Tag: websecurity

Czwarty numer magazynu Sekurak/Offline dotyczy jeszcze raz tematu bezpieczeństwa aplikacji webowych. Tym razem wracamy z kolejnym wydaniem po pół roku i mamy dla Was 70 stron.

W tym artykule pokazuję sposób, w jaki jeszcze niedawno można było przeprowadzić „spoofing” paska adresu w przeglądarkach Chrome i Firefox. Innymi słowy – sprawić, by domena wyświetlana w pasku adresu przeglądarki nie była tą, na której użytkownik rzeczywiście się znajduje. W konsekwencji atak można wykorzystać do phishingu, np. w celu kradzieży danych użytkownika.

Rozbudowany tekst pokazujący użycie nmapa (i kilku innych przydatnych narzędzi) – na bazie konkretnego testu bezpieczeństwa.

W artykule: poznacie ciekawy sposób na odczytywanie tokenów z innej domeny,
dowiecie się jak zrobić XSS-a za pomocą jQuery, zobaczycie, w jaki sposób złamać Same-Origin Policy za pomocą Flasha.

Dynamiczny rozwój aplikacji WWW doprowadza do sytuacji, w której już od jakiegoś czasu pojawia się zapotrzebowanie na wprowadzenie możliwości asynchronicznej wymiany danych pomiędzy klientem, a serwerem aplikacji. Wykorzystywany powszechnie protokół HTTP jest bezstanowy, opiera się na zapytaniu wysyłanym do serwera i udzielanej odpowiedzi – brak tutaj stanów pośrednich. Jednym z zaproponowanych…

Jeśli ktoś chce zajmować się bezpieczeństwem aplikacji webowych, powinien zacząć od OWASP Top Ten. To swojego rodzaju w prowadzenie w dziesięć najistotniejszych klas podatności w aplikacjach webowych. Dla tych z kolei, którzy nie lubią czytać jest też dostępne podsumowanie każdej klasy podatności w formie kilku/kilkunastominutowych filmików. Ostatnia wersja dokumentu jest…

Ciekawy wpis dotyczący bugbounty, z przyznaną nagrodą $3 000. W ciekawy sposób można było odczytywać kod źródłowy plików .jsp (i innych), po prostu dodając znak %01 (start of heading jakby ktoś nie wiedział ;P) na koniec URL-a: https://www.victim.tld/password.jsp%01 Sprawdźcie lepiej czy Wasze application serwery nie pozwalają na taki 'ficzer’. –ms

W artykule przedstawiamy kilka podstawowych zasad, których stosowanie pozwala niskim kosztem zwiększyć ogólny poziom bezpieczeństwa aplikacji webowej.

Spora część aplikacji webowych umożliwia wgranie własnego pliku na serwer poprzez podanie adresu URL, skąd zostanie on automatycznie pobrany na serwer. W tym artykule omówimy jakie problemy mogą wynikać z takiego rozwiązania – innymi słowy poznamy podatność Server-Side Request Forgery (SSRF).

Instalacja, konfiguracja i integracja ze Splunk narzędzia mod_security. A wszystko w służbie bezpieczeństwa aplikacji webowych.

Mechanizm Service Workers został wprowadzony w najnowszych wersjach przeglądarek internetowych, by rozwiązać problem, z którym świat aplikacji webowych boryka się od dawna – mianowicie: jak aplikacja powinna się zachowywać w przypadku utraty połączenia z Internetem. Niniejszy artykuł ma na celu przybliżenie zasad działania Service Workers oraz wskazanie największych zagrożeń związanych z tym mechanizmem, którymi w szczególności powinni być zainteresowani twórcy stron internetowych.

Piractwo morskie w wielu rejonach świata nadal stanowi poważne zagrożenie dla bezpieczeństwa marynarzy oraz transportowanych przez nich ładunków. Piraci w XXI wieku nie ograniczają się już jednak wyłącznie do stosowania fizycznej przemocy — w poszukiwaniu cennych ładunków posiłkują się bowiem usługami komputerowych przestępców…

Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.

Dzisiaj małe małe przypomnienie – w nieco leniwym okresie wakacyjnym opublikowaliśmy #1 bezpłatnego magazynu Sekurak/Offline. Pisali o tym m.in: Zaufanatrzeciastrona, Dziennik Internatów, ekscytował się nawet Wykop. Na info o kolejnym numerze zapisało się też już prawie 1600 osób!

W trzeciej części serii o deobfuskacji JavaScriptu zajmiemy się omówieniem dodatkowych narzędzi, które mogą być stosowane równolegle do omawianego wcześniej JSDetox.