Browsed by
Tag: security

Co się stanie, jak umieszczę sekret w kodzie?

Co się stanie, jak umieszczę sekret w kodzie?

Comments 0 Comment

Podczas tworzenia aplikacji wykorzystujemy często bardzo wiele różnych sekretów. Nieraz to jest nawet sekret w kodzie. W wielu przypadkach są to jakiegoś rodzaju klucze dostępowe do pewnych innych części naszego systemu jak: Może to być również klucz dostępu do zewnętrznych usług, które jednak operują na naszych wrażliwych danych W każdym z takich przypadków sekrety, których używamy w aplikacji, są kluczem do istotnych danych lub akcji. Dlatego też są bardzo ważne i należy je specjalnie chronić. Jednym z elementów zajmowania się…

Read More Read More

Zarządzanie sekretami

Zarządzanie sekretami

Comments 0 Comment

Sekrety w naszym systemie są niezwykle istotne. Te, które są używane do komunikacji z naszym systemem, otwierają drzwi do danych i akcji w naszym systemie. Zaś te, które są używane do komunikacji z innymi systemami, również mogą narobić nam sporo problemów. Na przykład upublicznić dane naszych Klientów lub zmodyfikować dane w niewłaściwy sposób. Dlatego warto zadbać o poprawne zarządzanie sekretami. Wyobraź sobie, że wyciekły szczegóły połączenia do naszej bazy danych. Ktoś teraz ma pełen dostęp do naszych danych. I to…

Read More Read More

Cykl życia sekretu

Cykl życia sekretu

Comments 0 Comment

Opowiem Ci dzisiaj o sekretach w kodzie aplikacji. Przyjrzymy się temu, o czym należy pamiętać, gdy korzystamy z sekretów i o tym jak zadbać o cykl życia sekretu. Zacznijmy od tego, czym w ogóle są sekrety w aplikacji? Nazwa “sekret” jest bardzo intuicyjna. Sekrety, czyli to wszystko, co nie powinno być dostępne dla żadnych osób postronnych oraz dla użytkowników naszej aplikacji (z wyjątkiem danych ich konta w naszym systemie). Na przykład: Różne perspektywy na sekrety Na sekrety możemy spojrzeć z…

Read More Read More

Content Security Policy – poziomy dojrzałości

Content Security Policy – poziomy dojrzałości

Comments 0 Comment

Tworzenie bezpiecznych aplikacji internetowych nie jest proste. Bardzo łatwo jest zostawić w nich podatności, narażając użytkowników na różne zagrożenia. Można by tu wymieniać dziesiątki z nich, ale skupmy się tutaj na kilku poniższych: Clickjacking – wyświetlenie użytkownikowi zachęty do kliknięcia, wskutek którego wykona on niechcianą akcję w innej aplikacji,  ManInMiddle – możliwość podsłuchania i modyfikacji requestów aplikacji do serwera,  Formjacking – przejęcie danych wprowadzanych przez użytkownika w formularzach,  Unvalidated Redirects – niezaplanowane przez twórców przekierowania na zewnętrzne adresy, XSS – wykonanie…

Read More Read More

Zabezpieczenie przed XSS

Zabezpieczenie przed XSS

Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W ramach mojego cyklu artykułów dotyczących zagrożenia XSS (Cross Site Scripting) przyszedł czas na opisanie sposobów zabezpieczenia aplikacji. Potraktuj to jednak bardziej jako podsumowanie różnych metod zabezpieczenia niż jako pełne kompendium. Jeżeli zależy Ci na pełnym opisie określonych technik mitygacji, zwróć uwagę na linki do dodatkowych materiałów, które dołączę w treści artykułu. W temacie zabezpieczenia przez atakami XSS można wyróżnić…

Read More Read More

Automatyczne wykrywanie XSS

Automatyczne wykrywanie XSS

Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS

Wykrywanie XSS

Wykrywanie XSS

Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule skupimy się na metodach wykrywania podatności typu XSS. Dowiesz się, w jaki sposób identyfikować potencjalnie zagrożone elementy aplikacji oraz jak weryfikować, czy rzeczywiście są one zagrożeniem.Zachęcam również do przeczytania pierwszego wpisy – o tym czym jest XSS i dlaczego jest groźny. W szczególności, gdy nie jesteś jeszcze zaznajomiony z tematem. Ręcznie testowanie Zacznijmy od tego, w jaki…

Read More Read More

xss - gazeta
Co to jest XSS?

Co to jest XSS?

Comments 0 Comment

Ten artykuł jest częścią serii o zagrożeniu XSS: Co to jest XSS? Wykrywanie XSS Automatyczne wykrywanie XSS Zabezpieczenie przed XSS W tym artykule przyjrzymy się dokładniej jednemu z najpopularniejszych (choć jednocześnie jednemu z prostszych) zagrożeń w stosunku do aplikacji webowych. Jest to atak typu XSS – Cross Site Scripting. Znalazł się on nawet na liście najczęściej występujących podatności w aplikacjach webowych OWASP TOP 10 (na miejscu 7). Ale Co to jest XSS Na czym polega XSS? Atak Cross Site Scripting…

Read More Read More

Jak modelować zagrożenia za pomocą STRIDE?

Jak modelować zagrożenia za pomocą STRIDE?

Comments 0 Comment

Praktyka modelowania zagrożeń podczas tworzenia oprogramowania wymaga sporego przygotowania i dużej wiedzy ze strony zespołu, który ją przeprowadza. Jeżeli zespoły deweloperskie dopiero zaczynają stosować takie podejście, warto im ułatwić wejście w to zagadnienie. Temu służy właśnie STRIDE. W tym celu przydatne jest obudowanie modelowania zagrożeń w łatwy do zrozumienia i powtarzany proces. Dzięki temu nawet osoby, które na co dzień nie zajmują się bezpieczeństwem, będą w stanie w sprawny sposób brać udział w wymyślaniu kolejnych zagrożeń. Jako przykład załóżmy, że…

Read More Read More

Co powinniśmy robić, planując wyjście z domu w czasach koronawirusa?

Co powinniśmy robić, planując wyjście z domu w czasach koronawirusa?

Comments 1 comment

W marcu tego roku koronawirus nieodwracalnie zmienił nasze życie. Od tego czasu dość mocno zmieniliśmy nasze zwyczaje. Obecna sytuacja wymaga od nas nowych sposobów na zabezpieczanie siebie i naszych bliskich. Planując wyjście z domu w czasach koronawirusa musimy być rozsądni. Samo zabezpieczenie siebie jest dość proste, jeżeli tylko będziemy pamiętali o 3 najważniejszych rzeczach podczas planowania naszych aktywności, ale o tym za chwilę. Co zmieniłem w swoich zwyczajach w trosce o bezpieczeństwo moje i moich bliskich? Dużo częściej korzystam z…

Read More Read More

%d bloggers like this: