Aplikacje internetowe

Kohana 3

Wraz z rozwojem frameworka autorzy doszli do wniosku, że nadszedł czas na większe zmiany. Z pojawieniem się gałęzi 3.x Kohany otrzymaliśmy framework, który w dużym stopniu różnił się od tego, który znaliśmy do tej pory. Zmiany te można interpretować dwojako. Z jednej strony otrzymaliśmy nową funkcjonalność, która ma nam ułatwić pracę, z drugiej postawiono nas…

19 października, 2010
Analiza struktury bazy danych

W chwili wykrycia podatności skryptu na SQL Injection najtrudniejszym zadaniem jest zdobycie informacji na temat struktury bazy, dzięki czemu możliwa będzie analiza zgromadzonych w niej danych. Pierwszym miejscem gdzie należy szukać jakichkolwiek informacji są błędy zwracane przez skrypt. Możemy w nich znaleźć, albo informację o zapytaniu SQL, albo o ścieżce do loga przechowującego listę błędów.…

7 marca, 2010
Obsługa plików, a SQL Injection

Podczas poszukiwania podatności SQL Injection głównym obszarem analizy jest zawartość strony, generowana dynamicznie na podstawie danych pobranych z bazy. To właśnie dzięki niej jesteśmy w stanie określić czy wstrzyknięte przez nas zapytanie wykonało się poprawnie. Stosując tę metodę można natrafić na kilka sytuacji, w których analiza czy też dostęp do danych jest ograniczony.

21 lutego, 2010
Dlaczego warto solić hasła?

Jakiś czas temu podczas opisywania bezpieczeństwa funkcji hashujących pisałem jak solenie haseł zwiększa ich bezpieczeństwo. Celem tego działania miało być utrudnienie pracy tęczowym tablicom. Wiele osób uważa, że samo hashowanie haseł daje wystarczający poziom bezpieczeństwa – przykładowo porzucając MD5 na rzecz SHA-1 / SHA-2. Rozumowanie takie ma jedną drobną wadę, mianowicie nie potrzeba „złamać” hasha,…

5 lutego, 2010
Open redirect – zabezpieczenie na przykładzie Gazeta.pl

Czym są otwarte przekierowania można przeczytać w jednej z ostatnich notek na temat występowania tego błędu na stronach Wydawnictwa Helion. W poniższej notce skupimy się na sposobach zabezpieczenia serwisu przed tego typu podatnością na podstawie serwisów newsowych portalu Gazeta.pl.

24 grudnia, 2009
Ochrona przed spamem (żniwiarkami)

Ostatnim czasem wyszedłem z założenia, że warto by wspomnieć o możliwości obrony przed programami zbierającymi adresy e-mail ze stron przy pomocy CSS. Mimo że sposób ten jest bardzo prosty nie kojarzę, abym spotkał się z nim na przeglądanych przeze mnie stronach.

16 listopada, 2009
CONFidence Security Evangelist

Wraz z nadchodzącą konferencją CONFidence ruszył plebiscyt na najlepszy (?) blog / serwis zajmujący się tematyką bezpieczeństwa IT. Wśród blogów na które można głosować znajduje się również mój, tak więc jeśli ktoś czuje nieodpartą chęć oddania głosu polecam swoją osobę :) Kliknij, aby wziąć udział w głosowaniu, Yes we can! ;-)

8 listopada, 2009
Strategia

Jednym z przydatniejszych elementów programowania obiektowego jest dziedziczenie. Ze względu na swoją przydatność i popularność używania przez programistów często jest on nadużywany.

21 października, 2009
Open redirect w helion.pl

Otwarte przekierowanie jest rodzajem ataku skierowanego na skrypty dokonujące przekierowanie użytkownika na inne strony. Skrypty takie charakteryzują się przekazywaniem adresu strony jako jednego z parametrów adresu URL. Przykładowy adres może mieć następujący format:

18 października, 2009
XSS w serwisie Wirtualnej Polski

Często podawanym sposobem na zabezpieczenie się przed atakami typu XSS jest usunięcie z danych przesyłanych od użytkownika wszystkiego znajdującego się pomiędzy znakami „<„, „>”. Działanie takie jest jak najbardziej prawidłowe w przypadku, gdy korzystamy z niego świadomie. Wiara, że użycie „magicznej” funkcji strip_tags (w przypadku PHP) w pełni nas obroni jest złudna.

14 października, 2009