Bezpieczeństwo aplikacji internetowych.

Google upublicznia RatProxy

Sat, 05 Jul 2008 01:09:08 +0200

Tym razem krótko :)

Michal Zalewski kilka dni temu poinformował na blogu Google'a o upublicznieniu firmowego narzędzia do pasywnego testowania zabezpieczeń aplikacji internetowych, którego przy okazji jest autorem. Więcej info na Google Online Security Blog.

Mail injection

Fri, 04 Jul 2008 20:55:55 +0200

Mimo swojego wieku e-mail pozostaje w czołówce sposobów komunikacji w Internecie. Niemal na każdej stronie firmowej czy domowej można znaleźć adres e-mail umożliwiający skontaktowanie się z jej właścicielem. Na wielu z nich komunikacja jest ułatwiona poprzez wstawienie formularza, którego wypełnienie automatycznie wysyła maila. Działanie takie poza ułatwieniem życia użytkownikom może ułatwić życie także spamerom, ale wróćmy do początku.

Filtr XSS w IE8

Thu, 03 Jul 2008 19:29:50 +0200

Na oficjalnym blogu IE pojawił się wpis informujący o jednej z nowości dodanych do Internet Explorer 8 beta 2 mającej w znacznym stopniu zwiększyć bezpieczeństwo korzystania z Internetu. Mowa o filtrze XSS, który powstał we współpracy z teamem Security Vulnerability Research & Defense.

"Mój" art w Hackin9

Tue, 24 Jun 2008 20:35:01 +0200

W oczekiwaniu na projekcję The Incredible Hulk postanowiłem odwiedzić Empik i zapoznać się z jakże ciekawą zawartością gazet i czasopism IT z bieżącego miesiąca. Na pierwszy ogień poszedł Hackin9 w poszukiwaniu nowych informacji na temat webapp sec. Przerzucając kolejne strony natrafiłem na artykuł, którego tematem był spam, a konkretnie "Techniki spamowania" napisany przez Rafała Podsiadłego. W pierwszej chwili mój wzrok został przyciągnięty przez znajomy kod PHP – a głównie znajome spacje stawiane po i przed nawiasami :). Po pobieżnym zapoznaniu się z artem okazało się, że jego pokaźna część jest dokładną kopią mojej notki Walka ze spambotami.

Nosił wilk razy kilka ...

Wed, 11 Jun 2008 06:01:42 +0200

Jak można było zauważyć w czwartek treść bloga się trochę zmieniła :) Została ona (tak samo jak komentarze) podmieniona. Dla osób którym nie było dane zobaczyć tego zjawiska screen:

Obsługa HTML

Fri, 25 Apr 2008 23:13:53 +0200

Jakiś czas temu w notce Niebezpieczeństwo HTML'a nakreśliłem problem wstrzyknięć kodu HTML. W komentarzach kilkukrotnie pojawiło się pytanie o sposób obrony przed tego typu zagrożeniem.

Najprostszą obroną jest usuwanie wszelkich tagów HTML z przesłanych danych. Możemy tego dokonać korzystając z funkcji strip_tags oraz htmlspecialchars. W przypadku drugiej funkcji warto zainteresować się jej opcjonalnymi parametrami tzn. sposobem postępowania z apostrofami i cudzysłowami oraz kodowaniem. Przykładowy kod chroniący przed HTML Injection dla strony kodowanej UTF-8 może wyglądać tak:

PHPowe filtry

Fri, 11 Apr 2008 11:45:44 +0200

Najważniejszym elementem zapewniającym bezpieczeństwo aplikacji jest dbanie o walidacje i filtrowanie danych zewnętrznych trafiających do skryptu za pośrednictwem tablic superglobalnych.

Większość programistów PHP podczas pracy korzysta z takich funkcji jak ctype_*, preg_mach, strip_tags etc. w celu kontroli danych wejściowych. Niewielu jednak (sądząc po popularności w G) wie o istnieniu / korzysta z mechanizmu wprowadzonego w piątej wersji PHP ułatwiającego ten proces.

Poniżej znajdują się dwa proste przykłady prezentujące jego możliwości.

Dynamiczne logowanie

Fri, 04 Apr 2008 20:42:27 +0200

Każde, nawet najbardziej skomplikowane hasło może zostać złamane. Jedyną niewiadomą w tym procesie jest czas potrzebny do wygenerowania wszystkich możliwych kombinacji znaków. Powodem takiego stanu rzeczy jest statyczność hasła. Mianowicie podczas ataku brute force każdy wygenerowany ciąg znaków porównywany jest zawsze z tym samym hasłem znajdującym się w bazie. Gdyby zapewnić zmienność hasła przy każdym logowaniu sprawdzanie każdej kombinacji przestałoby mieć sens. Poniżej kilka przykładów pokazujących jak można stworzyć dynamiczne logowanie.

Logowanie Apache.

Fri, 28 Dec 2007 18:34:58 +0100

W przypadku logowania, które ma działać, a nie zapewniać nam ogromne możliwości konfiguracji i kontroli użytkowników możemy skorzystać z mechanizmu wbudowanego w serwer Apache. Udostępnia ono dwa tryby logowania basic oraz digest. Różnica między nimi polega na sposobie przesyłania danych do serwera. W przypadku trybu digest dane logowania (login i hasło) przesyłane są w formie skrótu (hash) dzięki czemu przechwycenie ich przez napastnika nic mu nie da (chyba, że skorzysta z tęczowych tablic). Niestety ciągle popularniejszym trybem jest basic, związane jest to z przekonaniem, że nie wszystkie przeglądarki potrafią hashować dane logowania. Jednakże jest to przestarzałe stwierdzenie, ponieważ aktualnie wszystkie popularne przeglądarki posiadają taką możliwość (np. Internet Explorer, Opera, FireFox, Konqueror).

Czas na trochę praktyki.

Podstawy zabezpieczania logowania.

Wed, 26 Dec 2007 22:09:48 +0100

Moduł logowania jest podstawowym elementem każdego systemu informatycznego. Umożliwia on dostęp do wybranych zasobów tylko uprawionym użytkownikom. Jest on krytycznym miejscem aplikacji, przełamanie jego zabezpieczeń automatycznie wiąże sie z przydzieleniem atakującemu wyższych uprawnień. Sposób zabezpieczenia procesu logowania powinien być adekwatny do wrażliwości danych, do których strzeże on dostępu. Nie ma sensu tworzyć skomplikowanych systemów zabezpieczających panel administratora strony domowej, gdzie wystarczy najprostsza metoda logowania.

Istnieją jednak elementy, które powinny znaleźć się w każdym module logowania. Są to: