Tag: bezpieczeństwo

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Afera Edwarda Snowdena pokazała, że Internet nie jest już medium, w którym łatwo można dzielić się treścią w sposób anonimowy. Dowiedzmy się, jakie mechanizmy są używane przez Wielkiego Brata – osoby prywatne, firmy czy rząd – aby śledzić aktywność przeglądarek użytkowników Internetu.

O bezpieczeństwie Androida oraz iOS (zarówno od strony systemu operacyjnego, infrastruktury i rynku malware) pisaliśmy już jakiś czas temu. Od dłuższego czasu w systemie Google-a dostępne są takie mechanizmy bezpieczeństwa jak: Sandboxing, SELinux, ASLR, Fortify Source, szyfrowanie danych urządzenia, ostrzeżenia przed wysyłką SMS-ów premium, itd. Mająca już parę miesięcy, piąta…

OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.

Mój przegląd pozycji książkowych dotyczących bezpieczeństwa platformy Android pozwolił odkryć krótką, ale dość ciekawą książkę: „Application Security for the Android Platform” autorstwa Jeff’a Six.

Ciekawa prezentacja z końca 2014 roku o hackowaniu urządzenia Cisco ASA. Pewnie część z Was myśli, że software w tym urządzeniu to jakieś tajne i skomplikowane oprogramowanie Cisco, a tak naprawdę to… scustomizowany Linux :) a metody jego rootowania są dość proste: W każdym razie, zainteresowanych tematyką bezpieczeństwa ASY, odsyłam…

Od kilku godzin świat obiega informacja o szczegółach nowego ataku na protokół SSLv3, którego ochrzczono akronimem “POODLE“. Bezpieczeństwo transmisji danych w 2014 roku po raz kolejny dostało siarczysty policzek. 

Nie od wczoraj wiadomo, że programy antywirusowe chronią wyłącznie przeciwko najpopularniejszym zagrożeniom rozprzestrzenianym na masową skalę. Ostatnio opublikowane badania dotyczące omijania dynamicznej analizy antywirusowej po raz kolejny to potwierdziły.

Wykrywanie podatności w aplikacjach internetowych z reguły polega na enumeracji tzw. punktów wejścia, manipulowaniu żądaniami HTTP oraz analizie odpowiedzi. Skuteczność takiego przepływu pracy można zwiększyć dzięki Burp Proxy. Zobaczmy, jak z jego pomocą wykonywać podstawowe testy bezpieczeństwa web aplikacji.

Pośrednik HTTP analizujący ruch między przeglądarką a serwerami WWW jest podstawowym narzędziem pracy testera web aplikacji. Burp Suite – popularne akcesorium bezpieczeństwa skonstruowane wokół funkcji lokalnego proxy – jest narzędziem, koło którego żaden inżynier bezpieczeństwa nie może przejść obojętnie.

Po krótkim wstępie do narzędzi wspomagających analizę stron internetowych, nadszedł czas na trochę praktyki. Poznajmy kilka tricków, które uprzyjemnią pracę z Chrome DevTools i pozwolą zaoszczędzić nam trochę czasu podczas testowania bezpieczeństwa web–aplikacji. Zacznijmy od panelu Network.

Analiza kodu stron internetowych może być koszmarem – mieszanina HTML/JS/CSS jest często plątaniną wielu bibliotek, kontekstów, zdarzeń oraz zmiennych, w których łatwo się pogubić. Zniechęca to nie tylko web developerów, ale również inżynierów bezpieczeństwa, do przeprowadzania szczegółowej inspekcji kodu, który zostaje zwracany przez serwer web aplikacji. Poznajmy kilka sztuczek, które ułatwią analizę elementów budujących współczesne strony internetowe.

Ze względu na niezwykle dużą skalę niektórych rozproszonych ataków odmowy dostępu do usługi ochrona przeciwko nim jest bardzo trudna. Zapobieganie atakom DDoS wymaga wiele pracy administratorów, inwestycji w sprzęt i oprogramowanie, a nawet współpracę z dostawcami internetowymi oraz organami ścigania. Jest to bardzo duży koszt, na który nie mogą pozwolić sobie wszystkie firmy, a w szczególności osoby prywatne. Jak radzić sobie z takim problem?

Zielona kłódka w pasku adresu przeglądarki internetowej daje poczucie bezpieczeństwa. Niestety może okazać się, że prefiks HTTPS przed adresem strony wcale nie zagwarantuje nam uwierzytelnienia, integralności oraz poufności komunikacji, których oczekujemy od protokołu SSL.

Wyobraźmy sobie sytuację, w której podejrzewamy, że dokumenty z firmy są wykradane, ale brak nam na to dowodów. Przygotowujemy zatem plik Worda z odniesieniem do zewnętrznego obrazka na naszym serwerze, licząc na to, że włamywacze spróbują otworzyć ten dokument. Jeżeli haczyk zostanie połknięty, otrzymamy cenną informację, że rzeczywiście plik został otwarty, dodatkowo poznając adres IP owego niepożądanego czytelnika…