Mechanizm Service Workers – używanie i nadużywanie

09 maja 2016, 14:48 | Teksty | komentarzy 8
Mechanizm Service Workers – używanie i nadużywanie

Mechanizm Service Workers został wprowadzony w najnowszych wersjach przeglądarek internetowych, by rozwiązać problem, z którym świat aplikacji webowych boryka się od dawna – mianowicie: jak aplikacja powinna się zachowywać w przypadku utraty połączenia z Internetem. Niniejszy artykuł ma na celu przybliżenie zasad działania Service Workers oraz wskazanie największych zagrożeń związanych z tym mechanizmem, którymi w szczególności powinni być zainteresowani twórcy stron internetowych.

Czytaj dalej »

Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych

18 kwietnia 2016, 20:30 | Teksty | komentarzy 11
Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych

Ukryte katalogi oraz pliki pozostawione przez nieuwagę na serwerze WWW, mogą stać się nieocenionym źródłem informacji podczas testu penetracyjnego. W skrajnych sytuacjach, takich jak pozostawiony katalog .git lub .svn, pozwalają na dostęp do kodu źródłowego aplikacji, co w rezultacie skutkuje całkowitą kompromitacją i uzyskaniem nieautoryzowanego dostępu oraz możliwością przeprowadzenia statycznej analizy kodu źródłowego i odkrycia wszystkich luk.

Czytaj dalej »

Wszystko o CSP 2.0 – Content Security Policy jako uniwersalny strażnik bezpieczeństwa aplikacji webowej

12 kwietnia 2016, 20:25 | Teksty | komentarzy 7
Wszystko o CSP 2.0 – Content Security Policy jako uniwersalny strażnik bezpieczeństwa aplikacji webowej

W 2014 roku na Sekuraku (oraz w pierwszym e-zinie) pisaliśmy czym jest Content Security Policy. Była to wtedy młoda technologia utrudniająca eksploatację ataków XSS. Od tego czasu standard mocno się rozwinął. Czy obecna wersja CSP 2.0 jest remedium na nieznane luki XSS? Na jakie problemy można natknąć się podczas wdrożeń CSP?

Czytaj dalej »