#4

 0    20 Datenblatt    bartoszszymanski2
mp3 downloaden Drucken spielen überprüfen
 
Frage język polski Antworten język polski
Wycieki informacji - ochrona #2
Lernen beginnen
czasowo blokować dostęp do formularzy przy próbach siłowego pozyskania info; hasła w hash'ach + "posolone"; przemyślane treści komunikatów, bez zdradzania info
Przechowywanie haseł statycznych
Lernen beginnen
plaintext; szyfrogram (ciphertext); skrótu (hash-code); klucz PBKDF (master key)
Funkcje skrótu
Lernen beginnen
wykorzystują fun. mieszające do zwrócenia pewnej wartości (stałej wielkości).
Funkcje skrótu muszą być
Lernen beginnen
szybkie i kompresować dane; funkcjami nieodwracalnymi; cechować się słabą odpornością na kolizje
sól
Lernen beginnen
(salt) pewna wartość (zazwyczaj losowa) dodawana do hasła w celu zwiększenia jego złożoności
pieprz
Lernen beginnen
(pepper) stała wartość dla wszystkich haseł dodana np.: do wartości skrótu
Bezpieczeństw o haseł statycznych - dobre praktyki #1
Lernen beginnen
przechowywanie haseł w bezpiecznej formie; pamiętanie, że wiele frameworków i CMS nie posiada bezpiecznego kryptosystemu zarządzania hasłami; oprócz zabezpieczenia DB, pamiętać o logach i dziennikach zdarzeń
Bezpieczeństw o haseł statycznych - dobre praktyki #2
Lernen beginnen
wykrywanie próby wielokrotnego logowania; testy wydajnościowe kryptosystemu przed jego uruchomieniem; utwardzanie haseł (sól, pieprz); wprowadzenie polityki zabraniającej korzystanie z słabych haseł
OWASP #1
Lernen beginnen
Zestawia 10 najpopularniejszych luk bezp.: A1 - broken access control; A2 - cryptographic failures; A3 - injection; A4 - insecure design; A5 - security misconfiguration
OWASP #2
Lernen beginnen
A6 - Vulnerable and Outdated Components; A7 - Identification and Authentication Failures; A8 - Software and Data Integrity Failures; A9 - Security Logging and Monitoring Failures; A10 - Server-Side Request Forgery
A1 - Broken Access Control - definicja
Lernen beginnen
niepoprawna kontrola dostępu - możliwość uzyskania dostępu do nieautoryzowanych funkcji/danych/kont innych użytkownikow/przeglądanie poufnych plików/modyfikowanie danych innych użytkowników/zmiana praw dostępu
A1 - Broken Access Control - Aplikacja jest podatna jeśli
Lernen beginnen
zezwolenie na podniesienie uprawnień jako użytkownik bez zalogowana/jako admin po zalogowaniu jako użytkownik; zezwolenie na przepięcie klucza dostępowego umożliwiającego przeglądanie/edytowanie konta innego użtk.; korzysta z błędnie skonfigurowanego CORS
A1 - Broken Access Control - Jak zapobiegać
Lernen beginnen
odmawianie dostępu; mechanizm kontroli dostępu, minimalne użycie CORS; pewność, że metadane i pliki zapasowe nie są umieszczone w katalogu głównym; rejestrowanie błędów kontroli dostępu
A2 - Cryptographic Failures - definicja
Lernen beginnen
ujawnienie wrażliwych danych - podatność na kradzież tożsamości, danych kart płatniczych lub innych (np.: przechwytując ciastko i przejmując kontrolę nad sesją)
A2 - Cryptographic Failures - aplikacja jest podatna jeśli
Lernen beginnen
dane wrażliwe są przesyłane jawnym tekstem; dane wrażliwe są przechowywane w postaci jawnego tekstu; stare i słabe algorytmy kryptograficzne; szyfrowanie danych nie jest wymuszone przez serwer
A2 - Cryptographic Failures - jak zapobiegać
Lernen beginnen
nie przechowywać wrażliwych danych bez potrzeby; szyfrować wrażliwe dane; korzystać z aktualnych i silnych algo. kryptograficznych; wymuszać szyfrowanie
A3 - Injection - definicja
Lernen beginnen
wszystkiwanie - błędy związane ze wstrzykiwaniem danych do zapytań i poleceń (SQL, NoSQL).
A3 - Injection - aplikacja jest podatna jeśli
Lernen beginnen
dane dostarczone przez użytkownika nie są walidowane ani filtrowane; dyn. zapyt./sparam. wywoł są używ. bezpoś. w interpret.; dane dostarcz. są bezpoś. wykorzyst./łącz. z danymi strukt.
A3 - Injection - jak zapobiegać
Lernen beginnen
używ. bezpiecz. interf. API; korzyst. z narz. do mapo. obiekt.-rel. (ORM); "whitelisty" do walid. danych wejść. po stronie serw.; instru. ograni. typu LIMIT w SQL
A4 - Insecure Design - definicja
Lernen beginnen
"Niebezpieczny design" - ryzk. bezpiecz. ze względu na niewłaś. założenia w fazie projekt. apk.

Sie müssen eingeloggt sein, um einen Kommentar zu schreiben.