Tag: websecurity

Mechanizm Service Workers – używanie i nadużywanie

09 maja 2016, 14:48 | Teksty | komentarzy 5
Mechanizm Service Workers – używanie i nadużywanie

Mechanizm Service Workers został wprowadzony w najnowszych wersjach przeglądarek internetowych, by rozwiązać problem, z którym świat aplikacji webowych boryka się od dawna – mianowicie: jak aplikacja powinna się zachowywać w przypadku utraty połączenia z Internetem. Niniejszy artykuł ma na celu przybliżenie zasad działania Service Workers oraz wskazanie największych zagrożeń związanych z tym mechanizmem, którymi w szczególności powinni być zainteresowani twórcy stron internetowych.

Czytaj dalej »

Piraci (morscy) namierzali cenne transporty z pomocą komputerowych przestępców

03 marca 2016, 20:40 | Aktualności | komentarze 2
Piraci (morscy) namierzali cenne transporty z pomocą komputerowych przestępców

Piractwo morskie w wielu rejonach świata nadal stanowi poważne zagrożenie dla bezpieczeństwa marynarzy oraz transportowanych przez nich ładunków. Piraci w XXI wieku nie ograniczają się już jednak wyłącznie do stosowania fizycznej przemocy — w poszukiwaniu cennych ładunków posiłkują się bowiem usługami komputerowych przestępców…

Czytaj dalej »

Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu

23 listopada 2015, 09:30 | Teksty | komentarzy 10
Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu

Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.

Czytaj dalej »

Pozwalasz ładować pliki SVG? Masz XSS-a!

17 sierpnia 2015, 11:05 | Teksty | komentarzy 10
Pozwalasz ładować pliki SVG? Masz XSS-a!

Dodawanie plików przez użytkowników web aplikacji wiąże się z wieloma zagrożeniami. Pentesterzy w tym obszarze często szukają luk prowadzących do zdalnego wykonania kodu po stronie serwera. A co gdyby dodanie nowego pliku skutkowało wykonaniem złośliwego skryptu JS? Taką możliwość dają pliki SVG opisujące grafikę wektorową we współczesnych przeglądarkach.

Czytaj dalej »

Mechanizm HTTP Public Key Pinning

22 lipca 2015, 10:10 | Teksty | komentarzy 8
Mechanizm HTTP Public Key Pinning

Bezpieczne połączenia przy użyciu protokołu HTTPS stanowią jeden z podstawowych budulców dzisiejszego Internetu. HTTPS zapewnia poufność, integralność oraz autentyczność komunikacji. Ten ostatni cel jest realizowany dzięki standardowi X.509, który definiuje infrastrukturę klucza publicznego. Model zaufania oparty na X.509 ma jednak pewną fundamentalną wadę, której rozwiązaniem ma być mechanizm HTTP Public Key Pinning (HPKP).

Czytaj dalej »

Nowa wersja OWASP ZAP – narzędzia do testowania bezpieczeństwa aplikacji www

16 czerwca 2015, 11:07 | W biegu | 0 komentarzy

Od jakiegoś już czasu dostępna jest nowa wersja 2.4.0 tego popularnego (i bezpłatnego) narzędzia do testowania bezpieczeństwa aplikacji webowych. Nowa wersja ZAP-a o tyle cieszy, że wydawało się już że rozwój projektu stanął (jak w przypadku innych podobnych narzędzi budowanych pod skrzydłami OWASP – przykład: Webscarab). Cały rozwój wydaje się…

Czytaj dalej »