Tag: websecurity

W artykule: poznacie ciekawy sposób na odczytywanie tokenów z innej domeny,
dowiecie się jak zrobić XSS-a za pomocą jQuery, zobaczycie, w jaki sposób złamać Same-Origin Policy za pomocą Flasha.

Dynamiczny rozwój aplikacji WWW doprowadza do sytuacji, w której już od jakiegoś czasu pojawia się zapotrzebowanie na wprowadzenie możliwości asynchronicznej wymiany danych pomiędzy klientem, a serwerem aplikacji. Wykorzystywany powszechnie protokół HTTP jest bezstanowy, opiera się na zapytaniu wysyłanym do serwera i udzielanej odpowiedzi – brak tutaj stanów pośrednich. Jednym z zaproponowanych…

Jeśli ktoś chce zajmować się bezpieczeństwem aplikacji webowych, powinien zacząć od OWASP Top Ten. To swojego rodzaju w prowadzenie w dziesięć najistotniejszych klas podatności w aplikacjach webowych. Dla tych z kolei, którzy nie lubią czytać jest też dostępne podsumowanie każdej klasy podatności w formie kilku/kilkunastominutowych filmików. Ostatnia wersja dokumentu jest…

Ciekawy wpis dotyczący bugbounty, z przyznaną nagrodą $3 000. W ciekawy sposób można było odczytywać kod źródłowy plików .jsp (i innych), po prostu dodając znak %01 (start of heading jakby ktoś nie wiedział ;P) na koniec URL-a: https://www.victim.tld/password.jsp%01 Sprawdźcie lepiej czy Wasze application serwery nie pozwalają na taki 'ficzer’. –ms

W artykule przedstawiamy kilka podstawowych zasad, których stosowanie pozwala niskim kosztem zwiększyć ogólny poziom bezpieczeństwa aplikacji webowej.

Spora część aplikacji webowych umożliwia wgranie własnego pliku na serwer poprzez podanie adresu URL, skąd zostanie on automatycznie pobrany na serwer. W tym artykule omówimy jakie problemy mogą wynikać z takiego rozwiązania – innymi słowy poznamy podatność Server-Side Request Forgery (SSRF).

Instalacja, konfiguracja i integracja ze Splunk narzędzia mod_security. A wszystko w służbie bezpieczeństwa aplikacji webowych.

Mechanizm Service Workers został wprowadzony w najnowszych wersjach przeglądarek internetowych, by rozwiązać problem, z którym świat aplikacji webowych boryka się od dawna – mianowicie: jak aplikacja powinna się zachowywać w przypadku utraty połączenia z Internetem. Niniejszy artykuł ma na celu przybliżenie zasad działania Service Workers oraz wskazanie największych zagrożeń związanych z tym mechanizmem, którymi w szczególności powinni być zainteresowani twórcy stron internetowych.

Piractwo morskie w wielu rejonach świata nadal stanowi poważne zagrożenie dla bezpieczeństwa marynarzy oraz transportowanych przez nich ładunków. Piraci w XXI wieku nie ograniczają się już jednak wyłącznie do stosowania fizycznej przemocy — w poszukiwaniu cennych ładunków posiłkują się bowiem usługami komputerowych przestępców…

Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.

Dzisiaj małe małe przypomnienie – w nieco leniwym okresie wakacyjnym opublikowaliśmy #1 bezpłatnego magazynu Sekurak/Offline. Pisali o tym m.in: Zaufanatrzeciastrona, Dziennik Internatów, ekscytował się nawet Wykop. Na info o kolejnym numerze zapisało się też już prawie 1600 osób!

W trzeciej części serii o deobfuskacji JavaScriptu zajmiemy się omówieniem dodatkowych narzędzi, które mogą być stosowane równolegle do omawianego wcześniej JSDetox.

W artykule znajduje się opis sposobu wykorzystania podatności PHP Object Injection do wykonania dowolnego kodu w aplikacji korzystającej z frameworka Zend 2.

Dodawanie plików przez użytkowników web aplikacji wiąże się z wieloma zagrożeniami. Pentesterzy w tym obszarze często szukają luk prowadzących do zdalnego wykonania kodu po stronie serwera. A co gdyby dodanie nowego pliku skutkowało wykonaniem złośliwego skryptu JS? Taką możliwość dają pliki SVG opisujące grafikę wektorową we współczesnych przeglądarkach.

Bezpieczne połączenia przy użyciu protokołu HTTPS stanowią jeden z podstawowych budulców dzisiejszego Internetu. HTTPS zapewnia poufność, integralność oraz autentyczność komunikacji. Ten ostatni cel jest realizowany dzięki standardowi X.509, który definiuje infrastrukturę klucza publicznego. Model zaufania oparty na X.509 ma jednak pewną fundamentalną wadę, której rozwiązaniem ma być mechanizm HTTP Public Key Pinning (HPKP).