• 19 MayWprowadzenie do testów aplikacji WEB w Testy aplikacji WWW

  Zacznijmy od prostych rzeczy. Ten artykuł jest wstępem do analizowania kodu i tak powinien zostać potraktowany. Pozostałe artykuły w tym dziale omówią bardziej zaawansowane techniki. Po zakończeniu tego cyklu powinniśmy umieć zbudować proste narzędzie do automatycznej analizy kodu PHP oraz napisać prostego backdoora w oparciu o PHP. Celem nie jest zaś zaprezentowanie czarnej listy funkcji, jakie powinny być niedozwolone. W pierwszych dwóch artykułach oprzemy się tylko o narzędzie grep.

• 18 MayBezpieczenstwo uwierzytelniania i zarządzania sesjami w Atak

  Przeważnie programiści stron WWW troszczą się o to, aby ich strony nie posiadały jakiś krytycznych luk w aplikacjach internetowych. Starają się nawet obierać wspólne strategie w celu pozbycia się punktów krytycznych. A mimo to istnieją pewne bardzo niebezpieczne i mniej znane dziury w zabezpieczeniach internetowych, które występują bardzo powszechnie. Większość programistów nie ma natomiast pojęcia o lukach bezpieczeństwa, więc aplikacje internetowe wciąż pozostają zagrożone. Przełamanie uwierzytelniania i mechanizmów zarządzania sieciami jest jedną z mało znanych luk, ale bardzo niebezpieczną. Według toplisty firmy OWASP, usterki związane z zarządzaniem sesjami znalazły się na trzecim miejscu w roku 2011. Oznacza to, że można znaleźć tego typu lukę na tysiącach stron i aplikacji internetowych.

• 15 MayAtak Man-in-the-Browser w Atak

  Uwierzytelnianie bądź elektroniczne uwierzytelnianie może być określone jako droga, technika lub metoda, dzięki której można uzyskać połączenie pomiędzy dwoma komputerami. Ten związek jest oparty wciąż na zaufaniu i na potwierdzeniu, czy obie strony są uprawnione do połączenia(tzw. Ustanowienie sesji). Najbardziej znaną techniką uwierzytelniania jest technika oparta na hasłach i loginach użytkowników. Ma ona zastosowanie na wielu platformach, takich jak rachunki bankowe, sieci społeczne oraz wszelkiego typu konta. Ponieważ jak wszyscy wiemy, istnieje kilka sposobów, aby złamać hasło, a słabe hasła poddają się atakowi słownikowemu lub metodzie ataku siłowego, aby zapobiec atakom złego hakera, należy poszerzyć świadomość użytkowników. Istnieją jednak także inne sposoby uwierzytelniania użytkownika, ale są to przeważnie bardzo skomplikowane procesy.

• 11 MayTwoja droga w Inne

  Pamiętacie artykuł o predyspozycjach osoby do wykonywania testów penetracyjnych? Jeden z czytelników tamtego artykułu przysłał nam wiadomość z pytaniem, czy mamy jakieś sugestie w kwestii zdobycia umiejętności praktycznych. I pierwotnie ten tekst został napisany jako odpowiedź na to pytanie. O dziwo, czasami mamy zajęcia z przyszłymi audytorami czy testerami i wciąż to pytanie pada. Więc tutaj umieściliśmy naszą odpowiedź na nie.

• 8 MayWytyczne do sporzadzania raportów w Inne

  Oj to było kilka pracowitych dni. Czas już zamknąć laptopa. Jest kilka rzeczy, nad którymi klient mógłby jeszcze popracować, ale ogólnie nie jest źle. Ostatnia wymiana uprzejmości z ludźmi, których poznaliśmy. Ochrona niechętnie rezygnuje z eskortowania nas do drzwi. Oddajemy plakietki z dumnym napisem 'Visitors'. Już nadszedł czas, kiedy drzwi firmy zamkną się za nami. Nagle przeszywa nas chłód, bo w tle pada krzyk:brbrSłuchajcie na kiedy raport będzie gotowy?

Archiwum artykułów