Tag: websecurity

Podatności związane z XXE (XML eXternal Entity) ostatnimi czasy zdobywają coraz większą „popularność” w aplikacjach internetowych. Najczęściej wykorzystanie XXE jest sposobem na wykonanie ataku Path Traversal, czasem może jednak dawać większe możliwości. Przyjrzyjmy się tematowi z bliska.

Praktycznie wszystkie powszechnie używane dziś frameworki są zabezpieczone przed atakiem HTTP Response Splitting. „Prawie” robi czasem dużą różnicę – w tekście pokażemy realny przykład podatności HTTP Response Splitting w google.com

Ze względu na niezwykle dużą skalę niektórych rozproszonych ataków odmowy dostępu do usługi ochrona przeciwko nim jest bardzo trudna. Zapobieganie atakom DDoS wymaga wiele pracy administratorów, inwestycji w sprzęt i oprogramowanie, a nawet współpracę z dostawcami internetowymi oraz organami ścigania. Jest to bardzo duży koszt, na który nie mogą pozwolić sobie wszystkie firmy, a w szczególności osoby prywatne. Jak radzić sobie z takim problem?

Zielona kłódka w pasku adresu przeglądarki internetowej daje poczucie bezpieczeństwa. Niestety może okazać się, że prefiks HTTPS przed adresem strony wcale nie zagwarantuje nam uwierzytelnienia, integralności oraz poufności komunikacji, których oczekujemy od protokołu SSL.

Ataki z rodziny DoS nie uszkadzają danych — ich celem jest utrudnienie lub uniemożliwienie dostępu do nich — co jak się okazuje, może spowodować równie kosztowne straty. Obrona przed atakami DDoS jest niezwykle trudna. Na szczęście skutki takich incydentów można skutecznie minimalizować, a w prostszych przypadkach nawet bez problemu sobie z nimi radzić.

Jest wiele przykładów na to, jak zaniedbanie podstawowych kwestii związanych z websecurity może nadszarpnąć reputację firmy i narazić ją na wielomilionowe straty. Opierając swój biznes na aplikacjach sieciowych, pamiętajmy o bezpieczeństwie – serwis internetowy to produkt czysto wirtualny, ale straty wynikające z zakończonego powodzeniem ataku – są jak najbardziej realne.

Czy dedykowana, napisana od podstaw aplikacja internetowa to wymyślanie na nowo czegoś co już jest dostępne, często darmowe, a dodatkowo dobrze supportowane? Jak stworzyć naprawdę bezpieczną stronę firmy, nie obawiając się przy tym o koszt jej utrzymania i rozwijania?

W dobie powszechnego dostępu do Internetu posiadanie własnego serwisu WWW stało się standardem. Dziś trudno znaleźć firmę, która nie opublikowałaby choćby prostej wizytówki w postaci np. statycznej strony internetowej w HTML. W przeważającej większości są to jednak rozbudowane serwisy oferujące m.in. korzystanie z oferowanych usług bądź dokonywanie zakupów bezpośrednio z poziomu przeglądarki internetowej.

Pierwszym krokiem na drodze do bezpiecznego, firmowego serwisu WWW jest wybór pomiędzy już istniejącym na rynku, sprawdzonym rozwiązaniem, a zleceniem zbudowania go od podstaw. W sieci roi się od darmowych systemów CMS, gotowych systemów CRM czy sklepów internetowych. Często są to też rozwiązania typu opensource. Czy są tak samo bezpieczne, jak dostępne?

ZAP to wielofunkcyjne darmowe narzędzie do testowania bezpieczeństwa aplikacji webowych rozwijane w ramach organizacji OWASP. Jest proste w instalacji i obsłudze, co czyni je idealnym dla osób początkujących, chociaż profesjonaliści też znajdą w nim coś dla siebie.

Jeśli chciałbyś zupełnie legalnie włamywać się do systemów IT, a przy tym jeszcze nieźle zarabiać, zapraszam do zespołu Securitum.pl.

Zapraszamy do śledzenia cyklu tekstów w Web Application Firewallach. Pierwsza część stanowi wstęp oraz opis systemu naxsi (moduł Nginx-a).

Do końca roku można uzyskać 20% rabatu na wszystkie otwarte szkolenia z bezpieczeństwa organizowane przez Securitum. Przy rejestracji wystarczy podać hasło: Sekurak.

Od pewnego czasu obserwujemy bardzo dynamiczny rozwój technologii pozwalających na budowanie aplikacji internetowych jedynie z wykorzystaniem języka JavaScript. Do najpopularniejszych platform umożliwiających taką pracę należy Node.js. Jakie „choroby wieku dziecięcego” jej zagrażają?

O błędzie Cross-Site-Scripting napisano już zapewne wiele powieści ;) Nie bez powodu – podatność ta jest jedną z najczęściej występujących luk w aplikacjach webowych. Zobaczmy jak wygląda XSS w praktyce – na koniec tekstu mały konkurs – hackme.