#3

 0    20 kartičky    bartoszszymanski2
stáhnout mp3 Vytisknout hrát zkontrolovat se
 
otázka język polski odpověď język polski
Burp - comparer
začněte se učit
proste wyszukiwanie różnic pomiędzy wybranymi przez nas zestawami danych
Burp - decoder
začněte se učit
narzędzie pozwalające na konwertowanie danych pomiędzy różnymi formatami
Burp - sequencer
začněte se učit
narzędzie do analizy poziomu entropii, za jego pomocą można zweryfikować wskaźnik losowości danej wartości np. wartości ciasteczka PHPSESSID
CGI
začněte se učit
Common Gateway Interface - interfejs umożliwiający uruchamianie przez serwer www programów (tzw. skryptów CGI) i przesyłanie wyniku ich działania do klienta przy użyciu protokołu http
CGI - zagrożenia
začněte se učit
dane do skryptów w żądaniach HTTP; skrypty działają jako osobne procesy w systemie, na którym działa serwer
SSI
začněte se učit
Server Side Include - atak wykorzystujący j. skryptowy po stronie serwera, pozwala na włączenie dynamicznej zawartości
SSI - zagrożenia
začněte se učit
uzyskanie dostępu do plików/haseł; wywoływanie poleceń powłoki; dyrektywy SSI są wykonywane przed załadowanie strony/podczas wizualizacji
PHP - zagrożenia
začněte se učit
dyrektywa include - możliwość wczytania kodu PHP z innego źródła niż dysk lokalny; trudności z reagowaniem na błędy (ignoruj i idź dalej nie jest okej)
ASP
začněte se učit
Active Server Page - stworzone przez MS; tworzenie stron dynamicznych WWW; serwer wczytuje plik ASP -> serwer przesyła wynik do klienta
ASP - zagrożenia
začněte se učit
dyrektywa include - tak jak w PHP; interpreter i komponenty pracują bezpośrednio pod kontrolą SysOp (ryzyko błędu)
ASP. NET
začněte se učit
Active Server Pages. NET - odmiana. NET przystosowana do bycia WebApp; kod źródłowy: kompilowany/interpretowany
ASP. NET - bezpieczeństwo
začněte se učit
czuwa środowisko uruchomieniowe CLR z zestawem komponentów; szyfrowanie ciasteczek nie jest bezpieczne; rzeczywisty stopień bezpieczeństwa zależy od jakości komponentów
Java Servlets I Java Server Pages
začněte se učit
umożliwiają tworzenie WebApp w Javie; "Serwlet" to klasa przystosowana do realizacji żądań HTTP, HTML + Java
Servlets i JS - bezpieczeństwo
začněte se učit
Java zaprojektowana tak by unikać błędów; stopień bezpieczeństwa = jakość komponentów; jak w PHP - parametry pobierane od użytk. do zmiennej globalnej
Problem styku WebApp + Baza danych - SQL
začněte se učit
w WebApp z DB często wartości wpisane przez użytk. używane do tworzenia SQL (atak "SQL injection")
Problem styku WebApp + Baza danych - Auth
začněte se učit
upoważnienie użtk. w serwerze WWW, skalowalność systemu, zmniejszenie możliwości szczegółowego monit. operacji przez serwer DB
Wycieki informacji - przyczyny #1
začněte se učit
komentarze w HTML/JS; nazwy klas CSS; strona błędu z stack trace; (błęd. konf. serw.) zezw. na wyśw. zawa. plik. konf. (np.:. inc); list. zawartości kat.
Wycieki informacji - przyczyny #2
začněte se učit
brak HTTPS; wadliwy auth system; 3rd party lib podatne na ataki; podatne mechanizmy ochrony sesji użytk.
Wycieki informacji - przyczyny #3
začněte se učit
numery wersji serwera/języka/apk w nagłówkach; hasła w plainie; niezabezpieczone form'y (bruteforce/dict); komunikaty o błędach wskazujących na np.: hasło błędne
Wycieki informacji - ochrona #1
začněte se učit
odpowiednia konfiguracja dostępu do zasobów; właściwa konfiguracja logowania błędów; szyfrowanie połączenia całej aplikacji; ukrywanie sygnatury (numery wersji) serwera/języka

Chcete-li přidat komentář, musíte se přihlásit.