Browsed by
Category: Architecture

Content Security Policy – poziomy dojrza艂o艣ci

Content Security Policy – poziomy dojrza艂o艣ci

Tworzenie bezpiecznych aplikacji internetowych nie jest proste. Bardzo 艂atwo jest zostawi膰 w nich podatno艣ci, nara偶aj膮c u偶ytkownik贸w na r贸偶ne zagro偶enia. Mo偶na by tu wymienia膰 dziesi膮tki z nich, ale skupmy si臋 tutaj na kilku poni偶szych: Clickjacking – wy艣wietlenie u偶ytkownikowi zach臋ty do klikni臋cia, wskutek kt贸rego wykona on niechcian膮 akcj臋 w innej aplikacji,聽 ManInMiddle – mo偶liwo艣膰 pods艂uchania i modyfikacji request贸w aplikacji do serwera,聽 Formjacking – przej臋cie danych wprowadzanych przez u偶ytkownika w formularzach,聽 Unvalidated Redirects – niezaplanowane przez tw贸rc贸w przekierowania na zewn臋trzne adresy,聽XSS – wykonanie…

Read More Read More

Automatyczne testowanie XSS

Automatyczne testowanie XSS

W ramach rozszerzenia poprzedniego artyku艂u o r臋cznym szukaniu podatno艣ci typu XSS warto jeszcze wspomnie膰 o metodzie na automatyczne testowanie XSS. Jest to mo偶liwe z u偶yciem OWASP ZAP.Zobaczmy krok po kroku w jaki spos贸b. Instrukcja test贸w Na pocz膮tku musimy si臋 upewni膰, 偶e mamy zainstalowane dodatki: https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/ https://www.zaproxy.org/docs/desktop/addons/dom-xss-active-scan-rule/ Nast臋pnie przechodzimy do testowania. Ka偶dorazowo testy w OWASP ZAP nale偶y zacz膮膰 od definicji zapyta艅 (request贸w) w ramach aplikacji – etap discovery (odkrywania aplikacji). Najpro艣ciej zrobi膰 to r臋cznie za pomoc膮 odpowiednio skonfigurowanej przegl膮darki. Mo偶emy j膮…

Read More Read More

Zabezpieczenie przed XSS

Zabezpieczenie przed XSS

Ten artyku艂 jest cz臋艣ci膮 serii o zagro偶eniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W ramach mojego cyklu artyku艂贸w dotycz膮cych zagro偶enia XSS (Cross Site Scripting) przyszed艂 czas na opisanie sposob贸w zabezpieczenia aplikacji. Potraktuj to jednak bardziej jako podsumowanie r贸偶nych metod zabezpieczenia ni偶 jako pe艂ne kompendium. Je偶eli zale偶y Ci na pe艂nym opisie okre艣lonych technik mitygacji, zwr贸膰 uwag臋 na linki do dodatkowych materia艂贸w, kt贸re do艂膮cz臋 w tre艣ci artyku艂u. W temacie zabezpieczenia przez atakami XSS mo偶na wyr贸偶ni膰…

Read More Read More

Wykrywanie XSS

Wykrywanie XSS

Ten artyku艂 jest cz臋艣ci膮 serii o zagro偶eniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule skupimy si臋 na metodach wykrywania podatno艣ci typu XSS. Dowiesz si臋, w jaki spos贸b identyfikowa膰 potencjalnie zagro偶one elementy aplikacji oraz jak weryfikowa膰, czy rzeczywi艣cie s膮 one zagro偶eniem.Zach臋cam r贸wnie偶 do przeczytania pierwszego wpisy – o tym czym jest XSS i dlaczego jest gro藕ny. W szczeg贸lno艣ci, gdy nie jeste艣 jeszcze zaznajomiony z tematem. R臋cznie testowanie Zacznijmy od tego, w jaki…

Read More Read More

Co to jest XSS?

Co to jest XSS?

Ten artyku艂 jest cz臋艣ci膮 serii o zagro偶eniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule przyjrzymy si臋 dok艂adniej jednemu z najpopularniejszych (cho膰 jednocze艣nie jednemu z prostszych) zagro偶e艅 w stosunku do aplikacji webowych. Jest to atak typu XSS – Cross Site Scripting. Znalaz艂 si臋 on nawet na li艣cie najcz臋艣ciej wyst臋puj膮cych podatno艣ci w aplikacjach webowych OWASP TOP 10 (na miejscu 7). Ale Co to jest XSS Na czym polega XSS? Atak Cross Site Scripting…

Read More Read More

Jak podejmowa膰 wystarczaj膮co dobre decyzje? – podej艣cie analityczne

Jak podejmowa膰 wystarczaj膮co dobre decyzje? – podej艣cie analityczne

W tym artykule chcia艂bym Ci krok po kroku zaprezentowa膰 moje podej艣cie do dokonywania wybor贸w. Ale nie byle jakich wybor贸w, tylko wybor贸w dostatecznie dobrych. Jest to o tyle istotne, 偶e w dzisiejszym 艣wiecie bardzo 艂atwo jest popa艣膰 w tak zwany parali偶 decyzyjny. Sytuacj臋, gdy analiza opcji przed podj臋ciem decyzji jest wa偶niejsza ni偶 sama decyzja. Do艣膰 艂atwo szukaj膮c idealnego rozwi膮zania, analizowa膰 coraz to nowe opcje lub te偶 pog艂臋bia膰 analiz臋 tych ju偶 znanych. W efekcie ci膮gle nie mo偶emy si臋 zdecydowa膰, co wybra膰. Sytuacja…

Read More Read More

Narz臋dzia do rysowania diagram贸w

Narz臋dzia do rysowania diagram贸w

Mam wra偶enie, 偶e diagramy s膮 jednym z moich najcz臋艣ciej u偶ywanych narz臋dzi jako architekta i konsultanta. J臋zyk wizualny jest jednym z najbardziej uniwersalnych i najprostszych sposob贸w przekazywania i przede wszystkim uwsp贸lnienia wiedzy. W zwi膮zku z tym do codziennej pracy potrzebuj臋 dobrego narz臋dzia do rysowania diagram贸w. Takich narz臋dzi jest bardzo wiele, jednak zanim zaczniemy zastanawia膰 si臋, kt贸re z nich wybra膰 (lub w og贸le jakie mamy mo偶liwo艣ci), to trzeba zdefiniowa膰 nasze wymagania. W moim przypadku bardzo mocno zale偶y mi na swobodzie tworzenia diagram贸w….

Read More Read More

Jak zrobi膰 wdro偶enie aplikacji bez przestoj贸w?

Jak zrobi膰 wdro偶enie aplikacji bez przestoj贸w?

Dzi艣 porozmawiamy o wdro偶eniach i o tym, w jaki spos贸b mo偶na zrobi膰 wdro偶enie aplikacji bez przestoj贸w, 偶eby 偶aden z naszych klient贸w tego nie zauwa偶y艂. Jak wygl膮da normalne wdro偶enie aplikacji? Gdy wdra偶amy kolejn膮 wersj臋 naszej aplikacji na serwer (mowa tu w szczeg贸lno艣ci o aplikacjach webowych), musimy wykona膰 kilka krok贸w: Wy艂膮czamy us艂ug臋.  Wgrywany nowe pliki.  W艂膮czamy us艂ug臋.  Poni偶sza animacja 艣wietnie to obrazuje. Nie jest moja, ale bardzo mi si臋 spodoba艂a. Tak wi臋c pomi臋dzy pierwszym a ostatnim krokiem mamy przest贸j w dzia艂aniu aplikacji….

Read More Read More

Rozw贸j aplikacji bez rewolucji u klient贸w

Rozw贸j aplikacji bez rewolucji u klient贸w

W pracy zwi膮zanej z rozwojem oprogramowania naturalne jest, 偶e ka偶da aplikacja, ka偶dy system, kt贸ry tworzymy pr臋dzej czy p贸藕niej b臋dzie musia艂 by膰 zmodyfikowany. To normalne, 艣wiat si臋 zmienia, wymagania biznesowe te偶, dlatego nasze systemy musz膮 dopasowywa膰 si臋 do tych zmian. Niekt贸re modyfikacje s膮 ma艂e i nie wp艂ywaj膮 zbyt mocno na system. Jednak pr臋dzej czy p贸藕niej nadchodz膮 pot臋偶ne zmiany, kt贸re potrafi膮 wywr贸ci膰 nasze dotychczasowe my艣lenie do g贸ry nogami. Jak wi臋c wdra偶a膰 takie zmiany w systemach w bezpieczny spos贸b, upewniaj膮c si臋, 偶e nasi…

Read More Read More