Czy w świecie aplikacji coś się zmieniło w ostatnim roku? Czy rozwiązania dużych firm są bezpieczne? Czy do hackowania aplikacji potrzebna jest wiedza tajemna? Czy odkryto ostatnio jakieś nowe trupy w szafie? (aka, podatności, które czekały na odkrycie latami, a były zakopane w tysiącach projektów). Czy z bezpieczeństwem paneli webowych…
Czytaj dalej »
Jeśli jeszcze nie posiadasz naszej książki o bezpieczeństwie aplikacji aplikacji webowych, zapraszamy do nadrobienia zaległości. Z kodem rabatowym ksiazka-bf-25 jest aż 25% taniej! (ale uwaga, tylko do 30.11.2021). Sama książka to blisko 800 stron aktualnej wiedzy (przydatna również dla osób początkujących) o bezpieczeństwie aplikacji webowych. Cała wydrukowana w kolorze: Co…
Czytaj dalej »
Niedawno uruchomiliśmy szkolenie: Dlaczego hackowanie aplikacji webowych jest proste? (i jak temu zapobiec), na które zapisało się aż 8000 osób (!) Teraz czas na kontynuację :) Tym razem wystąpi Michał Bentkowski, który o swojej części kursu pisze tak: W poprzedniej odsłonie „Dlaczego hakowanie aplikacji webowych jest proste” poznaliśmy szereg błędów…
Czytaj dalej »
Na początek trochę informacji o szkoleniu: Co każdy każdy admin/osoba z IT powinna wiedzieć o bezpieczeństwie aplikacji webowych? Tematyka kierowana jest do wszystkich osób zajmujących się szerokopojętym IT w firmach. Z jednej strony jest to temat bardzo ważny – obecnie bardzo dużo ataków na systemy IT odbywa się właśnie przez aplikacje…
Czytaj dalej »
Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są…
Czytaj dalej »
Instalacja, konfiguracja i integracja ze Splunk narzędzia mod_security. A wszystko w służbie bezpieczeństwa aplikacji webowych.
Czytaj dalej »
Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.
Czytaj dalej »
Odświeżam nieco ogłoszenie Securitum – praca dla pentestera aplikacji webowych. Szczegóły w linku. W skrócie: poza dobrą płacą / luźną atmosferą / czasem na research / dzieleniem się wiedzą czy projektami dla dużych organizacji – dla pentesterów dostępny jest m.in. bezpłatny mini bar z coca-colą, sokami / innymi napojami czy…
Czytaj dalej »
Od pewnego czasu obserwujemy bardzo dynamiczny rozwój technologii pozwalających na budowanie aplikacji internetowych jedynie z wykorzystaniem języka JavaScript. Do najpopularniejszych platform umożliwiających taką pracę należy Node.js. Jakie „choroby wieku dziecięcego” jej zagrażają?
Czytaj dalej »
W tekście przedstawiam kilka prostych kroków, które pomogą zwiększyć bezpieczeństwo aplikacji webowej. Są to techniki podstawowe i nie obejmują lokalizacji / usuwania bardziej technicznych podatności jak SQL injection / XSS / OS Command Execution, Path Traversal, Authorization Bypass, itd.
Czytaj dalej »