Dla każdego programisty największą porażką jest moment, kiedy wychodzi na jaw, że jego skrypt okazał się podatny na atak. Atak który spowodował różnego rodzaju. Od podmiany strony głównej, przez przekierowaniu na porno i kończąc na kradzieży danych wrażliwych (klientów, użytkowników, etc.). Wszystko dlatego, że przez podmianę jednej wartości zmiennej przesyłanej metodą GET, skrypt się wyłożył i pojawił się komunikat z błędem.
Dzisiaj chcę wszystkich zachęć do zapoznania się „atakami socjotechnicznymi”, które polegają – jak to pisał Kevin Mitnick w „Sztuce podstępu” – nie łamaniu ludzi, tylko komputerów. Jest to jedna z ciekawszych metod, bo nie trzeba się znać na programowaniu, a hasło do serwisu czy też systemu można zdobyć pytając się o nie wprost.
Dawno nie było wpisu poświęconego bezpieczeństwu stron www, a że kilka dni temu dostałem najnowszy numer â 11/2008 - czasopisma HACKIN9 to mi trochę ułatwiło sprawę. Ułatwiło, bo w tym numerze jest artykuł poświęcony bezpiecznym stronom. Dzisiaj skupię się na kilku fajnych sztuczkach z katalogami, plikami przechowującymi dane wrażliwe (loginy i hasła) do poprawnego działania naszej aplikacji i bezpieczeństwie bazy danych.
Każdy pewnie słyszał o wpadce PEKAO i wycieku danych. Była afera i zaraz były zapewnienia, że wszystko zostało zabezpieczone. ALE NIESTETY TAK NIE JEST ;).
Dzisiaj trochę o bezpieczeństwie stron internetowych. Temat po części jest powiązany z przyjaznymi linkami. Czytając mojego bloga, często można trafić na stwierdzenie, że „leniwy programista, to dobry programista”, dlatego pokażę jak to w praktyce wykorzystać wraz z małą wskazówką pozycjonerską.
Na mojego bloga coraz więcej osób trafia z Google z hasła „bezpieczeństwo stron www” oraz różnych zbliżonych fraz. To dobrze. Oto przecież chodzi. Co jakiś czas dostaję maila z pytaniami jak się włamać na stronę WWW. To już nie jest dobre. W tym dziale dawno nie było niczego nowego... do teraz.
W sieci pojawiają się informacje o różnego rodzaju atakach na strony internetowe takie jak: SQL Injection, XSS czy bardzo egzotyczne: shell injection, session fixation. Nie ma się co oszukiwać. Znalezienie strony, która jest podatna na wyżej wymienione ataki jest bardzo trudne.
W Google można znaleźć naprawdę ciekawe informacje. Dużo jest też zaindeksowanych stron z błędami wygenerowanymi przez języki skryptowe. Ten wpis będzie poświęcony bezpieczeństwu stron www. Ponad przedstawię przykład wykorzystania takiej informacji o błędzie oraz jak jej zapobiec.