Architecture Archives

Logi audytowe — czemu są potrzebne w aplikacji?

February 4, 2025 suvroc Comments 0 Comment

Czy logi audytowe w aplikacji są w stanie nam w czymś pomóc? A może to tylko dziwne wymaganie biznesu? Dziś się tego dowiesz. Większość systemów, z których korzystamy i które tworzymy, operuje na danych. Jedną z akcji na tych danych jest oczywiście ich modyfikacja. Taka modyfikacja może mieć wpływ na całość działania systemu, a wtedy powinna być szczególnie chroniona. Logi w użyciu Wyobraźmy sobie następującą sytuację. Mamy aplikację e-commerce. Możemy w niej dokonywać zakupów i opłacać je. Jedną z metod…

Read More Read More

Jak wykryć wyciek danych — prosty sposób dla każdego

February 4, 2025 suvroc Comments 0 Comment

Każdy system IT pracuje na różnych danych. A jak wykryć wyciek danych? Dziś się tego dowiesz. Zazwyczaj można powiedzieć, że właśnie te dane są sercem całego systemu. Dzięki nim system jest w stanie dostarczać wartość Klientom. Co to może być? W systemie e-commerce może to być zbiór wszystkich produktów, zamówień lub danych o Klientach. Oczywiście to nie wszystkie dane, na których operuje taka aplikacja. W dzisiejszym odcinku najbardziej nas interesują dane wrażliwe. Dla uproszczenia możemy przyjąć, że dane wrażliwe to…

Read More Read More

Błędy zarządzania zależnościami i jak ich unikać

February 4, 2025 suvroc Comments 0 Comment

Każdy obecnie tworzony system IT bardzo mocno polega na zależnościach. A my cały czas popełniamy błędy zarządzania zależnościami. Z jednaj strony jest to niezwykle wygodne. Zdejmuje to z naszej głowy myślenie o przetestowaniu danej funkcji (którą dostarcza ta zależność) oraz utrzymaniu jej. Nie oznacza to oczywiście, że już nie musimy testować całości systemu, jednak korzystanie z gotowych zależności pozwala nam na wzięcie gotowego elementu, który przetestował ktoś inny. To redukuje szansę na błędy po naszej stronie. Pamiętajmy – redukuje, ale…

Read More Read More

Licencje Open Source. To prostsze niż Ci się wydaje

November 18, 2024 suvroc Comments 0 Comment

Licencje Open Source. To tylko prawne wymysły, czy istotna dla nas sprawa? Dlaczego to nas w ogóle powinno interesować? W każdym systemie IT, który tworzymy, korzystamy z ogromnej ilości zależności. Dość swobodnie dodajemy do aplikacji nowe biblioteki. Szczególnie, jak są dostępne publiczne i są darmowe. Zresztą to nic dziwnego, w końcu to bardzo wygodna i optymalna zasada architektoniczna. Biblioteki Open Source, szczególnie gdy są używane przez wiele osób, mają wiele zalet. Dzięki nim nie musimy implementować samodzielnie kolejnych mniej lub…

Read More Read More

Zarządzanie sekretami

October 14, 2024 suvroc Comments 0 Comment

Sekrety w naszym systemie są niezwykle istotne. Te, które są używane do komunikacji z naszym systemem, otwierają drzwi do danych i akcji w naszym systemie. Zaś te, które są używane do komunikacji z innymi systemami, również mogą narobić nam sporo problemów. Na przykład upublicznić dane naszych Klientów lub zmodyfikować dane w niewłaściwy sposób. Dlatego warto zadbać o poprawne zarządzanie sekretami. Wyobraź sobie, że wyciekły szczegóły połączenia do naszej bazy danych. Ktoś teraz ma pełen dostęp do naszych danych. I to…

Read More Read More

Content Security Policy – poziomy dojrzałości

May 13, 2021 suvroc Comments 0 Comment

Tworzenie bezpiecznych aplikacji internetowych nie jest proste. Bardzo łatwo jest zostawić w nich podatności, narażając użytkowników na różne zagrożenia. Można by tu wymieniać dziesiątki z nich, ale skupmy się tutaj na kilku poniższych: Clickjacking – wyświetlenie użytkownikowi zachęty do kliknięcia, wskutek którego wykona on niechcianą akcję w innej aplikacji, ManInMiddle – możliwość podsłuchania i modyfikacji requestów aplikacji do serwera, Formjacking – przejęcie danych wprowadzanych przez użytkownika w formularzach, Unvalidated Redirects – niezaplanowane przez twórców przekierowania na zewnętrzne adresy, XSS – wykonanie…

Read More Read More

Automatyczne testowanie XSS

May 10, 2021 suvroc Comments 0 Comment

W ramach rozszerzenia poprzedniego artykułu o ręcznym szukaniu podatności typu XSS warto jeszcze wspomnieć o metodzie na automatyczne testowanie XSS. Jest to możliwe z użyciem OWASP ZAP.Zobaczmy krok po kroku w jaki sposób. Instrukcja testów Na początku musimy się upewnić, że mamy zainstalowane dodatki: https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/ https://www.zaproxy.org/docs/desktop/addons/dom-xss-active-scan-rule/ Następnie przechodzimy do testowania. Każdorazowo testy w OWASP ZAP należy zacząć od definicji zapytań (requestów) w ramach aplikacji – etap discovery (odkrywania aplikacji). Najprościej zrobić to ręcznie za pomocą odpowiednio skonfigurowanej przeglądarki. Możemy ją…

Read More Read More

Zabezpieczenie przed XSS

May 6, 2021 suvroc Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W ramach mojego cyklu artykułów dotyczących zagrożenia XSS (Cross Site Scripting) przyszedł czas na opisanie sposobów zabezpieczenia aplikacji. Potraktuj to jednak bardziej jako podsumowanie różnych metod zabezpieczenia niż jako pełne kompendium. Jeżeli zależy Ci na pełnym opisie określonych technik mitygacji, zwróć uwagę na linki do dodatkowych materiałów, które dołączę w treści artykułu. W temacie zabezpieczenia przez atakami XSS można wyróżnić…

Read More Read More

Automatyczne wykrywanie XSS

May 3, 2021 suvroc Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS

Wykrywanie XSS

April 29, 2021 suvroc Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule skupimy się na metodach wykrywania podatności typu XSS. Dowiesz się, w jaki sposób identyfikować potencjalnie zagrożone elementy aplikacji oraz jak weryfikować, czy rzeczywiście są one zagrożeniem.Zachęcam również do przeczytania pierwszego wpisy – o tym czym jest XSS i dlaczego jest groźny. W szczególności, gdy nie jesteś jeszcze zaznajomiony z tematem. Ręcznie testowanie Zacznijmy od tego, w jaki…

Read More Read More

Diwebsity

Web diversity in few simple words

Browsed by
Category: Architecture

Logi audytowe — czemu są potrzebne w aplikacji?

February 4, 2025 suvroc Comments 0 Comment

Like this:

Jak wykryć wyciek danych — prosty sposób dla każdego

February 4, 2025 suvroc Comments 0 Comment

Like this:

Błędy zarządzania zależnościami i jak ich unikać

February 4, 2025 suvroc Comments 0 Comment

Like this:

Licencje Open Source. To prostsze niż Ci się wydaje

November 18, 2024 suvroc Comments 0 Comment

Like this:

Zarządzanie sekretami

October 14, 2024 suvroc Comments 0 Comment

Like this:

Content Security Policy – poziomy dojrzałości

May 13, 2021 suvroc Comments 0 Comment

Like this:

Automatyczne testowanie XSS

May 10, 2021 suvroc Comments 0 Comment

Like this:

Zabezpieczenie przed XSS

May 6, 2021 suvroc Comments 0 Comment

Like this:

Automatyczne wykrywanie XSS

May 3, 2021 suvroc Comments 0 Comment

Like this:

Wykrywanie XSS

April 29, 2021 suvroc Comments 0 Comment

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this:

Share this:

Like this: