Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Archwium kategorii ‘Bezpieczeństwo’

ClickJacking

W połowie poprzedniego miesiąca Robert „RSnake” Hansen informował na swoim blogu o nowym zagrożeniu. Wraz z Jeremiahem Grossmanem mieli zaprezentować owe niebezpieczeństwo na konferencji OWASP. Niestety do prezentacji nie doszło. Chłopaki uznali ze (tudzież ulegli naciskom) lepiej poczekać z opisem ClickJackingu (inna nazwa UI redress attack) do momentu załatania podatnych app.

Kontrola długości danych

Czy podczas pobierania danych od użytkowników, które następnie przesyłane są do bazy kontrolujecie ich długość? Generalnie jeśli nie operujemy na wrażliwych danych operacje tą można pominąć. Podczas zapisu zbyt dużej porcji danych SZBD usunie jej nadmiar i ukończy operacje z powodzeniem nie generując żadnego błędu. Jednak czy na pewno kwestia kontroli długości danych jest błahą […]

Google upublicznia RatProxy

Tym razem krótko :) Michal Zalewski kilka dni temu poinformował na blogu Google’a o upublicznieniu firmowego narzędzia do pasywnego testowania zabezpieczeń aplikacji internetowych, którego przy okazji jest autorem. Więcej info na Google Online Security Blog.

Mail injection

Mimo swojego wieku e-mail pozostaje w czołówce sposobów komunikacji w Internecie. Niemal na każdej stronie firmowej czy domowej można znaleźć adres e-mail umożliwiający skontaktowanie się z jej właścicielem. Na wielu z nich komunikacja jest ułatwiona poprzez wstawienie formularza, którego wypełnienie automatycznie wysyła maila. Działanie takie poza ułatwieniem życia użytkownikom może ułatwić życie także spamerom, ale […]

Filtr XSS w IE8

Na oficjalnym blogu IE pojawił się wpis informujący o jednej z nowości dodanych do Internet Explorer 8 beta 2 mającej w znacznym stopniu zwiększyć bezpieczeństwo korzystania z Internetu. Mowa o filtrze XSS, który powstał we współpracy z teamem Security Vulnerability Research & Defense.

Obsługa HTML

Jakiś czas temu w notce Niebezpieczeństwo HTML’a nakreśliłem problem wstrzyknięć kodu HTML. W komentarzach kilkukrotnie pojawiło się pytanie o sposób obrony przed tego typu zagrożeniem. Najprostszą obroną jest usuwanie wszelkich tagów HTML z przesłanych danych. Możemy tego dokonać korzystając z funkcji strip_tags oraz htmlspecialchars. W przypadku drugiej funkcji warto zainteresować się jej opcjonalnymi parametrami tzn. […]

PHPowe filtry

Najważniejszym elementem zapewniającym bezpieczeństwo aplikacji jest dbanie o walidacje i filtrowanie danych zewnętrznych trafiających do skryptu za pośrednictwem tablic superglobalnych. Większość programistów PHP podczas pracy korzysta z takich funkcji jak ctype_*, preg_mach, strip_tags etc. w celu kontroli danych wejściowych. Niewielu jednak (sądząc po popularności w G) wie o istnieniu / korzysta z mechanizmu wprowadzonego w […]

Dynamiczne logowanie

Każde, nawet najbardziej skomplikowane hasło może zostać złamane. Jedyną niewiadomą w tym procesie jest czas potrzebny do wygenerowania wszystkich możliwych kombinacji znaków. Powodem takiego stanu rzeczy jest statyczność hasła. Mianowicie podczas ataku brute force każdy wygenerowany ciąg znaków porównywany jest zawsze z tym samym hasłem znajdującym się w bazie. Gdyby zapewnić zmienność hasła przy każdym […]

Logowanie Apache

W przypadku logowania, które ma działać, a nie zapewniać nam ogromne możliwości konfiguracji i kontroli użytkowników możemy skorzystać z mechanizmu wbudowanego w serwer Apache. Udostępnia ono dwa tryby logowania basic oraz digest. Różnica między nimi polega na sposobie przesyłania danych do serwera. W przypadku trybu digest dane logowania (login i hasło) przesyłane są w formie […]

Podstawy zabezpieczania logowania.

Moduł logowania jest podstawowym elementem każdego systemu informatycznego. Umożliwia on dostęp do wybranych zasobów tylko uprawionym użytkownikom. Jest on krytycznym miejscem aplikacji, przełamanie jego zabezpieczeń automatycznie wiąże sie z przydzieleniem atakującemu wyższych uprawnień. Sposób zabezpieczenia procesu logowania powinien być adekwatny do wrażliwości danych, do których strzeże on dostępu. Nie ma sensu tworzyć skomplikowanych systemów zabezpieczających […]