Уязвимость обходапути позволяет узнать, разрешает ли веб-приложение несанкционированный доступ к файлам или каталогам, в доступе к которым должно быть отказано. Этот тип атаки использует параметры, передаваемые приложению, которые показывают пути к ресурсам, на которых выполняются определенные операции, такие как чтение, запись или отображение содержимого каталога. В результате это может привести… Continue reading →
Процесс управления сеансами охватывает широкий спектр пользовательских элементов управления от проверки подлинности до выхода из приложения. HTTP является протоколом без состояния, что означает, что веб-серверы отвечают на запросы клиентов, не устанавливая непрерывного соединения с ним. Поэтому даже простое приложение требует, чтобы пользователь отправлял несколько запросов, прежде чем сеанс будет связан… Continue reading →
Процесс завершения сеанса в основном заключается в проверке того, что пользователь приложения не может быть повторно использоваться после того, как пользователь приложения выйдет из системы. Вы также должны проверить, как приложение управляет данными, хранящимися в памяти. Чтобы свести к минимуму время, в течение которого злоумышленник может атаковать активный сеанс и… Continue reading →
Изменение и сброс пароля приложения — это механизм самообслуживания для изменения или сброса пароля для пользователей без вмешательства администратора. Если он слабый, он позволяет злоумышленнику изменить пароль любого пользователя и, таким образом, захватить его учетную запись. Вы должны защитить механизм сброса пароля от несанкционированных изменений, например, с помощью одноразовых маркеров… Continue reading →
Попытки обойти механизм аутентичности направлены на проверку возможности несанкционированного доступа к ресурсам, не предназначенным для пользователя. Для тестирования этих типов ошибок можно использовать Burp Suite,а сами тесты должны включать проверку следующего: попытайтесь обойти процесс проверки подлинности, напрямую ссылаясь на тестовый ресурс. Например, при входе в систему тестируемое приложение предоставляет пользователю… Continue reading →
Большинство пользователей веб-приложений не следуют рекомендациям по использованию сложных, не словарных данных доступа. Они часто основывают свои пароли на словах и фразах, которые они легко не забудут. Это детские имена, уличные адреса, любимая футбольная команда, место рождения и т.д.Учетные записи пользователей — особенно административные учетные записи должны быть защищены трудноугадываемыми… Continue reading →
В некоммерческие воскресенья, подобные этому, я могу внести свой вклад в нашу страну в развитие технологии 3D-печати. Когда все магазины закрыты и нам нужны запчасти, с помощью приходит к нам 3d принтер. В этой записи я постараюсь представить процесс быстрого прототипирования (или, возможно, более подходящее название – быстрое создание запчастей)… Continue reading →
Сегодня запись представляет собой форму учебника о том, как создать свой собственный программируемый USB-накопитель по типу дорогой и популярной Rubber Ducky от Hak5. Он будет работать по принципу клавиатуры – подключенный к компьютеру входит в заранее запрограммированную последовательность клавиш. Первым шагом является приобретение миниатюрной платы Arduino на базе микроконтроллера ATtiny85… Continue reading →
Все конфиденциальные данные, такие как пароли, логины или номера кредитных карт, должны отправляться по зашифрованным каналам между клиентом и сервером. Это защищает пользователя отчеловека в средней атаке,где злоумышленник закрепляется за связью между пользователем и сетью, которую он в настоящее время использует. Он имеет доступ ко всей информации, передаваемой жертвой, и… Continue reading →
Проверка реализации SSL/TLS выполняется для обнаружения использования известных слабых методов шифрования или хэш-функций. Примером этого является SSL v2,который больше не должен использоваться из-за известных уязвимостей. Другие ошибки, которые необходимо проверить, включают использование алгоритма симметричного шифрования с ключами менее 128 бит, сертификатов X.509, которые используют открытый ключ менее 1024 бит, и… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Подписка
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
