Praktycznie wszystkie powszechnie używane dziś frameworki są zabezpieczone przed atakiem HTTP Response Splitting. „Prawie” robi czasem dużą różnicę – w tekście pokażemy realny przykład podatności HTTP Response Splitting w google.com
Czytaj dalej »
W poprzednim wpisie poświęconym tworzeniu narzędzi w Pythonie przedstawiłem kilka prostych skryptów korzystających z modułów sys, os oraz httplib. W tym wpisie „zejdziemy” nieco niżej i zobaczymy, jak tworzyć skrypty, które komunikują się z siecią przez sockety.
Czytaj dalej »
Ze względu na niezwykle dużą skalę niektórych rozproszonych ataków odmowy dostępu do usługi ochrona przeciwko nim jest bardzo trudna. Zapobieganie atakom DDoS wymaga wiele pracy administratorów, inwestycji w sprzęt i oprogramowanie, a nawet współpracę z dostawcami internetowymi oraz organami ścigania. Jest to bardzo duży koszt, na który nie mogą pozwolić sobie wszystkie firmy, a w szczególności osoby prywatne. Jak radzić sobie z takim problem?
Czytaj dalej »
Zielona kłódka w pasku adresu przeglądarki internetowej daje poczucie bezpieczeństwa. Niestety może okazać się, że prefiks HTTPS przed adresem strony wcale nie zagwarantuje nam uwierzytelnienia, integralności oraz poufności komunikacji, których oczekujemy od protokołu SSL.
Czytaj dalej »
8. kwietnia 2014 Microsoft kończy wsparcie dla systemu Windows XP. Jak radzić sobie w sytuacji, kiedy nie będziemy mieli już aktualizacji łatających krytyczne problemy bezpieczeństwa? W tekście przedstawiam kilka strategii podejścia do problemu.
Czytaj dalej »
Wyobraźmy sobie sytuację, w której podejrzewamy, że dokumenty z firmy są wykradane, ale brak nam na to dowodów. Przygotowujemy zatem plik Worda z odniesieniem do zewnętrznego obrazka na naszym serwerze, licząc na to, że włamywacze spróbują otworzyć ten dokument. Jeżeli haczyk zostanie połknięty, otrzymamy cenną informację, że rzeczywiście plik został otwarty, dodatkowo poznając adres IP owego niepożądanego czytelnika…
Czytaj dalej »
Testując bezpieczeństwo aplikacji – w szczególności webowych – jesteśmy przyzwyczajeni do używania różnej maści monitorów sieci oraz proxy, z których pomocą analizujemy i modyfikujemy ruch sieciowy. W jaki sposób przenieść te przyzwyczajenia na grunt aplikacji mobilnych uruchamianych na urządzeniach pracujących w całkowicie innej architekturze? Bardzo prosto…
Czytaj dalej »
Język Python to interpretowany język skryptowy obecny praktycznie we wszystkich liczących się dzisiaj systemach operacyjnych. Jego uniwersalność sprawia, że jest także jednym z częściej wybieranych przez specjalistów od bezpieczeństwa języków służących do pisania narzędzi przydatnych w tej dziedzinie.
Czytaj dalej »
Analiza technik ataków odmowy dostępu jest niezwykle ciekawa — z jednej strony kilka metod jest bardzo pomysłowych i skomplikowanych, z drugiej strony niezwykłą moc mają techniki bardzo prymitywne. W tej części cyklu dotyczącego ataków DDoS, poznamy podstawowe wektory ataku oraz narzędzia do testowania własnej infrastruktury przeciwko tego typu zagrożeniom.
Czytaj dalej »
Ataki z rodziny DoS nie uszkadzają danych — ich celem jest utrudnienie lub uniemożliwienie dostępu do nich — co jak się okazuje, może spowodować równie kosztowne straty. Obrona przed atakami DDoS jest niezwykle trudna. Na szczęście skutki takich incydentów można skutecznie minimalizować, a w prostszych przypadkach nawet bez problemu sobie z nimi radzić.
Czytaj dalej »
Dzisiaj małe wprowadzenie do mechanizmu Content Security Policy. W największym skrócie – Content Security Policy pozwala twórcy aplikacji webowej na ścisłe zdefiniowanie, skąd mogą pochodzić dodatkowe zasoby, z których korzysta aplikacja www (pliki zewnętrzne JavaScript czy CSS, obrazki i inne elementy multimedialne).
Czytaj dalej »
FxCop jest jednym z najczęściej używanych programów do statycznej analizy kodu przez programistów korzystających z Visual Studio. Wprawdzie FxCop nie jest kojarzony stricte z narzędziami do wykrywania luk bezpieczeństwa — jednak w pewnym zakresie FxCop testuje duży zakres błędów bezpieczeństwa — zarówno tych podstawowych, jak i bardzo zaawansowanych.
Czytaj dalej »
Skoro wiemy już, czym jest statyczna analiza kodu w kontekście bezpieczeństwa aplikacji, zobaczmy, jak możną ją przeprowadzić z wykorzystaniem darmowych narzędzi. Pierwszym z nich będzie CAT.NET, który wykrywa błędy bezpieczeństwa w aplikacjach rozwijanych w technologiach .NET.
Czytaj dalej »
FreeRadius jest najpopularniejszą darmową implementacją serwera RADIUS. W tekście pokażę konfigurację FreeRadiusa w kontekście budowy sieci WPA/WPA2 Enterprise.
Czytaj dalej »
W tym cyklu artykułów spróbujemy zrozumieć sens działania narzędzi dedykowanych statycznej analizie kodu, poznać ich mocne oraz słabe strony. Sprawdzimy też, które narzędzia warto wykorzystać do znajdowania nieefektywnych konstrukcji oraz fragmentów kodu noszących znamiona złych praktyk programistycznych czy nawet błędów bezpieczeństwa.
Czytaj dalej »