Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Archwium kategorii ‘Bezpieczeństwo’

Bezpieczeństwo dostępu do plików

Nieodzownym elementem każdej aplikacji internetowej są pliki tekstowe. Występują one jako miejsce przechowywania danych konfiguracyjnych, szablonów czy samego kodu PHP. Mimo prostoty korzystania z nich należy podjąć pewne kroki, w celu uczynienia tego procesu bezpieczniejszym. Poniżej znajduje się zestawienie kilku sposobów, które to umożliwiają.

Zabezpieczenie mlekiem i miodem płynące

Jednym z elementów bezpieczeństwa sieci komputerowych są garnuszki z miodem (ang. honeypots). Służą one do wykrywania nieautoryzowanego dostępu do elementów sieci. Honeypot występuje w postaci komputera (bądź też aplikacji), którego celem jest skupienie na sobie całej uwagi napastnika, któremu uda się przełamać zabezpieczenia sieci. W przypadku wykrycia aktywności na przygotowanej maszynie administrator informowany jest o […]

Walka ze spambotami

Największą plagą Internetu jest spam i to nie tylko ten w postaci e-maili. W przypadku aplikacji internetowych możemy się z nim spotkać wszędzie tam gdzie użytkownicy mają możliwość dodawania własnej treści do serwisu. Może to mieć miejsce w przypadku for internetowych czy komentarzy do treści zawartych na stronie. W przypadku aplikacji internetowych zadaniem spamu jest […]

Sklep z dziurami

. grzech: przechowywanie haseł klientów w jawnej formie słabe filtrowanie danych wejściowych korzystanie z PostgreSQL – w połączeniu z SQL Injection umożliwia dostęp do całej bazy za pośrednictwem wykonania kilku zapytań za jednym razem pokazywanie komunikatów o błędach publiczny dostęp do logu błędów PostgreSQL – ujawnienie struktury bazy danych nazwa firmy – patrz vivid.com ( […]

Niebezpieczeństwo HTML’a

Od dawna w Internecie przyjęło się, że ataki z rodziny HTML Injection są mało groźne i nie warto się nimi przejmować. Potwierdzeniem tego faktu jest ogromna liczba podatnych stron, w skład których wchodzą takie serwisy jak Onet, Wirtualna Polska, Gazeta.pl, a nawet YouTube. Faktem decydującym o takim stanie rzeczy jest utożsamianie tych ataków z niegroźnymi […]

Phishing w Pasażu Wirtualnej Polski

. grzech: brak filtracji szukanego słowa konsekwencja: umożliwienie ataku XSS / CSRF – umożliwia to phishing Jednym z serwisów wchodzących w skład portalu Wirtualna Polska jest Pasaż. Umożliwia on właścicielom sklepów internetowych prezentacje swoich produktów na łamach WP. Kluczowym elementem Pasażu jest wyszukiwarka umożliwiająca odnalezienia w gąszczu produktów tego, którym jesteśmy zainteresowani. Wpisywane słowo kluczowe […]

Bezpieczeństwo mechanizmu sesji

Czym są sesje? Sesje są rozwiązaniem problemu bezstanowości protokołu HTTP, w którym żądania nie są ze sobą powiązane. Umożliwiają one identyfikacje żądań poszczególnych użytkowników za pomocą przekazania identyfikatora sesji. Jest on dołączany do każdej odpowiedzi serwera jako ciastko, ukryte pole w kodzie strony lub jako dodatkowy parametr adresu URL. Fizycznie są to pliki tekstowe zawierające […]

Błędy na DobraOpcja.pl

. grzech: brak filtracji danych konsekwencja: podatność na XSS, SQL Injection, CSRF możliwość usunięcia konta innego użytkownika Serwis DobraOpcja.pl jest polskim klonem MySpace’a. Jak na serwis web dwa zerowy przystało znajdziemy tam pastelowe kolory, zaokrąglone rogi, oraz jako że jest to polskie web 2.0 – błędy. Błędy, które możemy znaleźć to XSS (wstrzyknięcie własnego kodu […]

Dziurawe Google

. Jedną z usług oferowanych przez Google jest Remove your URL. Umożliwia ona usunięcie swojej strony z indeksu wyszukiwarki Google.

Bezpieczeństwo funkcji hashujących

Wstęp Zadaniem funkcji skrótu (hashujących) jest wygenerowanie krótkiego ciągu znaków (skrótu / hashu) z danych wejściowych. Przykładem użycia może być wygenerowanie 32 znakowego (MD5) skrótu dla pliku, którego rozmiar to 2 GB. Umożliwia to weryfikację poprawności pliku np. po pobraniu go z Internetu możemy porównać hashe, by dowiedzieć się, czy został pobrany poprawnie. Inne zastosowanie […]