RSS
RSS

Bezpieczeństwo Stron Internetowych


Kategorie: Administracja, Nowe technologie, Tworzenie stron, WordPress, Wszystkie

0

Zabezpieczanie to chyba temat większy niż pisanie samych aplikacji. Wiedza o SQL Injection już nie wystarcza :)

XSS, CSRF i inne bajery wychodzą na światło dzienne. Wraz z rozwojem technologii dochodzą nowe zagrożenia (patrz lista bezpieczeństwa dla HTML5).

W szczególności nowością w XSSach wydaje się dziurawe Data URIs w różnych znacznikach HTML. Generalnie chodzi o to, że zamiast załączać adres pliku graficznego lub filmu, można podać jego zakodowaną treść w base64. To nie jest w sumie nic nowego. Nowością jest to, że przeglądarki zazwyczaj uruchamiają nawet znaczniki script zakodowane w ten sposób. Sprytny atak XSS może spowodować przejęcie serwera (np. ustanowienie shella przez PHP).

Słuchając 185 odcinka podcastu SitePoint dowiedziałem się o dwóch fajnych stronach.

Pierwsza to witryna dystrybucji Linuxa nakierowanej na testy penetracyjne: Backtrack Linux. Może kiedyś będzie czas przysiąść nad ponad 200 narzędziami do testów, które oferuje...

Druga stronka to zbiór exploitów na różne systemy i aplikacje, w szczególności internetowe (np. pluginy do WordPressa). Fajna sprawa.

Jest też genialna strona wrażliwych słów kluczowych do Google, które związane są z lukami bezpieczeństwa. Moje ulubione z pierwszej strony: filetype:xls "username | password" :)

Bezpieczne logowanie do stron internetowych

Polecam także odsłuchanie poniższej prezentacji z Google IO 2011, w której autor przedstawia wady i zalety takich rozwiązań, jak:

  • zwykłe logowanie (zwane ClientLogin), także z połączeniem z OpenID
  • dwustopniowa weryfikacja (np. z tokenem wysyłanym przez SMS)
  • OAuth 1.0 i 2.0

Prezentacja jest ciekawa nawet, jeśli się jest świadomym tych rozwiązań. Wiadomości w niej zawarte są aktualne.

Komentuj

Subscribe without commenting