Cykl życia sekretu

Cykl życia sekretu

Opowiem Ci dzisiaj o sekretach w kodzie aplikacji. Przyjrzymy się temu, o czym należy pamiętać, gdy korzystamy z sekretów i o tym jak zadbać o cykl życia sekretu. Zacznijmy od tego, czym w ogóle są sekrety w aplikacji? Nazwa “sekret” jest bardzo intuicyjna. Sekrety, czyli to wszystko, co nie powinno być dostępne dla żadnych osób postronnych oraz dla użytkowników naszej aplikacji (z wyjątkiem danych ich konta w naszym systemie). Na przykład: Różne perspektywy na sekrety Na sekrety możemy spojrzeć z…

Read More Read More

Jak dołączać pliki JS do strony?

Jak dołączać pliki JS do strony?

Dzisiaj chciałbym opowiedzieć Ci o jednym z aspektów bezpieczeństwa aplikacji webowych. O używaniu zależności. Cały temat używania zależności i ich bezpieczeństwa jest dość obszerny. Dlatego też w tym artykule skupimy się tylko na tym jak dołączać pliki JS do strony.  Tworząc strony lub aplikacje internetowe, często korzystamy z wielu bibliotek JavaScript. Poczynając od frameworków (takich jak jQuery lub React) aż po biblioteki narzędziowe służące do konkretnego zadania (takie jak Google Captcha lub CkEditor). Możliwe opcje Dołączając takie biblioteki do naszej…

Read More Read More

Content Security Policy – poziomy dojrzałości

Content Security Policy – poziomy dojrzałości

Tworzenie bezpiecznych aplikacji internetowych nie jest proste. Bardzo łatwo jest zostawić w nich podatności, narażając użytkowników na różne zagrożenia. Można by tu wymieniać dziesiątki z nich, ale skupmy się tutaj na kilku poniższych: Clickjacking – wyświetlenie użytkownikowi zachęty do kliknięcia, wskutek którego wykona on niechcianą akcję w innej aplikacji,  ManInMiddle – możliwość podsłuchania i modyfikacji requestów aplikacji do serwera,  Formjacking – przejęcie danych wprowadzanych przez użytkownika w formularzach,  Unvalidated Redirects – niezaplanowane przez twórców przekierowania na zewnętrzne adresy, XSS – wykonanie…

Read More Read More

Automatyczne testowanie XSS

Automatyczne testowanie XSS

W ramach rozszerzenia poprzedniego artykułu o ręcznym szukaniu podatności typu XSS warto jeszcze wspomnieć o metodzie na automatyczne testowanie XSS. Jest to możliwe z użyciem OWASP ZAP.Zobaczmy krok po kroku w jaki sposób. Instrukcja testów Na początku musimy się upewnić, że mamy zainstalowane dodatki: https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/ https://www.zaproxy.org/docs/desktop/addons/dom-xss-active-scan-rule/ Następnie przechodzimy do testowania. Każdorazowo testy w OWASP ZAP należy zacząć od definicji zapytań (requestów) w ramach aplikacji – etap discovery (odkrywania aplikacji). Najprościej zrobić to ręcznie za pomocą odpowiednio skonfigurowanej przeglądarki. Możemy ją…

Read More Read More

Zabezpieczenie przed XSS

Zabezpieczenie przed XSS

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W ramach mojego cyklu artykułów dotyczących zagrożenia XSS (Cross Site Scripting) przyszedł czas na opisanie sposobów zabezpieczenia aplikacji. Potraktuj to jednak bardziej jako podsumowanie różnych metod zabezpieczenia niż jako pełne kompendium. Jeżeli zależy Ci na pełnym opisie określonych technik mitygacji, zwróć uwagę na linki do dodatkowych materiałów, które dołączę w treści artykułu. W temacie zabezpieczenia przez atakami XSS można wyróżnić…

Read More Read More

Automatyczne wykrywanie XSS

Automatyczne wykrywanie XSS

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS

Wykrywanie XSS

Wykrywanie XSS

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule skupimy się na metodach wykrywania podatności typu XSS. Dowiesz się, w jaki sposób identyfikować potencjalnie zagrożone elementy aplikacji oraz jak weryfikować, czy rzeczywiście są one zagrożeniem.Zachęcam również do przeczytania pierwszego wpisy – o tym czym jest XSS i dlaczego jest groźny. W szczególności, gdy nie jesteś jeszcze zaznajomiony z tematem. Ręcznie testowanie Zacznijmy od tego, w jaki…

Read More Read More

Co to jest XSS?

Co to jest XSS?

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule przyjrzymy się dokładniej jednemu z najpopularniejszych (choć jednocześnie jednemu z prostszych) zagrożeń w stosunku do aplikacji webowych. Jest to atak typu XSS – Cross Site Scripting. Znalazł się on nawet na liście najczęściej występujących podatności w aplikacjach webowych OWASP TOP 10 (na miejscu 7). Ale Co to jest XSS Na czym polega XSS? Atak Cross Site Scripting…

Read More Read More

Jak podejmować wystarczająco dobre decyzje? – podejście analityczne

Jak podejmować wystarczająco dobre decyzje? – podejście analityczne

W tym artykule chciałbym Ci krok po kroku zaprezentować moje podejście do dokonywania wyborów. Ale nie byle jakich wyborów, tylko wyborów dostatecznie dobrych. Jest to o tyle istotne, że w dzisiejszym świecie bardzo łatwo jest popaść w tak zwany paraliż decyzyjny. Sytuację, gdy analiza opcji przed podjęciem decyzji jest ważniejsza niż sama decyzja. Dość łatwo szukając idealnego rozwiązania, analizować coraz to nowe opcje lub też pogłębiać analizę tych już znanych. W efekcie ciągle nie możemy się zdecydować, co wybrać. Sytuacja…

Read More Read More

Narzędzia do rysowania diagramów

Narzędzia do rysowania diagramów

Mam wrażenie, że diagramy są jednym z moich najczęściej używanych narzędzi jako architekta i konsultanta. Język wizualny jest jednym z najbardziej uniwersalnych i najprostszych sposobów przekazywania i przede wszystkim uwspólnienia wiedzy. W związku z tym do codziennej pracy potrzebuję dobrego narzędzia do rysowania diagramów. Takich narzędzi jest bardzo wiele, jednak zanim zaczniemy zastanawiać się, które z nich wybrać (lub w ogóle jakie mamy możliwości), to trzeba zdefiniować nasze wymagania. W moim przypadku bardzo mocno zależy mi na swobodzie tworzenia diagramów….

Read More Read More

%d bloggers like this: