Dodany: 2019-02-14 05:00:03 | Ostatnio wołany: 2019-02-14 05:00:54


#od0dopentestera Kontynuujemy 10 odcinkowy kurs bezpieczeństwa aplikacji internetowych dla początkujących programistów.
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.

W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostać bezpieczne zapisane na przykład w bazie danych – tutaj kłania się haszowanie przy pomocy funkcji jednokierunkowych wraz z losowymi solami.
Gdy użytkownik posiada już konto – może się zalogować.
Ile razy może błędnie podać swoje dane logowania?
Jak zabezpieczyć się przed botami przy użyciu mechanizmu captchy?
Czy użyty został dodatkowy mechanizm dwuskładnikowego uwierzytelnienia - na przykład przy pomocy kodów SMS?
A może któryś z endpointów API nie wspiera tego mechanizmu co sprawia, że staje się on bezużyteczny?
Gdy dane zostaną już prawidłowo sprawdzone – należy wygenerować identyfikator sesji, na podstawie którego użytkownik będzie rozpoznawany w systemie.
Czy jest on dostatecznie losowy i unikalny?
A może opiera się na mailu lub też innej stałej co może doprowadzić do zalogowania się na konto innego użytkownika?
Zazwyczaj identyfikator ten jest przechowywany w ciasteczkach.
One to powinny mieć ustawioną flagę HttpOnly – tak aby nie można się było do nich dostać z poziomu kodu #javascript.
Na koniec – wylogowanie z systemu powinno być nieodwracalne – to znaczy sesje należy zniszczyć, aby nie można się było przy jej pomocy ponownie zalogować.
A może sesja nie jest niszczona a tylko usuwane jest ciasteczko po stronie użytkownika?
Zapraszam do materiału wideo.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-02-11 14:22:28 | Ostatnio wołany: 2019-02-11 14:23:57


Jak działa zimny i gorący portfel w odniesieniu do kryptowalut?
Czy Twoja firma przetrwa śmierć kluczowego pracownika? O czynniku autobusowym.
Jak nadużywa się mechanizmów ochrony praw autorskich aby uzyskać okup od Youtuberów?
Atakowanie kamer rozpoznających znaki ograniczenia prędkości w nowoczesnych samochodach.
Co to jest Jailbreak i jak można go wykryć z poziomu aplikacji na telefon?
Jak sprawdzić czy legitymacja studencka jest sfałszowana?
O bezpieczeństwie skrótów Siri w iPhone.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat

Przejdź do wpisu

Dodany: 2019-02-07 05:02:06 | Ostatnio wołany: 2019-02-07 05:02:56


OWASP Top 10 to zbiór dziesięciu najpopularniejszych błędów bezpieczeństwa, które można spotkać na stronach internetowych.
Rozpoczynam nowy cykl filmów właśnie na ten temat w ramach #od0dopentestera
Są one przeznaczone dla szerszego grona #webdev oraz #programista15k a nie tylko osób zajmujących się #bezpieczenstwo
Skupiam się tutaj na ogólnym przedstawieniu koncepcji a nie na szczegółowym wytłumaczeniu każdego z błędów.
Można to więc potraktować jako punkty, na które warto zwrócić uwagę podczas #programowanie

Dzisiaj A1: Injection czyli wstrzyknięcie.
Błędy tego rodzaju powstają jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i trafiają one bezpośrednio do zapytania lub jakiegoś polecenia.
Przy pomocy odpowiednio spreparowanego ciągu znaków atakujący ma możliwość pobrania innych rekordów lub wywołania innych komend niż wcześniej zakładano.
Najczęściej tego rodzaju podatności można spotkać w kodzie odpowiedzialnym za zapytania do różnego rodzaju baz danych.
Mogą one występować również gdy używamy funkcji służących do wykonania komend systemowych.
Kluczowe jest zatem odpowiednie filtrowanie danych pochodzących z zewnątrz.
W odniesieniu do SQL Injection - chodzi tutaj o Prepared Statements.
Zamiast przekazywać parametry bezpośrednio do zapytania - oznaczamy je zazwyczaj używając pytajnika.
A ich podmianą zajmuje się odpowiednia funkcja, która dba o zabezpieczenie całości.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-02-04 15:22:01 | Ostatnio wołany: 2019-02-04 15:23:01


Jak przekonać rodzica do kupna psa przy użyciu reklam na Facebooku?
Kopiowanie kodu ze StackOverflow początkiem problemów.
Jak powinien wyglądać dobry raport z testu penetracyjnego?
Historia wspólnego klucza prywatnego używanego przez wiele stron.
Co to jest "domain hijacking" i jak się przed nim bronić.
Quiz na temat phishingu od Google.
Jak przejąć domenę poprzez błędny rekord DNS?
Dlaczego tajny token do podpisywania ciasteczek musi być losowy?
Poradnik bezpieczeństwa dla Iphona.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.

#od0dopentestera #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-01-31 08:58:36 | Ostatnio wołany: 2019-01-31 08:59:15


CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wykonania jakiejś akcji przez zalogowanego użytkownika – chociażby stworzenia nowego konta administratora.
Dzisiaj w #od0dopentestera wytłumaczę jak działa ten mechanizm.

Przesyłając dane do strony zazwyczaj używamy formularza.
Serwer odpowiednio procesuje wysłane przez nas informacje i na ich podstawie wykonuje daną akcję.
Ale nic nie stoi na przeszkodzie, żeby ten sam formularz umieścić na jakiejś innej stronie – nie powiązanej z tą, do której przesyłamy dane.
Na pierwszy rzut oka możesz pomyśleć, że to nie zadziała – wszak musimy być zalogowani na danej stronie – a przecież inna domena nie jest powiązana z naszą witryną.
Tylko, że przeglądarki działają inaczej.
Kiedy przesyłane są jakieś dane do serwera – jeżeli przeglądarka posiada ciasteczko pasujące do danej domeny – dołącza je do żądania automatycznie.
A to właśnie na podstawie ciasteczka serwer wie, że my to my.
Stąd też atakujący może dla przykładu umieścić formularz mający za zadanie stworzyć nowego administratora na swojej stronie a następnie musi przekonać nas, abyśmy będąc zalogowanymi odwiedzili jego witrynę.
Wtedy to dane z formularza zostaną automatycznie przesłane razem z naszym ciasteczkiem – a ponieważ, byliśmy zalogowani – serwer wykona żądaną akcję.

Jak więc wygląda mechanizm obrony przed tym atakiem?
Do każdego formularza dokłada się dodatkowe pole – z losową wartością, która to jest następnie sprawdzana przed wykonaniem danej czynności.
Serwer wie jaka to wartość – wszak ją generuje, ale atakujący nie ma pojęcia jaka ona będzie – za każdym razem jest ona inna i losowa.
Dzięki temu nie jest w stanie spreparować formularza, który będzie zawierał prawidłową wartość.
Teraz już wiesz, dlaczego w ukrytych polach znajdują się losowe litery i cyfry.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-01-28 08:16:37 | Ostatnio wołany: 2019-01-28 08:17:32


Czy czcionka może zdemaskować oszusta?
Po co ktoś kradnie konta na Instagramie?
Dlaczego nie warto umieszczać zdjęć kart pokładowych w serwisach społecznościowych?
Garść porad na temat poszukiwania ukrytych kamer.
Nowy sposób przenoszenia złośliwego oprogramowania przy pomocy podpisanych plików .msi.
Atakowanie dźwigów na budowie.
Wykrywanie dronów na podstawie analizy wifi.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio oraz transkrypcja.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat

Przejdź do wpisu

Dodany: 2019-01-25 05:24:31 | Ostatnio wołany: 2019-01-25 05:25:03


Spring Boot Actuator to narzędzie które pozwala nam na monitorowanie naszej aplikacji napisanej w #spring.
Dzisiaj w #od0dopentestera nieco inne spojrzenie na ten mechanizm.

W standardowej konfiguracji z poziomu interfejsu webowego dostępne są endpointy health oraz info.
Wygodny programista może jednak użyć gwiazdki - aby udostępnić na stronie wszystkie funkcjonalności.
Pod niektórymi adresami możemy odnaleźć ciekawe informacje.

Często używamy zmiennych środowiskowych i to właśnie w nich przechowujemy jakieś tajne dane - na przykład klucze API.
Odwiedzając endpoint env - możemy otrzymać listę zmiennych widocznych dla naszej aplikacji.

Innym niedocenianym adresem jest heapdump - który zwraca zrzut pamięci naszego procesu.
Jeżeli przechowujesz jakieś tajne informacje w zmiennych statycznych - można je tutaj łatwo odnaleźć.
Do przeglądania tego pliku warto użyć zewnętrznego narzędzia, na przykład Eclipse Memory Analyzer.

httptrace wyświetla listę kilkunastu ostatnich żądań do serwera.
Oprócz adresów widnieje tam również kompletna lista nagłówków wysyłanych przez klientów - razem z ciasteczkami użytkownika.
A te można wykorzystać do zalogowania się do aplikacji jako inna osoba.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#java #security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-01-21 13:56:16 | Ostatnio wołany: 2019-01-21 13:56:44


Jak działa atak większościowy 51% na kryptowalutę Ethereum?
O błędzie w wyszukiwarce Google, który pozwalał na tworzenie fałszywych informacji.
Jak przestępcy omijają wykrywanie swoich złośliwych domen przy użyciu niewidocznej spacji
Czy kurz na kamerze może się komuś przydać?
Dlaczego zaatakowano urządzenia Google Chromecast służące do strumieniowania treści na telewizorze?
Slack jako skarbnica wiedzy dla atakującego.
Wykorzystanie funkcjonalności OAuth razem z błędami XSS.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat

Przejdź do wpisu

Dodany: 2019-01-18 05:12:12 | Ostatnio wołany: 2019-01-18 05:13:10


NGINX to szybki i wydajny serwer HTTP. Ale czy wiesz jak go prawidłowo i bezpiecznie skonfigurować?
W dzisiejszym odcinku #od0dopentestera kilka przykładów błędnych konfiguracji, które mogą narazić nas na atak.

location /frytki {
alias /test/;
}

Jeżeli location nie kończy się slashem / możliwe jest pobieranie treści poza katalogiem test:

http://strona.local/frytki../plik_poza_katalogiem.html


add_header X-Frame-Options SAMEORIGIN;
location /xss/ {
add_header X-XSS-Protection "1; mode=block";
alias /test/;
}

Jeżeli add_header używany jest w polu nadrzędnym i podrzędnymi wartości nie są łączone i wyświetla się jedynie ta z pola podrzędnego.

W tym wypadku w lokalizacji /xss nie będzie ustawiony nagłówek X-Frame-Options.

if ($http_host ~ "admin.local") {
set $block "1";
}

Gdy porównujesz tekst przy pomocy tyldy ~ pamiętaj, ze rozróżnia ona wielkość liter.

W tym wypadku blokadę można ominąć używając nagłówka:

Host: ADMIN.LOCAL

Konfiguracje można sprawdzić automatycznie używając skryptu gixy.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-01-14 14:36:11 | Ostatnio wołany: 2019-01-14 14:37:08


Google Dorks - znajdowanie podatności przy użyciu wyszukiwarki.
Opis ataku "Pass the cookie".
Phishing wykorzystujący nietypowe czcionki.
Konkursy typu CTF wstępem do nauki bezpieczeństwa.
Niebezpieczne kody QR na bankomatach.
Jak udało się złamać projekt reCaptcha?

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Wersja audio.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 105
Wołań: 40
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2019-03-19 05:05:12
@KacperSzurek zawołał do wpisu


2019-03-18 14:33:32
@nikolaj92 dołączył do listy


2019-03-18 14:20:26
@KacperSzurek zawołał do wpisu


2019-03-14 05:02:17
@KacperSzurek zawołał do wpisu


2019-03-12 08:13:53
@thecar opuścił listę


2019-03-11 15:29:34
@koperrr opuścił listę


2019-03-11 14:38:36
@KacperSzurek zawołał do wpisu


2019-03-08 07:37:08
@marrkus dołączył do listy


2019-03-07 05:02:50
@KacperSzurek zawołał do wpisu


2019-03-06 22:57:03
@pixx dołączył do listy