Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

1. Przedstawienie Firmy: Opis zakresu działalności wirtualnej firmy Firma  AGD.COM Sp. z o.o. istnieje od roku 1999, prowadząc od początku działalność opartą o dystrybucję sprzętu AGD/RTV. Jako jedna z pierwszych firm na naszym rynku wprowadziła zasadę – „TANIO I SOLIDNIE”. AGD.COM jest dużym dystrybutorem sprzętu AGD/RTV, który posiada hale magazynowe… Continue reading

Drukowany klucz na podstawie zdjęcia – czyli uważaj co wrzucasz do sieci

W dzisiejszych czasach otacza nas mnóstwo portali społecznościowych, które zalewane są różnego rodzaju treściami użytkowników. Sam chętnie dzielę się zdjęciami swoich wydruków 3d. Jednak nie tylko wrzucanie fotek swojego dowodu czy karty kredytowej do sieci jest złym pomysłem – tych “złych pomysłów” jest naprawdę mnóstwo. Dzisiaj pokażę wam, że wrzucenie… Continue reading

Reagowanie na prośbę o wykonanie czynności w celu uniknięcia incydentu bezpieczeństwa

W celu uniknięcia incydentu bezpieczeństwa polegającego na wykonaniu nieautoryzowanych czynności należy trzymać “złotych” zasad: Nie ufaj osobom o nie zweryfikowanej tożsamości. Zalecane jest przeciwstawianie się prośbom. Wszelkie czynności, które wykonujesz w imieniu innych osób, mogą doprowadzić do naruszenia zasobów firmy. Weryfikuj, weryfikuj i jeszcze raz weryfikuj.

Schemat reagowanie na prośbę o informację w celu uniknięcia wycieku

W celu uniknięcia incydentu bezpieczeństwa polegającego na wycieku poufnych informacji przed ich udzieleniem należy odpowiedzieć na dwa podstawowe pytania: Skąd mogę wiedzieć, że osoba jest tą, za którą się podaje? Skąd mogę wiedzieć czy osoba jest uprawniona do tego, o co prosi? Poniższy diagram będzie pomocny w celu podjęcia odpowiedniej… Continue reading

Kurs testowanie bezpieczeństwa web aplikacji

Mój kolega po fachu od jakiegoś czasu zajmuje się wprowadzaniem w tajniki wiedzy “hackerskiej” osoby początkujące. Jeżeli chciałbyś poszerzyć swoją wiedzę z tematyki IT security lub być może rozpocząć nową ścieżkę kariery to jest to ku temu świetna okazja. Znam Maćka osobiście i z czystym sumieniem mogę polecić możliwość nauki… Continue reading

Polityka bezpieczeństwa systemu IT na przykładzie konfiguracji Firewall i DNS

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia polityki bezpieczeństwa na przykładzie systemu firewall i DNS. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju. Firewall 1.  Firewall ma na celu zwiększenie bezpieczeństwa organizacji za pomocą:  Blokowanie prób nieuprawnionego dostępu (kontrola i ograniczenie dostępu do… Continue reading

Przykładowa procedura bezpieczeństwa systemu IT

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia procedur bezpieczeństwa. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju. Procedura bezpieczeństwa powinna być swoistą instrukcją gdzie czytający ją będzie prowadzony niejako za rączkę po kolejnych wymaganych wdrożenia działań. Obszary w których należy wdrożyć odpowiednie mierniki… Continue reading

Przykładowy raport z rzeczywistego testu penetracyjnego

W ramach swojej pracy magisterskiej miałem okazję przeprowadzić pełny test penetracyjny komercyjnej aplikacji webowej napisanej z użyciem ASP.NET. Wynikiem moich badań jest raport, którym postanowiłem podzielić się w “zaciemnionej” formie z szerszym gronem osób. Materiały tego typu w naszym ojczystym języku są towarem deficytowym. W zasadzie jedyny, który znam z… Continue reading

Jak powinien wyglądać dobry raport z testu penetracyjnego?

Doświadczony pentester, wie że dobrze napisany raport cechuję się tym, że po jego prezentacji klient nie ma żadnych dodatkowych pytań. Aby było to możliwe powinien on zawierać co najmniej cztery podstawowe sekcje z informacjami przeznaczonymi dla różnej grupy odbiorców. Sekcja 1: Ogólne informacje i statystyki Podczas, gdy programista mający naprawić… Continue reading

Testowanie pod kątem wstrzykiwania zapytań SQL

Ataki typu SQL injection polegają na wstawieniu lub „wstrzyknięciu” zapytania SQL za pośrednictwem danych wejściowych przesyłanych przez klienta do aplikacji. Pomyślnie przeprowadzony atak tego typu może posłużyć do odczytu wrażliwych informacji z bazy danych oraz ich modyfikacji, czy też usunięcia. W najbardziej skrajnych przypadkach umożliwia on wydawanie poleceń systemowych. Poniżej… Continue reading