Trochę statystyk z pracy pentestera 2018-2020

Top 12 Vulnerabilities pentesting

Od kilku ostatnich lat zbieram dane statystyczne z wyników swoich badań nad bezpieczeństwem komputerowym. Postanowiłem się nimi nieco podzielić. Tutaj możesz znaleźć przykładowy raport z testu penetracyjnego – raport. W dużej liczbie wywiadów z testerami penetracyjnymi słyszę pytanie – „Czy bezpieczeństwo aplikacji internetowych poprawiło się na przestrzeni lat?”. Moim zdaniem… Continue reading

Przykładowa polityka haseł

polityka haseł

Poniższa przykładowa polityka haseł bierze pod uwagę stan wiedzy na temat wydajności i możliwości różnego rodzaju ataków na systemy kryptograficzne w 2020 roku. W miarę możliwości będę starał się ja uaktualniać (gdy okaże się, że jest już za słaba). Statyczne hasła w systemach IT powinny: być długości nie mniejszej niż… Continue reading

Testowanie pod kątem wstrzykiwania kodu javascript.

Testowanie pod kątem wstrzykiwania kodu javascript

XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie… Continue reading

Najczęstsze podatności aplikacji webowych

Najczęstsze podatności aplikacji webowych

Zgodnie ze statystykami prowadzonymi przez organizację OWASP (Open Web Application Security Project) zajmującą się tematyką bezpieczeństwa aplikacji internetowych można wyróżnić dziesięć najczęściej występujących błędów bezpieczeństwa. Grafika poniżej przedstawia częstość wykrywania tych podatności podczas wstępnej oceny ryzyka przez organizację Veracode zajmującej się badaniem bezpieczeństwa aplikacji internetowych. Częstość wykrywania podatności z listy… Continue reading