Retire.js – odpowiedź na pytanie czy nie używasz przestarzałych komponentów

komponenty ze znanymi podatnościami

Ręczne przekopywanie się przez kod źródłowy w celu identyfikacji wszystkich przestarzałych i podatnych na atak bibliotek naszej aplikacji webowej jest ogromnie czasochłonne. Możemy to zadanie nieco zautomatyzować za pomocą narzędzia Retire.js. Jest ono dostępne zarówno z poziomu przeglądarki (Chrome, Firefox) jak i wtyczki do Burpa. „Używanie komponentów ze znanymi podatnościami”… Continue reading

Jak zwiększyć bezpieczeństwo wordpressa? – czyli własny hardening cmsa

wordpress bezpieczeństwo

Treściwa lista rzeczy, które można zrobić aby zwiększyć bezpieczeństwo strony postawionej na wordpresie: przeniesienie/zmiana nazwy pliku wp-login.php, a tym samym domyślnej strony logowania; usunięcie pliku readme.html, który udostępnia wersje wordpressa; skorzystanie z wtyczki “Wordfence” która daje nam:  ochronę w czasie rzeczywistym przed znanymi atakami. Działa to w ten sposób, że… Continue reading

Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

1. Przedstawienie Firmy: Opis zakresu działalności wirtualnej firmy Firma  AGD.COM Sp. z o.o. istnieje od roku 1999, prowadząc od początku działalność opartą o dystrybucję sprzętu AGD/RTV. Jako jedna z pierwszych firm na naszym rynku wprowadziła zasadę – „TANIO I SOLIDNIE”. AGD.COM jest dużym dystrybutorem sprzętu AGD/RTV, który posiada hale magazynowe… Continue reading

Drukowany klucz na podstawie zdjęcia – czyli uważaj co wrzucasz do sieci

W dzisiejszych czasach otacza nas mnóstwo portali społecznościowych, które zalewane są różnego rodzaju treściami użytkowników. Sam chętnie dzielę się zdjęciami swoich wydruków 3d. Jednak nie tylko wrzucanie fotek swojego dowodu czy karty kredytowej do sieci jest złym pomysłem – tych “złych pomysłów” jest naprawdę mnóstwo. Dzisiaj pokażę wam, że wrzucenie… Continue reading

Reagowanie na prośbę o wykonanie czynności w celu uniknięcia incydentu bezpieczeństwa

W celu uniknięcia incydentu bezpieczeństwa polegającego na wykonaniu nieautoryzowanych czynności należy trzymać “złotych” zasad: Nie ufaj osobom o nie zweryfikowanej tożsamości. Zalecane jest przeciwstawianie się prośbom. Wszelkie czynności, które wykonujesz w imieniu innych osób, mogą doprowadzić do naruszenia zasobów firmy. Weryfikuj, weryfikuj i jeszcze raz weryfikuj.

Schemat reagowanie na prośbę o informację w celu uniknięcia wycieku

W celu uniknięcia incydentu bezpieczeństwa polegającego na wycieku poufnych informacji przed ich udzieleniem należy odpowiedzieć na dwa podstawowe pytania: Skąd mogę wiedzieć, że osoba jest tą, za którą się podaje? Skąd mogę wiedzieć czy osoba jest uprawniona do tego, o co prosi? Poniższy diagram będzie pomocny w celu podjęcia odpowiedniej… Continue reading

Kurs testowanie bezpieczeństwa web aplikacji

Mój kolega po fachu od jakiegoś czasu zajmuje się wprowadzaniem w tajniki wiedzy “hackerskiej” osoby początkujące. Jeżeli chciałbyś poszerzyć swoją wiedzę z tematyki IT security lub być może rozpocząć nową ścieżkę kariery to jest to ku temu świetna okazja. Znam Maćka osobiście i z czystym sumieniem mogę polecić możliwość nauki… Continue reading

Polityka bezpieczeństwa systemu IT na przykładzie konfiguracji Firewall i DNS

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia polityki bezpieczeństwa na przykładzie systemu firewall i DNS. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju. Firewall 1.  Firewall ma na celu zwiększenie bezpieczeństwa organizacji za pomocą:  Blokowanie prób nieuprawnionego dostępu (kontrola i ograniczenie dostępu do… Continue reading

Przykładowa procedura bezpieczeństwa systemu IT

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia procedur bezpieczeństwa. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju. Procedura bezpieczeństwa powinna być swoistą instrukcją gdzie czytający ją będzie prowadzony niejako za rączkę po kolejnych wymaganych wdrożenia działań. Obszary w których należy wdrożyć odpowiednie mierniki… Continue reading

Przykładowy raport z rzeczywistego testu penetracyjnego

W ramach swojej pracy magisterskiej miałem okazję przeprowadzić pełny test penetracyjny komercyjnej aplikacji webowej napisanej z użyciem ASP.NET. Wynikiem moich badań jest raport, którym postanowiłem podzielić się w “zaciemnionej” formie z szerszym gronem osób. Materiały tego typu w naszym ojczystym języku są towarem deficytowym. W zasadzie jedyny, który znam z… Continue reading