SlideShare a Scribd company logo
1 of 17
Download to read offline
HTTP hlavičky
Zvyšovanie bezpečnosti webových aplikácií
Tomáš Adamják
24. máj 2016
WEBtlak #6
Bruce
Schneier
Michal
Špaček
Host
GET /file HTTP/1.0
Host: webtlak.sk
$ SERVER[’HTTP HOST’] == ’webtlak.sk’;
Tomáš Adamják WEBtlak #6 6
Host
GET http://webtlak.sk/file HTTP/1.0
Host: každý Tomáš je super
$ SERVER[’HTTP HOST’] == ’každý Tomáš je super’;
Tomáš Adamják WEBtlak #6 7
Host
Aj $ SERVER[’HTTP HOST’] je používateľský vstup.
⇓
echo htmlspecialchars($ SERVER[’HTTP HOST’]);
Tomáš Adamják WEBtlak #6 8
Port knock
/admin → 404
/admin/knoct → 302
/admin → 200
Tomáš Adamják WEBtlak #6 9
Cross-Site Scripting
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
Tomáš Adamják WEBtlak #6 10
Cross-Site Scripting
X-XSS-Protection
IE 8+
Chrome
Safari 4+
Mozilla Firefox
Tomáš Adamják WEBtlak #6 11
Session Hijacking
Tomáš Adamják WEBtlak #6 12
HTTP-Only cookies
PHP
session.cookie httponly: true
session.cookie secure: true
Tomáš Adamják WEBtlak #6 13
Content-Security-Policy
default-src ’none’
script-src ’unsafe-inline’
script-src cdnjs.cloudflare.com
Tomáš Adamják WEBtlak #6 14
Clickjacking
X-Frame-Options
DENY
SAMEORIGIN
ALLOW-FROM
Tomáš Adamják WEBtlak #6 15
Ďalšie
X-Content-Type-Options
HTTP Strict Transport Security
Tomáš Adamják WEBtlak #6 16
The End
Ďakujem sa pozornosť :-)
fb.com/thomas.adamjak
thomas.adamjak.net
Tomáš Adamják WEBtlak #6 17

More Related Content

Viewers also liked

Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4
Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4
Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4WEBtlak
 
Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8
Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8
Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8WEBtlak
 
Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4
Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4
Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4WEBtlak
 
Кафедра "Высокоскоростные транспортные системы"
Кафедра "Высокоскоростные транспортные системы"Кафедра "Высокоскоростные транспортные системы"
Кафедра "Высокоскоростные транспортные системы"Expert Council of high-speed railways in Russia
 
Open Payment Conférence
Open Payment ConférenceOpen Payment Conférence
Open Payment ConférencePierre VEILLON
 
Future of Microservices - Jakub Hadvig
Future of Microservices - Jakub HadvigFuture of Microservices - Jakub Hadvig
Future of Microservices - Jakub HadvigWEBtlak
 
Introduction to DDD - Adam Štipák
Introduction to DDD - Adam ŠtipákIntroduction to DDD - Adam Štipák
Introduction to DDD - Adam ŠtipákWEBtlak
 
Výtlak 10 ročnej praxe
Výtlak 10 ročnej praxeVýtlak 10 ročnej praxe
Výtlak 10 ročnej praxeWEBtlak
 
Clean Code / ako nevariť objektové špagety - Martin Razus
Clean Code / ako nevariť objektové špagety - Martin Razus Clean Code / ako nevariť objektové špagety - Martin Razus
Clean Code / ako nevariť objektové špagety - Martin Razus WEBtlak
 
3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS
3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS
3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTSSILVAA TOBBI
 

Viewers also liked (13)

Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4
Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4
Dizajn orientovaný na človeka - Jozef Benko | WEBtlak #4
 
Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8
Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8
Jeden prototyp za 1000 meetingov - Andrej Minárik | WEBtlak #8
 
Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4
Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4
Ako na užívateľské testovanie - Katarína Zalánová | WEBtlak #4
 
Кафедра "Высокоскоростные транспортные системы"
Кафедра "Высокоскоростные транспортные системы"Кафедра "Высокоскоростные транспортные системы"
Кафедра "Высокоскоростные транспортные системы"
 
Экспертный совет по ВСМ
Экспертный совет по ВСМЭкспертный совет по ВСМ
Экспертный совет по ВСМ
 
Open Payment Conférence
Open Payment ConférenceOpen Payment Conférence
Open Payment Conférence
 
Future of Microservices - Jakub Hadvig
Future of Microservices - Jakub HadvigFuture of Microservices - Jakub Hadvig
Future of Microservices - Jakub Hadvig
 
Introduction to DDD - Adam Štipák
Introduction to DDD - Adam ŠtipákIntroduction to DDD - Adam Štipák
Introduction to DDD - Adam Štipák
 
Výtlak 10 ročnej praxe
Výtlak 10 ročnej praxeVýtlak 10 ročnej praxe
Výtlak 10 ročnej praxe
 
Capm y wacc
Capm y waccCapm y wacc
Capm y wacc
 
Clean Code / ako nevariť objektové špagety - Martin Razus
Clean Code / ako nevariť objektové špagety - Martin Razus Clean Code / ako nevariť objektové špagety - Martin Razus
Clean Code / ako nevariť objektové špagety - Martin Razus
 
Español
EspañolEspañol
Español
 
3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS
3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS
3.0-Lampiran-Photo-MOHIS SDN. BHD PROJECTS
 

HTTP hlavičky - Tomas Adamjak