że na mój ticket wysłany do supportu odpowiedzieli po 5 dniach…
-
Obsługa HTML
Jakiś czas temu w notce Niebezpieczeństwo HTML’a nakreśliłem problem wstrzyknięć kodu HTML. W komentarzach kilkukrotnie pojawiło się pytanie o sposób obrony przed tego typu zagrożeniem. Najprostszą obroną jest usuwanie wszelkich tagów HTML z przesłanych danych. Możemy tego dokonać korzystając z funkcji strip_tags oraz htmlspecialchars. W przypadku drugiej funkcji warto zainteresować się jej opcjonalnymi parametrami tzn.…
-
PHPowe filtry
Najważniejszym elementem zapewniającym bezpieczeństwo aplikacji jest dbanie o walidacje i filtrowanie danych zewnętrznych trafiających do skryptu za pośrednictwem tablic superglobalnych. Większość programistów PHP podczas pracy korzysta z takich funkcji jak ctype_*, preg_mach, strip_tags etc. w celu kontroli danych wejściowych. Niewielu jednak (sądząc po popularności w G) wie o istnieniu / korzysta z mechanizmu wprowadzonego w…
-
Dynamiczne logowanie
Każde, nawet najbardziej skomplikowane hasło może zostać złamane. Jedyną niewiadomą w tym procesie jest czas potrzebny do wygenerowania wszystkich możliwych kombinacji znaków. Powodem takiego stanu rzeczy jest statyczność hasła. Mianowicie podczas ataku brute force każdy wygenerowany ciąg znaków porównywany jest zawsze z tym samym hasłem znajdującym się w bazie. Gdyby zapewnić zmienność hasła przy każdym…
-
Logowanie Apache
W przypadku logowania, które ma działać, a nie zapewniać nam ogromne możliwości konfiguracji i kontroli użytkowników możemy skorzystać z mechanizmu wbudowanego w serwer Apache. Udostępnia ono dwa tryby logowania basic oraz digest. Różnica między nimi polega na sposobie przesyłania danych do serwera. W przypadku trybu digest dane logowania (login i hasło) przesyłane są w formie…
-
Podstawy zabezpieczania logowania.
Moduł logowania jest podstawowym elementem każdego systemu informatycznego. Umożliwia on dostęp do wybranych zasobów tylko uprawionym użytkownikom. Jest on krytycznym miejscem aplikacji, przełamanie jego zabezpieczeń automatycznie wiąże sie z przydzieleniem atakującemu wyższych uprawnień. Sposób zabezpieczenia procesu logowania powinien być adekwatny do wrażliwości danych, do których strzeże on dostępu. Nie ma sensu tworzyć skomplikowanych systemów zabezpieczających…