Teksty

Czym jest CORS (Cross-Origin Resource Sharing) i jak wpływa na bezpieczeństwo

19 grudnia 2018, 11:55 | Teksty | komentarzy 13
Czym jest CORS (Cross-Origin Resource Sharing) i jak wpływa na bezpieczeństwo

Podstawowym mechanizmem obronnym nowoczesnych przeglądarek jest Same-Origin Policy. Z reguły jego istnienie jest dla nas bardzo ważne, gdyż eliminuje ono szereg potencjalnych problemów bezpieczeństwa. Czasem jednak chcielibyśmy delikatnie rozluźnić tą politykę. Jednym ze sposobów na to jest mechanizm Cross-Origin Resource Sharing (zwany zwyczajowo po prostu CORS) – zapewnia nam on możliwość bezpiecznej…

Czytaj dalej »

(Nie)bezpieczeństwo danych w firmie – czyli po co mi ISO 27000 – część 1

10 grudnia 2018, 06:28 | Teksty | komentarze 33
(Nie)bezpieczeństwo danych w firmie – czyli po co mi ISO 27000 – część 1

Prowadzenie jakiegokolwiek biznesu wiąże się z przetwarzaniem informacji. Im większa organizacja (czyli np. firma, urząd lub szpital), tym więcej informacji, a więc większe ryzyko, że jeśli nie zapewnimy odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, mogą one zostać ujawnione przypadkowo (poprzez niewiedzę lub lekkomyślność personelu albo przez podatności w infrastrukturze) lub celowo. Prędzej czy później brak zapewnienia ochrony informacji zemści się na nas (czy to finansowo, czy wizerunkowo).

Czytaj dalej »

Obejście uwierzytelniania – historia podatności znalezionej w programie Bug Bounty (Node.js)

03 grudnia 2018, 20:40 | Teksty | komentarze 3
Obejście uwierzytelniania – historia podatności znalezionej w programie Bug Bounty (Node.js)

Wpis opisuje jak udało się obejść mechanizm uwierzytelniania w aplikacji opartej o NodeJS w jednym z prywatnych programów bug bounty. Zaprezentowano metodologię stosowaną w przypadku podobnych sytuacji, która bardzo często pozwala na znalezienie luki (bądź luk) w aplikacjach z pozoru wyglądających na takie, które nie zawierają żadnej funkcjonalności do “złamania”.

Czytaj dalej »

Podstawy obrony przed atakami socjotechnicznymi

03 października 2018, 17:33 | Teksty | komentarzy 12
Podstawy obrony przed atakami socjotechnicznymi

Budując naszą obronę przed tego typu atakami, powinniśmy przede wszystkim poznać i, co najważniejsze (a jednocześnie najtrudniejsze), nauczyć się kilku podstawowych technik wpływu na zachowanie drugiego człowieka, aby w momencie kiedy zostaniemy zaatakowani zauważyć ten fakt i zdążyć się przed nim obronić.

Czytaj dalej »

Wprowadzenie do logiki systemów WAF (Web Application Firewall)

27 września 2018, 12:55 | Teksty | 1 komentarz
Wprowadzenie do logiki systemów WAF (Web Application Firewall)

Systemy Web Application Firewall (WAF) stały się integralną częścią infrastruktury znakomitej większości wykorzystywanych komercyjnie aplikacji internetowych. Pomysł na zbliżone podejście do problemu niebezpiecznych danych wejściowych, jak w przypadku niechcianych pakietów sieciowych, okazał się skuteczną ochroną przed typowymi klasami błędów trapiących aplikacje webowe.

Czytaj dalej »

WASM – czym jest WebAssembly?

24 września 2018, 10:15 | Teksty | komentarze 4
WASM – czym jest WebAssembly?

WebAssembly (WASM) jest odpowiedzią na rosnące zapotrzebowanie użytkowników (i deweloperów oczywiście) na bogate, funkcjonalnie i szybkie aplikacje webowe. Problemem w takich scenariuszach wykorzystania jest najczęściej wydajność całego środowiska, a do tej pory nie udało się w pełni poprawić wszystkich bolączek JavaScript.

Czytaj dalej »

OpenSSH – enumeracja użytkowników – CVE-2018-15473

22 sierpnia 2018, 12:05 | Teksty | komentarzy 27
OpenSSH – enumeracja użytkowników – CVE-2018-15473

Podczas testów bezpieczeństwa infrastruktury często stajemy przed zadaniem przetestowania bezpieczeństwa serwera SSH. Jednym z podstawowych testów jest sprawdzenie odporności na ataki brute-force. W atakach tego typu znajomość poprawnych nazw użytkowników w znacznym stopniu zwiększa prawdopodobieństwo sukcesu – zamiast sprawdzać wszystkie możliwe kombinacje potencjalnych nazw użytkowników i haseł, sprawdzamy poprawność haseł tylko dla istniejących użytkowników.

Czytaj dalej »

Błąd bezpieczeństwa w aplikacji desktopowej Google Hangouts Chat – czyli jak uczynić Open Redirect znów wielkim

23 lipca 2018, 08:15 | Teksty | komentarzy 13
Błąd bezpieczeństwa w aplikacji desktopowej Google Hangouts Chat – czyli jak uczynić Open Redirect znów wielkim

W artykule opisany jest błąd bezpieczeństwa, który znalazłem na początku czerwca 2018 w aplikacji desktopowej Google Hangouts Chat. Jest przykładem na to, jak aplikacje napisane w Electronie mogą sprawić, by pewnie mniej istotne podatności (jak np. open redirect) stały się nagle poważnymi błędami w aplikacjach.

Czytaj dalej »