Útoků na webové aplikace neustále přibývá. Rostoucí počet uživatelů, komplexnější aplikace a nové postupy s sebou nesou nová rizika. OWASP proto aktualizoval seznam deseti nejnebezpečnějších zranitelnosti webových aplikací dneška. Znáte je všechny?
Archiv pro štítek: bezpečnost
Přidejte si na web soubor security.txt a umístěte do něj správné kontaktní údaje, ať lidé, kteří chtějí nahlásit bezpečnostní chyby, nemusí dlouze studovat, kam report poslat. K čemu takové informace jsou, vám ukážu na jednom konkrétním příkladu.
Kybernetická bezpečnost je tématem, o němž má řada lidí spíše představy než znalosti. Jde o doménu specialistů a běžní uživatelé, ale třeba i správci sítí a „standardní ajťáci“ propadají pocitu, že se ani…
Provoz webu na zabezpečeném protokolu https je dnes už téměř nutností. Šifruje spojení mezi webem a návštěvníkem, takže není možné odcizit hesla a jiná data, která návštěvník zadává do formuláře webu. Druhou výhodou…
Před 2 lety, přesně 11. ledna 2013 spáchal sebevraždu Aaron Swartz (@aaronsw) – spolutvůrce RSS, Markdownu, proxy Tor2web, licence Creative Commons, redditu a dalších. Aaron byl soudně stíhán za hromadné stažení velkého množství věděckých…
Ve čtvrtek 18. prosince proběhne za podpory společnosti ESET konference na téma IT bezpečnosti pořádaná českou pobočkou mezinárodní neziskové organizace zaměřující se na bezpečnost v IT – OWASP Czech Republic. Na konferenci na půdě pražského…
Dnes vám nabídneme k zamyšlení fiktivní příběh fiktivního člověka. Poselství příběhu už ovšem fiktivní není.
Včera nahlášená chyba v Bashi může být zneužitelná skrze web server – viz průzkum Roberta Grahama. Její rozsah bude podle Roberta srovnatelný s Heartbleed. Princip chyby předvádí následující kód, který kromě bash skriptu spustí…
V dnešním díle se budeme věnovat správě uživatelů a přístupových práv, tedy autentizaci a autorizaci. Pomocí frameworku web.py a rozšiřujícího modulu si vytvoříme jednoduchou aplikaci vyžadující přihlášení. Také si popíšeme základy přechovávání uživatelských jmen a hesel.
V dnešnej dobe plnej webových frameworkov, databázových knižníc a ORM by som tak trochu čakal, že webov náchylných na SQL Injection už nebude veľmi veľa. Opak je však pravdou a zaútočiť na tieto weby pomocou SQL Injection už môže naozaj ktokoľvek, stačí mu len vhodný nástroj a trochu trpezlivosti.
