Hej!

Udostępniamy dwie darmówki, gotowe do pobrania/przeglądania on-line:

• Testowanie Poziomu Bezpieczeństwa Aplikacji Internetowych - omawia najpowszechniejsze rodzaje zagrożeń, przykłady podatności i sposoby ochrony. Pozwoli na zapoznanie się z ogólnymi zasadami, którymi powinny kierować się osoby odpowiedzialne za wytwarzanie systemów webowych. Jest również bazą która pozwoli skuteczniej przeprowadzać audyty bezpieczeństwa.
• Projektowanie wysokowydajnych i skalowalnych serwisów www - prezentacje pochodzące z naszych warsztatów skupiających się na zagadnieniach projektowania i wytwarzania wysokowydajnych i skalowalnych serwisów webowych

Zapraszam do pobierania i dyskusji :-)

W testach zabrakło mi info o bezpieczeństwie sesji.
Brak wzmianki o jednym z popularniejszych ataków, czyli LFI.
Brak info o code injection, poprawnym filtrowaniu danych uploadowanych itd, wyszukiwaniu błędów logicznych itd.
Bardzo ogólny pokaz i tylko częściowo pokazujący problem bezpieczeństwa stron www. Jak dla mnie nie jest to pełna prezentacja.

Tzn? Są zawarte m.in. w rozdziale o XSS, jest nawet osobny rozdział o bezpiecznym przechowywaniu sesji


Przecież jest cały rozdział o Code Injection?


I takie ma zadanie - to nie miała być kalka The Web Application Hacker's Handbook a wstęp dla zaznajomienia się z ogólną tematyką, klasą problemów :-)

https://www.owasp.org/index.php/PHP_Object_Injection


Nie mogę się doszukać info mówiącego o tworzeniu tokenów z ip/user_agent utrudniających przejecie sesji.

Wykaz podatności z pewnością niekompletny, a te przedstawione zostały omówione dość pobieżnie. W przypadku tego typu prezentacji należałoby albo przynajmniej omówić wszystkie znane wektory ataków (nawet jeżeli dość pobieżnie) albo wybrać jeden konkretny i omówić go bardzo szczegółowo. W tym przypadku twórcy nie poszli żadną z tych ścieżek. Raczej kiepskie źródło wiedzy.