Bezpieczeństwo Stron Internetowych
Opublikowano 09 listopada 2012
Kategorie: Administracja, Nowe technologie, Tworzenie stron, WordPress, Wszystkie
0
Zabezpieczanie to chyba temat większy niż pisanie samych aplikacji. Wiedza o SQL Injection już nie wystarcza :)
XSS, CSRF i inne bajery wychodzą na światło dzienne. Wraz z rozwojem technologii dochodzą nowe zagrożenia (patrz lista bezpieczeństwa dla HTML5).
W szczególności nowością w XSSach wydaje się dziurawe Data URIs w różnych znacznikach HTML. Generalnie chodzi o to, że zamiast załączać adres pliku graficznego lub filmu, można podać jego zakodowaną treść w base64. To nie jest w sumie nic nowego. Nowością jest to, że przeglądarki zazwyczaj uruchamiają nawet znaczniki script zakodowane w ten sposób. Sprytny atak XSS może spowodować przejęcie serwera (np. ustanowienie shella przez PHP).
Słuchając 185 odcinka podcastu SitePoint dowiedziałem się o dwóch fajnych stronach.
Pierwsza to witryna dystrybucji Linuxa nakierowanej na testy penetracyjne: Backtrack Linux. Może kiedyś będzie czas przysiąść nad ponad 200 narzędziami do testów, które oferuje...
Druga stronka to zbiór exploitów na różne systemy i aplikacje, w szczególności internetowe (np. pluginy do WordPressa). Fajna sprawa.
Jest też genialna strona wrażliwych słów kluczowych do Google, które związane są z lukami bezpieczeństwa. Moje ulubione z pierwszej strony: filetype:xls "username | password" :)
Bezpieczne logowanie do stron internetowych
Polecam także odsłuchanie poniższej prezentacji z Google IO 2011, w której autor przedstawia wady i zalety takich rozwiązań, jak:
- zwykłe logowanie (zwane ClientLogin), także z połączeniem z OpenID
- dwustopniowa weryfikacja (np. z tokenem wysyłanym przez SMS)
- OAuth 1.0 i 2.0
Prezentacja jest ciekawa nawet, jeśli się jest świadomym tych rozwiązań. Wiadomości w niej zawarte są aktualne.