#3

 0    20 Datenblatt    bartoszszymanski2
mp3 downloaden Drucken spielen überprüfen
 
Frage język polski Antworten język polski
Burp - comparer
Lernen beginnen
proste wyszukiwanie różnic pomiędzy wybranymi przez nas zestawami danych
Burp - decoder
Lernen beginnen
narzędzie pozwalające na konwertowanie danych pomiędzy różnymi formatami
Burp - sequencer
Lernen beginnen
narzędzie do analizy poziomu entropii, za jego pomocą można zweryfikować wskaźnik losowości danej wartości np. wartości ciasteczka PHPSESSID
CGI
Lernen beginnen
Common Gateway Interface - interfejs umożliwiający uruchamianie przez serwer www programów (tzw. skryptów CGI) i przesyłanie wyniku ich działania do klienta przy użyciu protokołu http
CGI - zagrożenia
Lernen beginnen
dane do skryptów w żądaniach HTTP; skrypty działają jako osobne procesy w systemie, na którym działa serwer
SSI
Lernen beginnen
Server Side Include - atak wykorzystujący j. skryptowy po stronie serwera, pozwala na włączenie dynamicznej zawartości
SSI - zagrożenia
Lernen beginnen
uzyskanie dostępu do plików/haseł; wywoływanie poleceń powłoki; dyrektywy SSI są wykonywane przed załadowanie strony/podczas wizualizacji
PHP - zagrożenia
Lernen beginnen
dyrektywa include - możliwość wczytania kodu PHP z innego źródła niż dysk lokalny; trudności z reagowaniem na błędy (ignoruj i idź dalej nie jest okej)
ASP
Lernen beginnen
Active Server Page - stworzone przez MS; tworzenie stron dynamicznych WWW; serwer wczytuje plik ASP -> serwer przesyła wynik do klienta
ASP - zagrożenia
Lernen beginnen
dyrektywa include - tak jak w PHP; interpreter i komponenty pracują bezpośrednio pod kontrolą SysOp (ryzyko błędu)
ASP. NET
Lernen beginnen
Active Server Pages. NET - odmiana. NET przystosowana do bycia WebApp; kod źródłowy: kompilowany/interpretowany
ASP. NET - bezpieczeństwo
Lernen beginnen
czuwa środowisko uruchomieniowe CLR z zestawem komponentów; szyfrowanie ciasteczek nie jest bezpieczne; rzeczywisty stopień bezpieczeństwa zależy od jakości komponentów
Java Servlets I Java Server Pages
Lernen beginnen
umożliwiają tworzenie WebApp w Javie; "Serwlet" to klasa przystosowana do realizacji żądań HTTP, HTML + Java
Servlets i JS - bezpieczeństwo
Lernen beginnen
Java zaprojektowana tak by unikać błędów; stopień bezpieczeństwa = jakość komponentów; jak w PHP - parametry pobierane od użytk. do zmiennej globalnej
Problem styku WebApp + Baza danych - SQL
Lernen beginnen
w WebApp z DB często wartości wpisane przez użytk. używane do tworzenia SQL (atak "SQL injection")
Problem styku WebApp + Baza danych - Auth
Lernen beginnen
upoważnienie użtk. w serwerze WWW, skalowalność systemu, zmniejszenie możliwości szczegółowego monit. operacji przez serwer DB
Wycieki informacji - przyczyny #1
Lernen beginnen
komentarze w HTML/JS; nazwy klas CSS; strona błędu z stack trace; (błęd. konf. serw.) zezw. na wyśw. zawa. plik. konf. (np.:. inc); list. zawartości kat.
Wycieki informacji - przyczyny #2
Lernen beginnen
brak HTTPS; wadliwy auth system; 3rd party lib podatne na ataki; podatne mechanizmy ochrony sesji użytk.
Wycieki informacji - przyczyny #3
Lernen beginnen
numery wersji serwera/języka/apk w nagłówkach; hasła w plainie; niezabezpieczone form'y (bruteforce/dict); komunikaty o błędach wskazujących na np.: hasło błędne
Wycieki informacji - ochrona #1
Lernen beginnen
odpowiednia konfiguracja dostępu do zasobów; właściwa konfiguracja logowania błędów; szyfrowanie połączenia całej aplikacji; ukrywanie sygnatury (numery wersji) serwera/języka

Sie müssen eingeloggt sein, um einen Kommentar zu schreiben.