Po czterech latach dostępna jest nowa wersja dokumentu OWASP Top Ten - opisująca 10 największych ryzyk dotyczących bezpieczeństwa aplikacji webowych. Edycja 2017 wprowadza sporo rewolucji, jest to m.in. pojawienie się kilku zupełnie nowych kategorii ryzyk: XXE (na wysokiej pozycji czwartej), - o którym mamy już od dawana sporo informacji na...
Czytaj dalej »Na start - jak chcecie zobaczyć takiego zip-a - proszę. To przykład zip bomby, zipa śmierci, czy bomby dekompresyjnej. W przykładzie z tytułu, ktoś zdenerwował się ciągłym skanowaniem swojego serwisu i postanowił odsyłać zip-bomby (warto zwrócić uwagę na dyskusyjną legalność takiego działania...). W tym przypadku została użyta prostsza bomba, gdzie plik...
Czytaj dalej »
Czwarty numer magazynu Sekurak/Offline dotyczy jeszcze raz tematu bezpieczeństwa aplikacji webowych. Tym razem wracamy z kolejnym wydaniem po pół roku i mamy dla Was 70 stron.
Czytaj dalej »Interesujący research dotyczący plików PDF, a raczej serwisów które je przetwarzają. Autor wykorzystuje fakt często automatycznej konwersji (po stronie serwerowej) plików PostScript na PDF. Sam plik PostScript, jak sama nazwa wskazuje jest małym skryptem, który finalnie wyświetla się jako dokument, przykład z Wikipedii:
|
1 2 3 4 5 6 7 8 9 10 |
%!PS /Courier % name the desired font 20 selectfont % choose the size in points and establish % the font as the current one 72 500 moveto % position the current point at % coordinates 72, 500 (the origin is at the % lower-left corner of the page) (Hello world!) show % stroke the text in parentheses showpage % print all on the page |
Pliki .ps mogą robić też więcej...
Czytaj dalej »
Amerykański programista, Jamie Zawinski, napisał kiedyś słynne słowa o wyrażeniach regularnych: “Niektórzy ludzie, gdy napotykają na problem, myślą sobie: »Wiem! Użyję wyrażeń regularnych«. I teraz mają dwa problemy”. W tym artykule przekonamy się jak prawdziwe są to słowa, jeżeli wyrażenie regularne zostało napisane w sposób niewłaściwy, umożliwiając tym samym przeprowadzenie...
Czytaj dalej »
Trzeci numer magazynu Sekurak/Offline dotyczy ponownie tematu bezpieczeństwa aplikacji webowych. Jest to jak dotąd najbardziej rozbudowany numer - ponad 80 stron tekstów.
Czytaj dalej »
Ukryte katalogi oraz pliki pozostawione przez nieuwagę na serwerze WWW, mogą stać się nieocenionym źródłem informacji podczas testu penetracyjnego. W skrajnych sytuacjach, takich jak pozostawiony katalog .git lub .svn, pozwalają na dostęp do kodu źródłowego aplikacji, co w rezultacie skutkuje całkowitą kompromitacją i uzyskaniem nieautoryzowanego dostępu oraz możliwością przeprowadzenia statycznej analizy kodu źródłowego i odkrycia wszystkich luk.
Czytaj dalej »
W 2014 roku na Sekuraku (oraz w pierwszym e-zinie) pisaliśmy czym jest Content Security Policy. Była to wtedy młoda technologia utrudniająca eksploatację ataków XSS. Od tego czasu standard mocno się rozwinął. Czy obecna wersja CSP 2.0 jest remedium na nieznane luki XSS? Na jakie problemy można natknąć się podczas wdrożeń CSP?
Czytaj dalej »
Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.
Czytaj dalej »
CSRF (Cross-Site Request Forgery) to chyba jedna z najmniej rozumianych podatności opisywanych w ramach słynnego projektu OWASP Top Ten. Często mylona jest z podatnością XSS, czasem również prezentowana jednocześnie z innymi podatnościami, co też zaciemnia obraz istoty problemu. Zobaczmy na kilku przykładach czym jest CSRF.
Czytaj dalej »