Archwium kategorii ‘Bezpieczeństwo aplikacji internetowych’
Open redirect – zabezpieczenie na przykładzie Gazeta.pl
Czym są otwarte przekierowania można przeczytać w jednej z ostatnich notek na temat występowania tego błędu na stronach Wydawnictwa Helion. W poniższej notce skupimy się na sposobach zabezpieczenia serwisu przed tego typu podatnością na podstawie serwisów newsowych portalu Gazeta.pl.
Ochrona przed spamem (żniwiarkami)
Ostatnim czasem wyszedłem z założenia, że warto by wspomnieć o możliwości obrony przed programami zbierającymi adresy e-mail ze stron przy pomocy CSS. Mimo że sposób ten jest bardzo prosty nie kojarzę, abym spotkał się z nim na przeglądanych przeze mnie stronach.
Podstawowe zasady bezpieczeństwa.
Poniżej kilka podstawowych zasad, które wszyscy znają, ale często się o nich zapomina :-) Traktuj użytkownika jako wroga. Nie ufaj danym przesyłanym do aplikacji, wszelkie przychodzące dane należy traktować jako niebezpieczne. Sprawdzaj dane przychodzące. Sprawdzaj czy przesyłane dane są odpowiedniego typu, czy maja odpowiednia długość i czy pasują do wzorca. Nie korzystaj z tablic superglobalnych. […]
Bezpieczeństwo dostępu do plików
Nieodzownym elementem każdej aplikacji internetowej są pliki tekstowe. Występują one jako miejsce przechowywania danych konfiguracyjnych, szablonów czy samego kodu PHP. Mimo prostoty korzystania z nich należy podjąć pewne kroki, w celu uczynienia tego procesu bezpieczniejszym. Poniżej znajduje się zestawienie kilku sposobów, które to umożliwiają.
Zabezpieczenie mlekiem i miodem płynące
Jednym z elementów bezpieczeństwa sieci komputerowych są garnuszki z miodem (ang. honeypots). Służą one do wykrywania nieautoryzowanego dostępu do elementów sieci. Honeypot występuje w postaci komputera (bądź też aplikacji), którego celem jest skupienie na sobie całej uwagi napastnika, któremu uda się przełamać zabezpieczenia sieci. W przypadku wykrycia aktywności na przygotowanej maszynie administrator informowany jest o […]
Walka ze spambotami
Największą plagą Internetu jest spam i to nie tylko ten w postaci e-maili. W przypadku aplikacji internetowych możemy się z nim spotkać wszędzie tam gdzie użytkownicy mają możliwość dodawania własnej treści do serwisu. Może to mieć miejsce w przypadku for internetowych czy komentarzy do treści zawartych na stronie. W przypadku aplikacji internetowych zadaniem spamu jest […]
Bezpieczeństwo mechanizmu sesji
Czym są sesje? Sesje są rozwiązaniem problemu bezstanowości protokołu HTTP, w którym żądania nie są ze sobą powiązane. Umożliwiają one identyfikacje żądań poszczególnych użytkowników za pomocą przekazania identyfikatora sesji. Jest on dołączany do każdej odpowiedzi serwera jako ciastko, ukryte pole w kodzie strony lub jako dodatkowy parametr adresu URL. Fizycznie są to pliki tekstowe zawierające […]
Bezpieczeństwo funkcji hashujących
Wstęp Zadaniem funkcji skrótu (hashujących) jest wygenerowanie krótkiego ciągu znaków (skrótu / hashu) z danych wejściowych. Przykładem użycia może być wygenerowanie 32 znakowego (MD5) skrótu dla pliku, którego rozmiar to 2 GB. Umożliwia to weryfikację poprawności pliku np. po pobraniu go z Internetu możemy porównać hashe, by dowiedzieć się, czy został pobrany poprawnie. Inne zastosowanie […]