Hacking webových aplikací

cs v kategorii code • 3 min. čtení
Mind the age! Most likely, its content is outdated. Especially if it’s technical.

Nedávno jsem absolvoval v práci obsáhlejší přednášku o bezpečnosti webových aplikací. Několik popisovaných problémů jsem znal, jmenovitě například cross-site request forgery (CSFR), csoss-site scripting (XSS), SQL Injection a spoustu dalších; některé jsem jen znal, ale nevěděl, že se jim nějak říka (pak jsem vědel a už zase nevím :); některé jsem neznal a některé přímo šokovaly, i když si nejsem jist, zda mě to přímo šokovalo nebo jsem jen nevěřil vynalézavosti záškodníků.

Nemám v plánu tu popisovat všechno, co jsem se dozvěděl – jen vám tu hodím seznam bezpečnostních hrozeb, abyste si jich alespoň všimli a měli o nich povědomí, že existují:

  • Authentication
    • Dictionary / Brute Force Attack
    • Insufficient Authentication
    • Weak Password Recovery Validation
  • Authorization
    • Credential/Session Prediction
    • Insufficient Authorization
    • Insufficient Session Expiration
    • Session Fixation
    • Cross-site request forgery (CSRF)
    • Clickjacking
    • JavaScript Hijacking
  • Client-side Attacks
    • Content Spoofing
    • Cross-site scripting (XSS)
    • Cross-site Tracing (XST)
    • Browser and Plug-in vulnerabilities
  • Protocol Attacks
    • HTTP Response Splitting
    • HTTP Request Smuggling
  • Injection Attacks
    • Buffer Overflows
    • Format String
    • OS Commanding
    • LDAP Injection
    • SQL Injection
    • XPATH Injection
    • SSI Injection
    • SOAP Injection
  • Information Disclosure
    • Directory Indexing
    • Information Leakage
    • Path Traversal
    • Predictable Resource Location / Forced Browsing
    • Insecure Direct Object Reference
    • Webserver/Application Fingerprinting
  • Server-Side Script Execution
    • Unprotected Upload
    • Remote File Inclusion
    • Local File Inclusion
  • Logical Attacks
    • Abuse of functionality
    • Insufficient Anti-Automation
    • Insufficient Process Validation
    • Parameter Tampering/Cookie Poisoning / Hidden Field Manipulation

Že jich je hodně? Ano, je, ale doporučuju vložit čas do jejich projití, minimálně prolétnutí. :) Abyste však měli inspiraci si je projít, příkládám některá zajímavá videa:

VIDEA NEDOSTUPNÁ

Taky zajímavá praktika (na kterou jsem bohužel nenašel video) je vložit stránku do iframe, do vyšší vrstvy vložit různé divy s jiným obsahem a pokusit se zaujmout uživatele natolik, aby sám klikl na místa, která se hackrovi hodí, aniž by uživatel věděl, co vlastně na pozadí provádí.

Až po této přednášce, kde mi byly ukázány podobné praktiky, jsem vlastně pochopil všechny ty reklamy typu „chyť 10x míč a vyhraj bla bla!“. Asi už všechny interaktivní reklamy a podobné hříčky budete taky ignorovat, že? :) Nakonec doporučím občas se podívat na server soom.cz, díky kterému jsme měli v práci zmíněnou přednášku a kde naleznete další informace na toto téma.








Může se vám také líbit

en Makefile with Python, November 6, 2017
en Fast JSON Schema for Python, October 1, 2018
en Deployment of Python Apps, August 15, 2018
cs Jasně, umím Git…, August 6, 2014
cs Checklist na zabezpečení webových aplikací, March 1, 2016

Další články z kategorie code.
Nenechte si ujít nové články díky Atom/RSS kanálu.



Poslední příspěvky

cs Zápisky z cest: Šumava, November 24, 2024 in travel
cs O klimatizaci, November 10, 2024 in family
cs První slůvka, November 3, 2024 in family
cs Jakou knihu čteš?, October 12, 2024 in family
cs V kolik chodíte spát?, September 29, 2024 in family