Bezpieczeństwo aplikacji internetowych

Bezpieczeństwo IT to nie tylko bezpieczeństwo sieci, firewalle, systemy IPS czy ochrona antywirusowa. Dla bezpieczeństwa informacji kluczowe jest bezpieczeństwo wykorzystywanych aplikacji, w których informacja jest przechowywana i przetwarzana. Przewodnik ten zawiera przykłady demonstrujące typowe błędy występujące w aplikacjach internetowych.

Dostępne lekcje i przykłady

Prezentowane tu przykłady dotyczą podstawowych kwestii związanych z bezpieczeństwem aplikacji internetowych. Większość z przykładów obrazuje typowe błędy, które zostały znalezione w trakcie testów bezpieczeństwa aplikacji internetowych. Wiele z tych podstawowych podatności w testowanych aplikacjach miało istotny wpływ na ryzyko. W szczególności dotyczy to błędów kontroli dostępu, podatności sql injection oraz cross-site scripting. Warto wiedzieć na czym te błędy polegają, jak ich szukać i jak pisać kod, by takich błędów nie robić.

Jeśli jesteś zainteresowany szkoleniem z zakresu bezpieczeństwa aplikacji internetowych lub testami bezpieczeństwa aplikacji, skontaktuj się.

Videocasty

Zobacz też Videocasty (playlisty):

Obecnie dostępne przykłady

Lekcja 1: Absolutne podstawy (aktualizacja: 2011-08-28)
Lekcja 2: Nieprawidłowa kontrola dostępu do danych (aktualizacja: 2011-09-19)
- Lekcja 2a: Kontrola dostępu do danych i źle użyta kryptografia (aktualizacja: 2011-08-28)
Lekcja 3: Nieprawidłowa kontrola dostępu do funkcji (aktualizacja: 2011-08-28)
Lekcja 4: Cross Site Request Forgery (aktualizacja: 2011-08-28)
Lekcja 5: Cross Site Scripting i Cross Site Request Forgery (aktualizacja: 2011-08-28)
Lekcja 6: Home-brewed Crypto (aktualizacja: 2011-08-28)
Lekcja 7: (blind) SQL injection (aktualizacja: 2012-01-21)
Lekcja 8: Wyzwanie (aktualizacja: 2011-08-28)
Lekcja 9: Właściwy encoding danych (aktualizacja: 2011-12-18)
Lekcja 10: Eksperymenty z nagłówkiem Cache-Control (aktualizacja: 2011-08-28)
Lekcja 11: Przykład opóźnienia w trakcie logowania (aktualizacja: 2011-08-28)
Lekcja 12: Eksperymenty z autouzupełnianiem pól formularzy (aktualizacja: 2011-08-28)
Lekcja 13: Demonstracja koncepcji identyfikatorów pośrednich (aktualizacja: 2011-08-28)
Lekcja 14: Oczywiste(?) podatności (aktualizacja: 2011-08-28)
Lekcja 15: Demonstracja działania nagłówka X-FRAME-OPTIONS (aktualizacja: 2011-08-28)
Lekcja 16: XSS i SQLi w nazwie pliku (aktualizacja: 2011-08-28)
Lekcja 17: Wyzwanie II (aktualizacja: 2011-08-28)
- Lekcja 17: Wyjaśnienie, część pierwsza (aktualizacja: 2010-03-26)
- Lekcja 17: Wyjaśnienie, część druga (aktualizacja: 2010-03-26)
Lekcja 18: Więcej niż jedna ścieżka wykonania (aktualizacja: 2011-08-28)
Lekcja 19: Wyzwanie III (aktualizacja: 2011-08-28)
Lekcja 20: Wyzwanie IV - co robi ta strona (aktualizacja: 2011-08-28)
Lekcja 21: Przykład - phishing na formatce logowania (aktualizacja: 2011-08-28)
Lekcja 22: Improper Initialization (aktualizacja: 2011-08-28)
Lekcja 23: Oczyszczanie HTML jest trudne (aktualizacja: 2011-08-28)
- Przykładowe rozwiązania zadania (aktualizacja: 2010-07-28)
- Kod parsera (aktualizacja: 2010-07-28)
Lekcja 24: Dane z różnych źródeł (aktualizacja: 2011-08-28)
Lekcja 25: Wyzwanie V (aktualizacja: 2011-11-25)
- Wskazówki - część pierwsza (aktualizacja: 2011-02-05)
- Raport: Ice (2010-12-20) (aktualizacja: 2011-01-30)
- Raport: Ice (2010-12-27) (aktualizacja: 2011-01-30)
- Raport: Krzysztof Kotowicz (2011-01-30) (aktualizacja: 2011-01-31)
- Wskazówki - część druga (aktualizacja: 2011-02-24)

W ramach przewodnika prezentowane są również przykłady dotyczące różnic między przeglądarkami, nowych mechanizmów bezpieczeństwa w nich implementowanych oraz ich wpływu na bezpieczeństwo webaplikacji. Temat mechanizmów bezpieczeństwa implementowanych w przeglądarkach a istotnych dla bezpieczeństwa aplikacji internetowych jest obszernie omówiony w Browser Security Handbook autorstwa Michała Zalewskiego.

Jeśli uważasz, że jakiś temat powinien zostać poruszony w tym przewodniku, lub masz jakieś pytanie: pawel.golen@xbow.pl.

threats.pl