Czy jakieś błędy szczególnie Cię irytują? Chciałbyś je wszędzie wyplenić? Ja mam swoją własną listę, listę podatności, czy inaczej mówiąc błędów w mechanizmach zabezpieczeń aplikacji. Chciałbym się nią z Wami podzielić, pokazać Wam jak je wykryć i czemu należy je poprawić, aby w żadnej aplikacji, czy w tej którą testujecie, czy po prostu używacie, nie pozostały niezauważone. By było wszystkim nam bezpieczniej z nich korzystać. Nr 1. Przykład – zamek do drzwi na przykład. Macie skobelek, czy raczej coś solidnego w drzwiach wejściowych? Coś, co broni przed dostaniem się do środka, tak jak w cyfrowych realiach silne hasło, albo złożony PIN. Cztery jedynki nie będą działać. To znaczy będą jak aplikacja pozwoli, więc niech nie pozwala.

1. Podatności, których nie
chcę więcej widzieć
Mateusz Olejarka
TestWarez, 29.09.2016

3. • Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i
mobilnych, doradztwo, szkolenia
• (Były) programista
• OWASP Polska
• Bug hunter
O mnie

4. • Intro
• Podatności, podatności, podatności…
• Outro
• Q&A
Agenda

5. INTRO

6. • Defekt/błąd
• Niesie ze sobą ryzyko
• Wynika z:
• Braku zabezpieczeń
• Źle zastosowanych zabezpieczeń
• …
Podatność, czyli

7. https://www.flickr.com/photos/dragontomato/

8. PODATNOŚCI,
PODATNOŚCI,
Podatności…

9. Ujawnienie
informacji

10. https://www.troyhunt.com/your-affairs-were-never-discrete-ashley/

18. Pole
zablokowane

24. Zablokowana
akcja

39. https://www.feistyduck.com/ssl-tls-and-pki-history/

40. https://www.ssllabs.com/ssltest/

41. • Ryzyko wizerunkowe
• SSL pokazuje, czy druga strona dba o temat
• Czasami widać, kiedy były ostatnie testy ;)
• Qualys SSL Server Test / O-Saft
SSL

43. * ciekawostka

49. • Większe ryzyko wizerunkowe
• Druga strona raczej nie dba o temat ;)
• Może i tam nic nie ma, ale są dane do logowania…
Brak SSL

51. • Przypominanie hasła
• Złożoność
Hasło

55. http://plaintextoffenders.com/

58. • Przypominanie reset hasła
• Złożoność:
• 8 znaków to minimum, w tym
– Litery
– Cyfry
– Znaki specjalne
• Zabezpieczenie przed atakami typu brute force
Hasło

59. OUTRO

60. • Be evil tester
• Wychodzenie ze schematu
• Pytajmy
• Uczmy się
• Zaglądajmy pod maskę
• Znajdujmy, znajdujmy, znajdujmy…
Outro

61. CZEMU ZNAJDZIECIE
LEPSZE PODATNOŚCI
NIŻ JA?

63. mateusz.olejarka@securing.pl
@molejarka