A weblap feltöréssel foglalkozó sorozatunk jelenlegi részében az elérési út visszaléptetés, azaz a path traversal sebezhetőséggel foglalkozunk. A hiba nagyon gyakori, és meglehetősen nagy rést nyit a támadók számára.
Webalkalmazások biztonsági tesztelése 7
A következő vizsgált kérdéskör a hozzáférési szintek, és jogosultságok biztonsági kérdései. A weblapok 78%-a sebezhető ezen a módon. A hozzáférési szintek biztonsági kockázata azt jelenti, hogy a támadó hozzáfér egy azonos jogosultsági szinten lévő másik felhasználó adataihoz, vagy egy magasabb
Webalkalmazások biztonsági tesztelése 6
A session / munkamenet kezelés minden webalkalmazás alapvető eleme. Mivel a http kommunikáció állapot nélküli a session segítségével azonosítjuk a usereket a munkamenet során. E nélkül minden egyes oldalletöltéskor újra és újra be kellene kérni a jelszavát. Azonban a gyengén
Webalkalmazások biztonsági tesztelése 5
Folytatjuk a hitelesítési modell támadási felületeinek és védekezési eljárásainak feltérképezését. Ahogy az előző részben már szó volt róla sok esetben az a leggyengébb láncszem és igen sokféle támadási felületet ad.
Webalkalmazások biztonsági tesztelése 4
A hacker tanfolyam negyedik részében a hitelesítés megtámadásával fogunk foglalkozni. A weblapok mintegy 67%-ánál található valamiféle biztonsági rés ezen a területen. Valójában a hitelesítés a védekezés frontvonala, de ennek ellenére sokszor a leggyengébb láncszem is.
Webalkalmazások biztonsági tesztelése 3
Hacker tanfolyamunk harmadik részében megkezdjük a támadási és tesztelési módszerek ismertetését. Elsőként a kliens oldali ellenőrzéseket próbáljuk meg kijátszani. A fő szabály amit webfejlesztőként meg kell tanulnunk, hogy a kliens oldali ellenőrzések kizárólag kényelmi eszközök és semmiféleképpen nem alkalmasak biztonsági
Webalkalmazások biztonsági tesztelése 2
Miután megismerkedtünk az alapelvekkel egy oldal feltörésénél az első dolgunk az alkalmazás feltérképezése lesz. A feltérképezés során tulajdonképpen a megtámadható felületeket keressük meg. Két fő dolgunk lesz ennek során. Először is megismerkedünk az alkalmazással és megpróbáljuk a lehető legtöbb háttér
Webalkalmazások biztonsági tesztelése 1
A tömegek életének mind több mozzanatának online irányba való elmozdulásával egyre inkább érzékenyek kell lennünk olyan témákra amelyek eddig esetleg többnyire nem igazán mozgatták meg a fejlesztői fantáziánkat. Az eddig ilyen a webalkalmazások biztonsága. A téma egyre fontosabb és fontosabb
Jelszóválasztási szokásaink
Mert a usereket nem is érdekli, hiszen nem gondolják, hogy bármi, mások számára is értékes információkkal rendelkeznek. Mert nem gondolják, hogy támadás célpontjává válhatnak. Mert úgy gondolják, hogy az 123 kellőképpen rafinált. Mert mi fejlesztők hagyjuk, hogy a userek makacsul
Hogyan törjünk fel weblapokat?
Ma egy igen kényes témát szeretnék bemutatni. Kényes mert a biztonsági tanácsok egyben ötletek másoknak arra, hogy hogyan tudnak ténylegesen feltörni oldalakat. Egy webalkalmazás biztonsági tesztelése praktikusan nem jelent mást mint, hogy a webalkalmazás fejlesztője / tesztelője egy rövid időre
Beoltás
Gyerek korom óta ki nem állom az oltásokat! És most meglehetősen érdekes URL-en keresztüli beoltási kísérletek zúdulnak éppen a blogomra. A támadó Kínából próbál egy csúnya kódot bejuttatni, de a wordpress eddig jól vizsgázott.
XSS kicsiknek és nagyoknak
Új technikák megoldanak régi problémákat és hoznak újakat. A web 2 is megold egy több mint 10 éve húzódó problémát és webalkalmazásainkat átlépteti egy következő szintre, de ha nem kellő óvatosággal használjuk, akkor új támadási felületet szolgáltathatunk rosszindulatú látogatóknak.
WebBiztonság
A biztonságra törekvés azt jelenti, hogy felkészülünk olyan eseményekre amikre nem lehet felkészülni. A webfejlesztők általában nem szeretnek azon gondolkozni, hogy az alkalmazásuk hogyan használható ki. A támadók viszont igen.