Ładuję...
zaloguj się i wrzuć coś ciekawego na flakera
niedziela 7 marca
Analiza struktury bazy danych
W chwili wykrycia podatności skryptu na SQL Injection najtrudniejszym zadaniem jest zdobycie informacji na temat struktury bazy, dzięki czemu możliwa będzie analiza zgromadzonych w niej danych. Pierwszym miejscem gdzie należy szukać jakichkolwiek informacji są błędy zwracane przez skrypt. Możemy w nich znaleźć, albo informację o zapytaniu SQL, albo o ścieżce do loga przechowującego listę błędów. [...] #BazyDanych #MySQL #SqlInection 
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
niedziela 21 lutego
Obsługa plików, a SQL Injection
Podczas poszukiwania podatności SQL Injection głównym obszarem analizy jest zawartość strony, generowana dynamicznie na podstawie danych pobranych z bazy. To właśnie dzięki niej jesteśmy w stanie określić czy wstrzyknięte przez nas zapytanie wykonało się poprawnie. Stosując tę metodę można natrafić na kilka sytuacji, w których analiza czy też dostęp do danych jest ograniczony. Przykładem takiego [...] #BazyDanych #Pliki #SQLInjection #Sqli
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
piątek 5 lutego
Dlaczego warto solić hasła?
Jakiś czas temu podczas opisywania bezpieczeństwa funkcji hashujących pisałem jak solenie haseł zwiększa ich bezpieczeństwo. Celem tego działania miało być utrudnienie pracy tęczowym tablicom. Wiele osób uważa, że samo hashowanie haseł daje wystarczający poziom bezpieczeństwa – przykładowo porzucając MD5 na rzecz SHA-1 / SHA-2. Rozumowanie takie ma jedną drobną wadę, mianowicie nie potrzeba „złamać” hasha, [...] #Logowanie #Hash #Solenie #TęczoweTablice
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
czwartek 24 grudnia
Open redirect – zabezpieczenie na przykładzie Gazeta.pl
Czym są otwarte przekierowania można przeczytać w jednej z ostatnich notek na temat występowania tego błędu na stronach Wydawnictwa Helion. W poniższej notce skupimy się na sposobach zabezpieczenia serwisu przed tego typu podatnością na podstawie serwisów newsowych portalu Gazeta.pl. Wiele z dostępnych artykułów w serwisach newsowych Gazety mają dołączone zdjęcia. Kliknięcie na dowolne zdjęcie przenosi [...] #BezpieczeństwoAplikacjiInternetowych #GazetaplOpenRedirect #OtwartePrzekierowanie
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
poniedziałek 16 listopada
Ochrona przed spamem (żniwiarkami)
Ostatnim czasem wyszedłem z założenia, że warto by wspomnieć o możliwości obrony przed programami zbierającymi adresy e-mail ze stron przy pomocy CSS. Mimo że sposób ten jest bardzo prosty nie kojarzę, abym spotkał się z nim na przeglądanych przeze mnie stronach. Całość opiera się na wykorzystaniu właściwości content umożliwiającej dodanie tekstu do wybranego tagu HTML. [...] #BezpieczeństwoAplikacjiInternetowych #Harvester #Spam #żniwiarki
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
sobota 7 listopada
CONFidence Security Evangelist
Wraz z nadchodzącą konferencją CONFidence ruszył plebiscyt na najlepszy (?) blog / serwis zajmujący się tematyką bezpieczeństwa IT. Wśród blogów na które można głosować znajduje się również mój, tak więc jeśli ktoś czuje nieodpartą chęć oddania głosu polecam swoją osobę :) Kliknij, aby wziąć udział w głosowaniu, Yes we can! ;-) #Aktualności
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
środa 21 października
Strategia
Jednym z przydatniejszych elementów programowania obiektowego jest dziedziczenie. Ze względu na swoją przydatność i popularność używania przez programistów często jest on nadużywany. Załóżmy, że chcemy stworzyć zestaw klas opisujących zwierzęta. Jako, że wszystkie zwierzęta posiadając wspólne cechy, stwórzmy klasę bazową, która będzie je zawierała. abstract class Animal { private $weight; private $height; public function __set( [...] #WzorceProjektowe #DesignPatterns #Dziedziczenie #Strategia #Strategy
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
niedziela 18 października
Open redirect w helion.pl
Otwarte przekierowanie jest rodzajem ataku skierowanego na skrypty dokonujące przekierowanie użytkownika na inne strony. Skrypty takie charakteryzują się przekazywaniem adresu strony jako jednego z parametrów adresu URL. Przykładowy adres może mieć następujący format: adres.pl/...edirect.php?url=beldzio.c... 
Problem pojawia się w chwili, gdy skrypt nie sprawdza czy adres docelowy jest adresem oczekiwanym przez użytkownika (z zasady przekierowanie jest ... #BugTraq #Helion #Helionpl #OpenRedirect #OtwartePrzekierowanie #XSS
Problem pojawia się w chwili, gdy skrypt nie sprawdza czy adres docelowy jest adresem oczekiwanym przez użytkownika (z zasady przekierowanie jest ... #BugTraq #Helion #Helionpl #OpenRedirect #OtwartePrzekierowanie #XSS
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
środa 14 października
XSS w serwisie Wirtualnej Polski
Często podawanym sposobem na zabezpieczenie się przed atakami typu XSS jest usunięcie z danych przesyłanych od użytkownika wszystkiego znajdującego się pomiędzy znakami „<”, „>”. Działanie takie jest jak najbardziej prawidłowe w przypadku, gdy korzystamy z niego świadomie. Wiara, że użycie „magicznej” funkcji strip_tags (w przypadku PHP) w pełni nas obroni jest złudna. strip_tags( ) spełnia [...] #BugTraq #Nocoty #WirtualnaPolska #Wp #XSS
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
piątek 25 września
Obserwator
#WzorceProjektowe #DesignPatterns #Observer #Obserwator
- dodaj komentarz
-
oceń wpis
- linkuj
- dodaj do historyjki
