Webalkalmazások biztonsági tesztelése 4

A hacker tanfolyam negyedik részében a hitelesítés megtámadásával fogunk foglalkozni. A weblapok mintegy 67%-ánál található valamiféle biztonsági rés ezen a területen. Valójában a hitelesítés a védekezés frontvonala, de ennek ellenére sokszor a leggyengébb láncszem is.

Webalkalmazások biztonsági tesztelése 3

Hacker tanfolyamunk harmadik részében megkezdjük a támadási és tesztelési módszerek ismertetését. Elsőként a kliens oldali ellenőrzéseket próbáljuk meg kijátszani. A fő szabály amit webfejlesztőként meg kell tanulnunk, hogy a kliens oldali ellenőrzések kizárólag kényelmi eszközök és semmiféleképpen nem alkalmasak biztonsági előlapnak. Ennél fogva mindennemű kliens oldali ellenőrzést meg kell ismételni szerver oldalon is.

Hol vagytok magyar webes szakemberek?

Egyre inkább visszatérő probléma számomra, hogy itthon Magyarországon valahogy nem szokás, hogy a webes szakemberek kilépjenek az ismeretlenségből, vagy a cégük árnyékából és megjelenjenek a köztudatban mint egy (szak)ember. Egyrészt értem a miértet, másrészt azonban nagyon nem. Tudom, hogy sok olyan webes szakember van aki hónapokra előre be van táblázva és több jó munkaajánlatot is…

Egy év egy bejegyzésben 2009

Webmánia visszatekintő a 2009-es évre. Megjelent 55 bejegyzés amely ha nem is egyenletesen de valahogyan csak kiadja a heti egyet. Két bejegyzés lépte át a 10.000 olvasást, mégpedig az URL átírások, Apache mod-rewrite és a Trackback, pingback megatöbbi, sőt egy harmadik (mégpedig pont az ami rólam szól, az Rrd, ami nagyon megtisztelő) is közelíti. Meghaladtuk…

Webalkalmazások biztonsági tesztelése 2

Miután megismerkedtünk az alapelvekkel egy oldal feltörésénél az első dolgunk az alkalmazás feltérképezése lesz. A feltérképezés során tulajdonképpen a megtámadható felületeket keressük meg. Két fő dolgunk lesz ennek során. Először is megismerkedünk az alkalmazással és megpróbáljuk a lehető legtöbb háttér információt összeszedni róla, majd második lépésként feltérképezzük a támadási felületeket.

Webalkalmazások biztonsági tesztelése 1

A tömegek életének mind több mozzanatának online irányba való elmozdulásával egyre inkább érzékenyek kell lennünk olyan témákra amelyek eddig esetleg többnyire nem igazán mozgatták meg a fejlesztői fantáziánkat. Az eddig ilyen a webalkalmazások biztonsága. A téma egyre fontosabb és fontosabb lesz és láthatjuk, hogy még az olyan nagyok mint a twitter vagy az amazon is…

Blogbejegyzés 2012 december 31

Egyre-másra jelennek meg webes várakozásokról szóló cikkek mindenfelé és sokuk elég gyorsan valóra is válik. Azon gondolkoztam, hogy ha esetleg 2012-ben mégse tör ki a világvége akkor miről fogunk írni az év végén. Íme rrd éves webes visszatekintője a 2012-es esztendőre. Ha másként látod a jövőt írj egy bejegyzést ugyanezzel a címmel és küldj egy…

API vs API

Egy új webes szolgáltatás bevezetésénél és népszerűsödésében egyre nagyobb és nagyobb súllyal esik latba, hogy a szolgáltatás rendelkezik-e valamiféle API-val és ha igen akkor az hogyan is funkcionál. Nem lehet véletlen, hogy a Google is egyre inkább rászokik arra, hogy minden újdonságát API-val együtt vezet be. Arra keressük ma a választ, hogy a webes szolgáltatásoknak…

Prezi

Nemrégiben tartottam egy előadást (nem webes témában) és prezentációs eszközként a Prezi-t választottam. A magam részéről nagyon szeretem a Prezit, és mindig meglepődök, hogy habár magyar fejlesztésről van szó mennyire nem ismerik itthon.

SociALL előzetes

Egyre népszerűbbek lesznek a különböző közösségi hálózatok és egyre intenzívebben kezdjük használni őket. Kezdenek ide átvonulni a kereséseink és más mindennapos webes teendőink amiket eddig máshol oldottunk meg. A 12 legnagyobb közösségi oldal 1 milliárd felhasználót tart nyilván és ez a szám tovább és gyors ütemben fog növekedni. A közösségi oldalak kiváló kommunikációs lehetőségeket biztosítanak,…

Jelszóválasztási szokásaink

Mert a usereket nem is érdekli, hiszen nem gondolják, hogy bármi, mások számára is értékes információkkal rendelkeznek. Mert nem gondolják, hogy támadás célpontjává válhatnak. Mert úgy gondolják, hogy az 123 kellőképpen rafinált. Mert mi fejlesztők hagyjuk, hogy a userek makacsul felelőtlenek legyenek. És mert a megrendelők a biztonságot képtelenek ellenőrizni. Na, ezért születnek olyan webalkalmazások…

Hogyan törjünk fel weblapokat?

Ma egy igen kényes témát szeretnék bemutatni. Kényes mert a biztonsági tanácsok egyben ötletek másoknak arra, hogy hogyan tudnak ténylegesen feltörni oldalakat. Egy webalkalmazás biztonsági tesztelése praktikusan nem jelent mást mint, hogy a webalkalmazás fejlesztője / tesztelője egy rövid időre a támadó bőrébe bújik. Rászántam a hétvégét és egy dologra jöttem rá, egy weblap feltöréséhez…

A HTML5 input újdonságai

A HTML5 rengeteg újdonságot várva várt valamint meglepetésszerű újdonságot hoz. A bejegyzés írásakor igazából még nincs is kész a HTML5 szabvány, hanem “working draft” állapotban van. Ez persze azt jelenti, hogy sok új szolgáltatása még nincs támogatva még a legfrissebb és legelterjedtebb böngészőkben sem. Ennek ellenére íme egy kis ízelítő a kiokosított input elemről.

Usability vs user

Szerencsére itthon is kezdenek felértékelődni a weblapok / webappok használhatósági szempontjai. No nem a pár milliárdos állami pénzekből épülő szörnyek esetében, hanem olyan oldalaknál vehető észre a usability irányába történő változtatgatások vonala akik pénzt akarnak csinálni. A usability vagy használhatóság nem szabadna, hogy kérdés legyen még 2009-ben. Azonban az is megfigyelhető, hogy bizonyos aspektusai túlhangsúlyozattá…

Facebookra fejlesztés 2

Az első részben odáig jutottunk el, hogy rávettük a facebookot, hogy hitelesítse az alkalmazásunkat, és a userhez tartozó azonosítót és ideiglenes session azonosítót el tudtuk menteni. Mivel éppen egy facebook klienst fejlasztünk nekünk egy olyan session-ra lesz szükségünk ami örökké tart.

Facebookra fejlesztés 1

Ameddig a facebok api-val nem találkoztam addig abban a tévhitben ringattam magam, hogy az api-k arra szolgálnak, hogy megkönnyítsék a fejlesztők életét. Rá kellett jönnöm, hogy ez csak részben vagy részben sem igaz. Jó jó, hogy a facebook az egy platform, no de ennyire?

Iwiw üzenőfal API

Az Iwiw REST API ennek a bejegyzésnek a megszületésekor még nem publikus és egyenlőre nem is lehet tudni sem azt, hogy mikor válik azzá, sem azt, hogy milyen funkciókkal is lesz felszerelve. A türelmetlenek és saját magam részére készítettem egy nem hivatalos iwiw üzenőfal API-t.

Iwiw üzenőfal kiáltvány

Az iwiw ott van praktikusan minden magyar internet használó életében. Az API nyitással megtették azt a lépést ami hosszú távon is bennragadjanak a magyar webhasználók életébe. Azonban van egy-két dolog amit az iwiw módosíthatna például az üzenőfallal kapcsolatban. Kérlek ha egyetértesz ezzel a kezdeményezéssel akkor tegyél ki egy üzenetet az iwiw üzenőfaladra, hogy ez a…

Twitter mi ez, miért, hogyan: a használati útmutató

Kitört a pesti twitter-láz, – twitter, twitter, twitter-láz. Mindenki őrült twittet ráz, – twitter, twitter, twitter-láz. A láz ellenére kezdő twitterezők nem sok információt tudnak begyűjteni arról, hogy hogyan álljanak is neki. Ugyan ezen már próbáltam enyhíteni itt, itt, meg itt, de egy kifejezetten induláshoz szükséges leírás eddig nem volt.

1 millárdan a közösségi oldalakon

Az utóbbi időben egyre-másra jelennek meg olyan előrejelzések amelyek a web következő fázisát – ha úgy tetszik a web 3-at – egyértelműen a közösségi oldalakhoz kötik. Annyi bizonyos, hogy már most is érezhető hatást gyakorolnak a webre a különböző közösségi oldalak, és erőteljesen befolyásolják az internet használatát. Mi sem jobb bizonyíték erre a trendre mint…

Felhasználói jogosultságok kezelése – CakePHP 2. rész

Az első részben megnéztük a két hasonló módszer, a vezérlő engedélyekre és a modell engedélyekre alapuló hozzáférés kezelést. A következőkben megnézzük a jogosultságok kezelésére is használható ACL-ek kétféle hasznosítási elvét. Aki eddig esetleg nem tette volna, az olvassa el először a CakePHP szakácskönyv ACL-lel foglalkozó részét.

Felhasználói jogosultságok kezelése – CakePHP 1. rész

Minden komolyabb webalkalmazás fejlesztése során egy igen lényeges momentum a felhasználók hozzáférésének, jogainak kezelése. Annak szabályozása, hogy ki mihez férjen hozzá nem csak biztonsági, hanem működtetési szempontból is fontos. Meglehetősen sok leírás található arról angolul, hogy a problémát hogyan kezeljük a CakePHP keretrendszer használata esetén, de ezek nagy része már elavult vagy csak rész igazságokat…

Felhasználók hitelesítése

Habár a cake szakácskönyve elég részletesen leírja, hogy hogyan kell egy usereket hitelesítő részt megírni 1.2-es cake esetén, de még mindig időről időre keresgélnem kelett amikor egy új projekthez szerettem volna ezt a funkciót megírni. Végül fogtam (és az egyébként jó ideje vázlatként várakozó postot) és megírtam. Íme.

Rendszerátépítés futás közben 2. lépés

Történetünk első lépésében arra kerestem a megoldást, hogy hogyan lehet egy futó rendszert menet közben teljesen átépíteni. A több lehetséges megközelítés közül a béka módszert választottam, azaz azt, hogy szépen elemenként kifejlesztünk egy funkciót és aktiválásakor kiiktatjuk a régi rendszer részt. Lássuk a hogyant!

Őket követem a twitteren

Wyctim indítványozta, hogy írjuk meg, hogy ki az az 5 twitter felhasználó akit legszívesebben követünk valamilyen oknál fogva. Mivel egy ilyen lista jól jöhet mind a kezdő mind a haladó csiripelőknek (persze a twitteverest mellett) íme az én listám, tessék nézelődni. Aki meg rám kíváncsi hát én is itt vagyok: @rrd