Browsed by
Category: Architecture

Logi audytowe — czemu są potrzebne w aplikacji?

Logi audytowe — czemu są potrzebne w aplikacji?

Czy logi audytowe w aplikacji są w stanie nam w czymś pomóc? A może to tylko dziwne wymaganie biznesu? Dziś się tego dowiesz. Większość systemów, z których korzystamy i które tworzymy, operuje na danych. Jedną z akcji na tych danych jest oczywiście ich modyfikacja. Taka modyfikacja może mieć wpływ na całość działania systemu, a wtedy powinna być szczególnie chroniona. Logi w użyciu Wyobraźmy sobie następującą sytuację. Mamy aplikację e-commerce. Możemy w niej dokonywać zakupów i opłacać je. Jedną z metod…

Read More Read More

Jak wykryć wyciek danych — prosty sposób dla każdego

Jak wykryć wyciek danych — prosty sposób dla każdego

Każdy system IT pracuje na różnych danych. A jak wykryć wyciek danych? Dziś się tego dowiesz. Zazwyczaj można powiedzieć, że właśnie te dane są sercem całego systemu. Dzięki nim system jest w stanie dostarczać wartość Klientom. Co to może być? W systemie e-commerce może to być zbiór wszystkich produktów, zamówień lub danych o Klientach. Oczywiście to nie wszystkie dane, na których operuje taka aplikacja. W dzisiejszym odcinku najbardziej nas interesują dane wrażliwe. Dla uproszczenia możemy przyjąć, że dane wrażliwe to…

Read More Read More

Błędy zarządzania zależnościami i jak ich unikać

Błędy zarządzania zależnościami i jak ich unikać

Każdy obecnie tworzony system IT bardzo mocno polega na zależnościach. A my cały czas popełniamy błędy zarządzania zależnościami. Z jednaj strony jest to niezwykle wygodne. Zdejmuje to z naszej głowy myślenie o przetestowaniu danej funkcji (którą dostarcza ta zależność) oraz utrzymaniu jej. Nie oznacza to oczywiście, że już nie musimy testować całości systemu, jednak korzystanie z gotowych zależności pozwala nam na wzięcie gotowego elementu, który przetestował ktoś inny. To redukuje szansę na błędy po naszej stronie. Pamiętajmy – redukuje, ale…

Read More Read More

Licencje Open Source. To prostsze niż Ci się wydaje

Licencje Open Source. To prostsze niż Ci się wydaje

Licencje Open Source. To tylko prawne wymysły, czy istotna dla nas sprawa? Dlaczego to nas w ogóle powinno interesować? W każdym systemie IT, który tworzymy, korzystamy z ogromnej ilości zależności. Dość swobodnie dodajemy do aplikacji nowe biblioteki. Szczególnie, jak są dostępne publiczne i są darmowe. Zresztą to nic dziwnego, w końcu to bardzo wygodna i optymalna zasada architektoniczna. Biblioteki Open Source, szczególnie gdy są używane przez wiele osób, mają wiele zalet. Dzięki nim nie musimy implementować samodzielnie kolejnych mniej lub…

Read More Read More

Zarządzanie sekretami

Zarządzanie sekretami

Sekrety w naszym systemie są niezwykle istotne. Te, które są używane do komunikacji z naszym systemem, otwierają drzwi do danych i akcji w naszym systemie. Zaś te, które są używane do komunikacji z innymi systemami, również mogą narobić nam sporo problemów. Na przykład upublicznić dane naszych Klientów lub zmodyfikować dane w niewłaściwy sposób. Dlatego warto zadbać o poprawne zarządzanie sekretami. Wyobraź sobie, że wyciekły szczegóły połączenia do naszej bazy danych. Ktoś teraz ma pełen dostęp do naszych danych. I to…

Read More Read More

Content Security Policy – poziomy dojrzałości

Content Security Policy – poziomy dojrzałości

Tworzenie bezpiecznych aplikacji internetowych nie jest proste. Bardzo łatwo jest zostawić w nich podatności, narażając użytkowników na różne zagrożenia. Można by tu wymieniać dziesiątki z nich, ale skupmy się tutaj na kilku poniższych: Clickjacking – wyświetlenie użytkownikowi zachęty do kliknięcia, wskutek którego wykona on niechcianą akcję w innej aplikacji,  ManInMiddle – możliwość podsłuchania i modyfikacji requestów aplikacji do serwera,  Formjacking – przejęcie danych wprowadzanych przez użytkownika w formularzach,  Unvalidated Redirects – niezaplanowane przez twórców przekierowania na zewnętrzne adresy, XSS – wykonanie…

Read More Read More

Automatyczne testowanie XSS

Automatyczne testowanie XSS

W ramach rozszerzenia poprzedniego artykułu o ręcznym szukaniu podatności typu XSS warto jeszcze wspomnieć o metodzie na automatyczne testowanie XSS. Jest to możliwe z użyciem OWASP ZAP.Zobaczmy krok po kroku w jaki sposób. Instrukcja testów Na początku musimy się upewnić, że mamy zainstalowane dodatki: https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/ https://www.zaproxy.org/docs/desktop/addons/dom-xss-active-scan-rule/ Następnie przechodzimy do testowania. Każdorazowo testy w OWASP ZAP należy zacząć od definicji zapytań (requestów) w ramach aplikacji – etap discovery (odkrywania aplikacji). Najprościej zrobić to ręcznie za pomocą odpowiednio skonfigurowanej przeglądarki. Możemy ją…

Read More Read More

Zabezpieczenie przed XSS

Zabezpieczenie przed XSS

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W ramach mojego cyklu artykułów dotyczących zagrożenia XSS (Cross Site Scripting) przyszedł czas na opisanie sposobów zabezpieczenia aplikacji. Potraktuj to jednak bardziej jako podsumowanie różnych metod zabezpieczenia niż jako pełne kompendium. Jeżeli zależy Ci na pełnym opisie określonych technik mitygacji, zwróć uwagę na linki do dodatkowych materiałów, które dołączę w treści artykułu. W temacie zabezpieczenia przez atakami XSS można wyróżnić…

Read More Read More

Automatyczne wykrywanie XSS

Automatyczne wykrywanie XSS

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS

Wykrywanie XSS

Wykrywanie XSS

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule skupimy się na metodach wykrywania podatności typu XSS. Dowiesz się, w jaki sposób identyfikować potencjalnie zagrożone elementy aplikacji oraz jak weryfikować, czy rzeczywiście są one zagrożeniem.Zachęcam również do przeczytania pierwszego wpisy – o tym czym jest XSS i dlaczego jest groźny. W szczególności, gdy nie jesteś jeszcze zaznajomiony z tematem. Ręcznie testowanie Zacznijmy od tego, w jaki…

Read More Read More

%d bloggers like this: