Atak typu CSRF (cross site request forgery) polega na wykorzystaniu ogólno przyjętej logiki działania przeglądarek internetowych dotyczących zarządzania sesją użytkownika w otwartych stronach. Standardem jest, że użytkownik może posiadać tylko jedną aktywną sesję w aplikacji internetowej z której aktualnie korzysta. Każda nowo otwarta karta w przeglądarce będzie automatycznie korzystać z… Continue reading →
Badanie podatności typu „path traversal” polega na sprawdzeniu, czy aplikacja internetowa pozwala na nieautoryzowany dostęp do plików lub katalogów do których dostęp powinien być zabroniony. W przeprowadzeniu tego typu ataku wykorzystuje się parametry przekazywane do aplikacji przedstawiające ścieżki do zasobów na których wykonywane są konkretne operacje, np. odczyt, zapis lub… Continue reading →
Proces zarządzania sesją obejmuje w szerokim zakresie wszystkie mechanizmy kontrolne użytkownika od uwierzytelnienia do opuszczenie aplikacji. HTTP jest protokołem bezstanowym, co oznacza, że serwery WWW odpowiada na żądania klienta bez ustanawiania ciągłego połączenia z nim. Z tego względu nawet prosta aplikacja wymaga wysłania przez użytkownika wielu żądań, zanim zostanie powiązana… Continue reading →
Większość użytkowników aplikacji internetowych nie stosuje się do zaleceń stosowania trudnych, nie słownikowych danych dostępowych. Często opierają swoje hasła na słowach i frazach, których łatwo nie zapomną. Słowa te to imiona dzieci, adresy ulic, ulubiona drużyna piłkarska, miejsce urodzenia itp. Konta użytkowników – szczególnie administracyjne powinny być chronione za pomocą… Continue reading →
Wszystkie poufne dane takie jak hasła, loginy, czy też numery kart kredytowych powinny być przesyłane szyfrowanym kanałem pomiędzy klientem, a serwerem. Dzięki temu użytkownik chroniony jest przed atakiem typu „man in the midle”, gdzie atakujący jest wpięty w komunikację pomiędzy użytkownikiem a siecią z której aktualnie korzysta. Ma on dostęp… Continue reading →
Zgodnie ze statystykami prowadzonymi przez organizację OWASP (Open Web Application Security Project) zajmującą się tematyką bezpieczeństwa aplikacji internetowych można wyróżnić dziesięć najczęściej występujących błędów bezpieczeństwa. Grafika poniżej przedstawia częstość wykrywania tych podatności podczas wstępnej oceny ryzyka przez organizację Veracode zajmującej się badaniem bezpieczeństwa aplikacji internetowych. Częstość wykrywania podatności z listy… Continue reading →
Testy penetracyjne można zdefiniować jako legalną i autoryzowaną próbę znalezienia i wykorzystania luk bezpieczeństwa w systemach komputerowych w celu poprawienia bezpieczeństwa tychże systemów. Proces ten obejmuje testowanie luk w zabezpieczeniach jak i również dostarczenie pełnych dowodów ataku tzw. POC (proof of concept). Ma to na celu potwierdzenia tego, że raportowane błędy… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Subskrypcja
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
