Kolejny odcinek na temat…

Kolejny odcinek na temat bezpieczeństwa stron internetowych w ramach #od0dopentestera
Dzisiaj w cyklu OWASP Top 10 o ekspozycji wrażliwych danych czyli o wydobyciu przez atakującego informacji, których nie powinien posiadać.
A jest ich wbrew pozorom całkiem sporo: począwszy od numerów kart kredytowych, haseł do konta czy też adresu email.
Różne są ryzyka związane z wyciekiem różnych danych.
I tak jeżeli wyciekną numery kart możemy stracić pieniądze a email może zostać użyty w kampaniach złośliwego oprogramowania.

Ważnym punktem jest szyfrowanie – chodzi tutaj głównie o protokół https.
Ciasteczka mogą mieć ustawioną flagę Secure, która sprawia, że ich zawartość nie będzie przesłana jeżeli używamy nieszyfrowanego połączenia.

Nie zapominajmy również o aplikacjach na urządzenia mobilne, które to komunikują się naszymi endointami API.
Tutaj kluczowym jest sprawdzanie poprawności certyfikatu.
W przypadku stron – jest za to odpowiedzialna przeglądarka.
W aplikacji to programista musi użyć odpowiednich funkcji.

W różnych językach programowania są różne funkcję generujące dane pseudo losowe – czyli takie oparte na ziarnie.
Jeżeli posiadamy wartość początkową – algorytmy te są deterministyczne – to znaczy, ze zwracają te same dane wyjściowe dla tych samych danych wejściowych.
Przykładem niech będzie funkcja Random w #java i mój filmik na temat odzyskania tak wygenerowanej wartości.

Oczywistym wydaje się fakt, aby nie przechowywać haseł w tak zwanym plaintext a w formie haszy z solą.
Sól to dodatkowy, losowy ciąg, który łączony jest z hasłem przesłanym przez użytkownika.
I to z całego takiego ciągu generuje się hasz – czyli wynik funkcji jednokierunkowej i porównuje się go z tym, zapisanym w bazie.

W przypadku szyfrowania – nie wystarczy używać sprawdzonych bibliotek, należy to również robić w prawidłowy sposób.
Tutaj koronnym przykładem jest AES w trybie ECB.
Szyfry blokowe bowiem operują na blokach danych – gdzie dane wejściowe są podzielone na bloki równej długości.
Tylko, że jeżeli w szyfrowanej wiadomości znajdują się jakieś regularności – na przykład powtarzalne ciągi, to ta sama struktura może się uwidocznić w zaszyfrowanych danych.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k