#3

 0    20 fiche    bartoszszymanski2
Télécharger mP3 Imprimer jouer consultez
 
question język polski réponse język polski
Burp - comparer
commencer à apprendre
proste wyszukiwanie różnic pomiędzy wybranymi przez nas zestawami danych
Burp - decoder
commencer à apprendre
narzędzie pozwalające na konwertowanie danych pomiędzy różnymi formatami
Burp - sequencer
commencer à apprendre
narzędzie do analizy poziomu entropii, za jego pomocą można zweryfikować wskaźnik losowości danej wartości np. wartości ciasteczka PHPSESSID
CGI
commencer à apprendre
Common Gateway Interface - interfejs umożliwiający uruchamianie przez serwer www programów (tzw. skryptów CGI) i przesyłanie wyniku ich działania do klienta przy użyciu protokołu http
CGI - zagrożenia
commencer à apprendre
dane do skryptów w żądaniach HTTP; skrypty działają jako osobne procesy w systemie, na którym działa serwer
SSI
commencer à apprendre
Server Side Include - atak wykorzystujący j. skryptowy po stronie serwera, pozwala na włączenie dynamicznej zawartości
SSI - zagrożenia
commencer à apprendre
uzyskanie dostępu do plików/haseł; wywoływanie poleceń powłoki; dyrektywy SSI są wykonywane przed załadowanie strony/podczas wizualizacji
PHP - zagrożenia
commencer à apprendre
dyrektywa include - możliwość wczytania kodu PHP z innego źródła niż dysk lokalny; trudności z reagowaniem na błędy (ignoruj i idź dalej nie jest okej)
ASP
commencer à apprendre
Active Server Page - stworzone przez MS; tworzenie stron dynamicznych WWW; serwer wczytuje plik ASP -> serwer przesyła wynik do klienta
ASP - zagrożenia
commencer à apprendre
dyrektywa include - tak jak w PHP; interpreter i komponenty pracują bezpośrednio pod kontrolą SysOp (ryzyko błędu)
ASP. NET
commencer à apprendre
Active Server Pages. NET - odmiana. NET przystosowana do bycia WebApp; kod źródłowy: kompilowany/interpretowany
ASP. NET - bezpieczeństwo
commencer à apprendre
czuwa środowisko uruchomieniowe CLR z zestawem komponentów; szyfrowanie ciasteczek nie jest bezpieczne; rzeczywisty stopień bezpieczeństwa zależy od jakości komponentów
Java Servlets I Java Server Pages
commencer à apprendre
umożliwiają tworzenie WebApp w Javie; "Serwlet" to klasa przystosowana do realizacji żądań HTTP, HTML + Java
Servlets i JS - bezpieczeństwo
commencer à apprendre
Java zaprojektowana tak by unikać błędów; stopień bezpieczeństwa = jakość komponentów; jak w PHP - parametry pobierane od użytk. do zmiennej globalnej
Problem styku WebApp + Baza danych - SQL
commencer à apprendre
w WebApp z DB często wartości wpisane przez użytk. używane do tworzenia SQL (atak "SQL injection")
Problem styku WebApp + Baza danych - Auth
commencer à apprendre
upoważnienie użtk. w serwerze WWW, skalowalność systemu, zmniejszenie możliwości szczegółowego monit. operacji przez serwer DB
Wycieki informacji - przyczyny #1
commencer à apprendre
komentarze w HTML/JS; nazwy klas CSS; strona błędu z stack trace; (błęd. konf. serw.) zezw. na wyśw. zawa. plik. konf. (np.:. inc); list. zawartości kat.
Wycieki informacji - przyczyny #2
commencer à apprendre
brak HTTPS; wadliwy auth system; 3rd party lib podatne na ataki; podatne mechanizmy ochrony sesji użytk.
Wycieki informacji - przyczyny #3
commencer à apprendre
numery wersji serwera/języka/apk w nagłówkach; hasła w plainie; niezabezpieczone form'y (bruteforce/dict); komunikaty o błędach wskazujących na np.: hasło błędne
Wycieki informacji - ochrona #1
commencer à apprendre
odpowiednia konfiguracja dostępu do zasobów; właściwa konfiguracja logowania błędów; szyfrowanie połączenia całej aplikacji; ukrywanie sygnatury (numery wersji) serwera/języka

Vous devez vous connecter pour poster un commentaire.