Browsed by
Tag: bezpieczeństwo

Co się stanie, jak umieszczę sekret w kodzie?

Co się stanie, jak umieszczę sekret w kodzie?

Comments 0 Comment

Podczas tworzenia aplikacji wykorzystujemy często bardzo wiele różnych sekretów. Nieraz to jest nawet sekret w kodzie. W wielu przypadkach są to jakiegoś rodzaju klucze dostępowe do pewnych innych części naszego systemu jak: Może to być również klucz dostępu do zewnętrznych usług, które jednak operują na naszych wrażliwych danych W każdym z takich przypadków sekrety, których używamy w aplikacji, są kluczem do istotnych danych lub akcji. Dlatego też są bardzo ważne i należy je specjalnie chronić. Jednym z elementów zajmowania się…

Read More Read More

Zarządzanie sekretami

Zarządzanie sekretami

Comments 0 Comment

Sekrety w naszym systemie są niezwykle istotne. Te, które są używane do komunikacji z naszym systemem, otwierają drzwi do danych i akcji w naszym systemie. Zaś te, które są używane do komunikacji z innymi systemami, również mogą narobić nam sporo problemów. Na przykład upublicznić dane naszych Klientów lub zmodyfikować dane w niewłaściwy sposób. Dlatego warto zadbać o poprawne zarządzanie sekretami. Wyobraź sobie, że wyciekły szczegóły połączenia do naszej bazy danych. Ktoś teraz ma pełen dostęp do naszych danych. I to…

Read More Read More

Cykl życia sekretu

Cykl życia sekretu

Comments 0 Comment

Opowiem Ci dzisiaj o sekretach w kodzie aplikacji. Przyjrzymy się temu, o czym należy pamiętać, gdy korzystamy z sekretów i o tym jak zadbać o cykl życia sekretu. Zacznijmy od tego, czym w ogóle są sekrety w aplikacji? Nazwa “sekret” jest bardzo intuicyjna. Sekrety, czyli to wszystko, co nie powinno być dostępne dla żadnych osób postronnych oraz dla użytkowników naszej aplikacji (z wyjątkiem danych ich konta w naszym systemie). Na przykład: Różne perspektywy na sekrety Na sekrety możemy spojrzeć z…

Read More Read More

Content Security Policy – poziomy dojrzałości

Content Security Policy – poziomy dojrzałości

Comments 0 Comment

Tworzenie bezpiecznych aplikacji internetowych nie jest proste. Bardzo łatwo jest zostawić w nich podatności, narażając użytkowników na różne zagrożenia. Można by tu wymieniać dziesiątki z nich, ale skupmy się tutaj na kilku poniższych: Clickjacking – wyświetlenie użytkownikowi zachęty do kliknięcia, wskutek którego wykona on niechcianą akcję w innej aplikacji,  ManInMiddle – możliwość podsłuchania i modyfikacji requestów aplikacji do serwera,  Formjacking – przejęcie danych wprowadzanych przez użytkownika w formularzach,  Unvalidated Redirects – niezaplanowane przez twórców przekierowania na zewnętrzne adresy, XSS – wykonanie…

Read More Read More

Automatyczne testowanie XSS

Automatyczne testowanie XSS

Comments 0 Comment

W ramach rozszerzenia poprzedniego artykułu o ręcznym szukaniu podatności typu XSS warto jeszcze wspomnieć o metodzie na automatyczne testowanie XSS. Jest to możliwe z użyciem OWASP ZAP.Zobaczmy krok po kroku w jaki sposób. Instrukcja testów Na początku musimy się upewnić, że mamy zainstalowane dodatki: https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/ https://www.zaproxy.org/docs/desktop/addons/dom-xss-active-scan-rule/ Następnie przechodzimy do testowania. Każdorazowo testy w OWASP ZAP należy zacząć od definicji zapytań (requestów) w ramach aplikacji – etap discovery (odkrywania aplikacji). Najprościej zrobić to ręcznie za pomocą odpowiednio skonfigurowanej przeglądarki. Możemy ją…

Read More Read More

Co powinniśmy robić, planując wyjście z domu w czasach koronawirusa?

Co powinniśmy robić, planując wyjście z domu w czasach koronawirusa?

Comments 1 comment

W marcu tego roku koronawirus nieodwracalnie zmienił nasze życie. Od tego czasu dość mocno zmieniliśmy nasze zwyczaje. Obecna sytuacja wymaga od nas nowych sposobów na zabezpieczanie siebie i naszych bliskich. Planując wyjście z domu w czasach koronawirusa musimy być rozsądni. Samo zabezpieczenie siebie jest dość proste, jeżeli tylko będziemy pamiętali o 3 najważniejszych rzeczach podczas planowania naszych aktywności, ale o tym za chwilę. Co zmieniłem w swoich zwyczajach w trosce o bezpieczeństwo moje i moich bliskich? Dużo częściej korzystam z…

Read More Read More

threat modelling
Threat modelling – co to jest?

Threat modelling – co to jest?

Comments 0 Comment

Threat modelling, modelowanie zagrożeń, analiza bezpieczeństwa – jest na to wiele nazw. Większość z nas kojarzy, że jest to aktywność związana z bezpieczeństwem, ale o co dokładnie tutaj chodzi?  Jaki cel ma threat modelling? W tworzeniu aplikacji musimy zwracać uwagę na różne wymagania. Zarówno funkcjonalne jak i niefunkcjonalne. Jedną z istotnych niefunkcjonalnych właściwości systemu, na którą trzeba zwracać uwagę, jest jego bezpieczeństwo. Jednak w tym przypadku, w porównaniu do innych atrybutów systemu (takich jak dostępność, wydajność, …), nie zawsze łatwo…

Read More Read More

Nie ma nic za darmo – freeware

Nie ma nic za darmo – freeware

Comments 0 Comment

Zagrożenie Jest takie powiedzenie, że nie ma nic za darmo. Ma ono dość dobre zastosowanie w przypadku różnych darmowych programów. Ich twórcy chcą na nich zarabiać, więc próbują to zrobić na różne sposoby. Nieraz oferują wersję premium, innym razem za dodatkową opłatą udostępniają brakujące funkcje niedostępne w wersji darmowej. Obie te metody są w porządku pod warunkiem, że są jasno zakomunikowane. Jednak zdarza się również, że twórcy darmowego oprogramowania (freeware) dołączają do swoich aplikacji dodatkowe programy, które instalują się mimochodem…

Read More Read More

Socjotechnika

Socjotechnika

Comments 0 Comment

Do posłuchania Zagrożenie Wyobraź sobie następującą sytuację: Dzwoni do Ciebie ktoś, kto przedstawia się jako Piotr z działu technicznego w Twojej firmie. Informuje Cię, że nastąpiło włamanie na komputery firmy i w wyniku zaszyfrowania danych firma utraciła bardzo dużo danych. Prosi Cię też o dyskrecję, ponieważ nie jest to jeszcze informacja publiczna – nie stawia firmy w dobrym świetle. Pyta Cię jakie dokumenty miałeś zgrane lokalnie i proponuje, że podłączy się do Ciebie zdalnym dostępem, żeby bazując na Twoich kopiach,…

Read More Read More

Domowe WiFi – jak chronić

Domowe WiFi – jak chronić

Comments 0 Comment

Zagrożenie Co robisz, gdy przychodzi do Ciebie Twój znajomy i chce skorzystać z internetu? Czy dajesz mu hasło do swojego WiFi?A co w przypadku, gdy ktoś mniej Ci znany i zaufany prosi Cię o dostęp do internetu? Rozdawanie swojego hasła do WiFi jest trochę jak rozdawanie swoich kluczy do mieszkania. Co nam grozi? W momencie, gdy ktoś ma dostęp do naszego domowego WiFi, uzyskuje także dostęp do naszej prywatnej, domowej sieci. W tej sieci możemy mieć wpięte komputery, które mogą…

Read More Read More

%d bloggers like this: