Bezpieczeństwo aplikacji internetowych
Bezpieczeństwo IT to nie tylko bezpieczeństwo sieci, firewalle, systemy IPS czy ochrona antywirusowa, ale również bezpieczeństwo wykorzystywanych aplikacji. Przewodnik ten zawiera kilka prostych przykładów demonstrujących typowe błędy występujące w aplikacjach internetowych.
Dostępne lekcje i przykłady
Prezentowane tu przykłady dotyczą podstawowych kwestii związanych z bezpieczeństwem aplikacji internetowych. Większość z przykładów obrazuje typowe błędy, które zostały znalezione w trakcie testów bezpieczeństwa aplikacji internetowych. Prezentowane są również przykłady dotyczące różnic między przeglądarkami, oraz nowych mechanizmów bezpieczeństwa implementowanych w przeglądarkach.
Obecnie dostępne lekcje i przykłady:
- Wprowadzenie: pytania i odpowiedzi
- Lekcja 1: Absolutne podstawy
- Lekcja 2: Nieprawidłowa kontrola dostępu do danych
- Lekcja 3: Nieprawidłowa kontrola dostępu do funkcji
- Lekcja 4: Cross Site Request Forgery
- Lekcja 5: Cross Site Scripting i Cross Site Request Forgery
- Lekcja 6: Home-brewed Crypto
- Lekcja 7: (blind) SQL injection
- Lekcja 8: Wyzwanie
- Lekcja 9: Właściwy encoding danych
- Lekcja 10: Eksperymenty z nagłówkiem Cache-Control
- Lekcja 11: Przykład opóźnienia w trakcie logowania
- Lekcja 12: Eksperymenty z autouzupełnianiem pól formularzy
- Lekcja 13: Demonstracja koncepcji identyfikatorów pośrednich
- Lekcja 14: Oczywiste(?) podatności
- Lekcja 15: Demonstracja działania nagłówka X-FRAME-OPTIONS
- Lekcja 16: XSS i SQLi w nazwie pliku
- Lekcja 17: Wyzwanie II
- Lekcja 18: Więcej niż jedna ścieżka wykonania
- Lekcja 19: Wyzwanie III
- Lekcja 20: Wyzwanie IV - co robi ta strona
- Lekcja 21: Przykład - phishing na formatce logowania
- Lekcja 22: Improper Initialization
- Lekcja 23: Oczyszczanie HTML jest trudne
Pytania, uwagi, sugestie: pawel.golen@xbow.pl.
Testy i szkolenia
Jeśli jesteś zainteresowany szkoleniem z zakresu bezpieczeństwa aplikacji internetowych lub testami bezpieczeństwa, skontaktuj się.