Adam Szaraniec, Software Developer w XSolve, w prezentacji na temat nagłówków zwiększających poziom bezpieczeństwa aplikacji WWW.
Adam omawia nagłówki umożliwiające wymuszenie bezpiecznego połączenia między klientem (przeglądarką) a serwerem oraz nagłówek CSP pomagający zabezpieczyć się przed atakiem XSS.
Wykład z konferencji 4Developers 2015.
OWASP - Open Web Applications Security Project to fundacja non-profit której celem jest eliminacja problemów bezpieczeństwa aplikacji.
W trakcie wykładu przedstawie krótko OWASP Top 10 w wydaniu dla programistów, czyli "Top 10 Proactive Controls" a więc najważniejsze zalecenia pozwalające na uniknięcie kluczowych błędów bezpieczeństwa.
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
YouTube: https://www.youtube.com/watch?v=fyRAef3lnTo&index=55&list=PLnKL6-WWWE_WNYmP_P5x2SfzJ7jeJNzfp
Speaker: Wojciech Dworakowski
Language: Polish
OWASP - Open Web Applications Security Project to fundacja której celem jest eliminacja problemów bezpieczeństwa aplikacji. OWASP działa w duchu "open source" i dostarcza narzędzi, informacji i wiedzy pozwalających podnieść poziom bezpieczeństwa aplikacji. W trakcie wykładu przedstawie krótko OWASP Top 10 w wydaniu dla programistów, czyli "Top 10 Proactive Controls" a więc najważniejsze zalecenia pozwalające na uniknięcie kluczowych błędów bezpieczeństwa.
4Developers: http://4developers.org.pl/pl/
Adam Szaraniec, Software Developer w XSolve, w prezentacji na temat nagłówków zwiększających poziom bezpieczeństwa aplikacji WWW.
Adam omawia nagłówki umożliwiające wymuszenie bezpiecznego połączenia między klientem (przeglądarką) a serwerem oraz nagłówek CSP pomagający zabezpieczyć się przed atakiem XSS.
Wykład z konferencji 4Developers 2015.
OWASP - Open Web Applications Security Project to fundacja non-profit której celem jest eliminacja problemów bezpieczeństwa aplikacji.
W trakcie wykładu przedstawie krótko OWASP Top 10 w wydaniu dla programistów, czyli "Top 10 Proactive Controls" a więc najważniejsze zalecenia pozwalające na uniknięcie kluczowych błędów bezpieczeństwa.
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
YouTube: https://www.youtube.com/watch?v=fyRAef3lnTo&index=55&list=PLnKL6-WWWE_WNYmP_P5x2SfzJ7jeJNzfp
Speaker: Wojciech Dworakowski
Language: Polish
OWASP - Open Web Applications Security Project to fundacja której celem jest eliminacja problemów bezpieczeństwa aplikacji. OWASP działa w duchu "open source" i dostarcza narzędzi, informacji i wiedzy pozwalających podnieść poziom bezpieczeństwa aplikacji. W trakcie wykładu przedstawie krótko OWASP Top 10 w wydaniu dla programistów, czyli "Top 10 Proactive Controls" a więc najważniejsze zalecenia pozwalające na uniknięcie kluczowych błędów bezpieczeństwa.
4Developers: http://4developers.org.pl/pl/
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
Prezentacja omawiająca zmiany w najnowszej wersji OWASP Top 10. Postarałem się także wyjaśnić czym jest a czym nie jest Top 10 i do czego służy ten dokument.
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
Celem wykładu jest pokazanie na czym polega Broken Authetication and Session Management – co to tak naprawdę oznacza. Jakie mogą być tego konsekwencje i czy to występuje obecnie w JEE.
Wykład jest przeznaczony dla osób tworzących aplikacje korzystając z WEBowych frameworków Java.
Broken Authetication and Session Management jest od wielu lat klasyfikowany przez OWASP (Open Web Application Security Project) jako jedna z groźniejszych podatność aplikacji WEBowych.
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala
Łukasz Grala - SQL Server 2008 - Nowości administracyjne.
Prezentacja z konferencji IT Academic Day organizowanej w Wyższej Szkole Komunikacji Zarządzania w Poznaniu
Ataki po stronie klienta w publicznych punktach dostępowychPawel Rzepa
Ataki po stronie klienta w publicznych punktach dostępowych”.
Coraz więcej restauracji i hoteli decyduje się na otwarcie publicznych punktów dostępowych. Wizja darmowego surfowania po Internecie wydaje się dla wielu atrakcyjna, ale czy na pewno bezpieczna? Czy można przechwycić dane przesyłane do "bezpiecznej" aplikacji? Czy szyfrowanie to droga dla paranoików, czy jedyne słuszne rozwiązanie?
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek3camp
Bartosz Jerzman - Ochrona podatnych webaplikacji za pomoca wirtualnych poprawek
Prezentacja poświęcona jest ochronie webaplikacji za pomocą procedury wdrażania wirtualnych poprawek. W ramach prelekcji zostaną przedstawione:
– wykorzystanie Web Application Firewall (implementacja za pomocą projektu opensource – ModSecurity);
– opis poszczególnych faz procedury wdrażania wirtualnych poprawek do ochrony podatnych webaplikacji;
– trzy przypadki użycia wirtualnych poprawek dla rożnych typów ataków.
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...PROIDEA
Aplikacje REST-owe są obecnie niezwykle popularne: tak te w pełni RESTful jak i te udostępniające mniej lub bardziej udane REST API. Nie znaczy to jednak, że mamy świetnie rozpoznane i doskonale opanowane mechanizmy uwierzytelniania w takich aplikacjach. Przeciwnie: wiele popularnych podejść niesie za sobą duże ryzyko i liczne problemy. Podczas prelekcji postaram się przybliżyć wady i zalety najważniejszych metod i odpowiedzieć na fundamentalne pytania: czy można zrealizować bezpieczne uwierzytelnianie bezstanowej aplikacji RESTowej w sposób równie bezstanowy? Czy JWT jest magicznym narzędziem rozwiązującym wszystkie problemy? Czy, jak i kiedy stosować OAuth i OpenID Connect?
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...PROIDEA
Krzysztof Rychlicki-Kicior
Language: Polish
Dawno temu, gdy w kodzie HTML królowały znaczniki FONT i MARQUEE, a zamiast AJAX-a stosowano ukryte ramki, błyskawiczną i dwustronną komunikację z serwerem można było osiągnąć jedynie za pomocą specjalnych wtyczek - np. we wszelkiej maści czatach królowała wówczas Java i applety. Z upływem lat sytuacja poprawiła się, dzięki zastosowaniu AJAX-a czy long pollingu, jednak wciąż była daleka od ideału. Na szczęście, obecnie programiści są w znacznie lepszej sytuacji - dzięki WebSocketom bez żadnego problemu są w stanie zaimplementować komunikację w czasie rzeczywistym, niezbędną np. do gier online, aplikacji do komunikacji czy aplikacji finansowych.
W ramach tego wykładu słuchacze zapoznają się z różnymi koncepcjami stosowanymi w komunikacji pomiędzy przeglądarką a serwerem HTTP, z uwzględnieniem WebSocketów. Oprócz tego zostaną przedstawione mechanizmy obsługi WS od strony serwera, na przykładzie Node.js i Socket.IO. Różne rozwiązania zostaną poddane porównaniu pod kątem wydajności. Mimo licznych zalet, WebSockety niosą za sobą pewne problemy - zostaną one również poddane analizie.
Najciekawsze podatności znalezione przez nasz zespół w trakcie testowania bezpieczeństwa aplikacji Android – przede
wszystkim bankowości czy płatności mobilnych.
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
Speaker: Piotr Bucki
Language: Polish
Celem wykład jest pokazanie na czym polega atak XSS i jakie są jego rodzaje oraz dostępne zabezpieczenia w popularnych frameworkach Java. Wykład jest przeznaczony dla osób tworzących aplikacje korzystając z WEBowych frameworków Java.
XSS (Cross-site scripting) jest rodzajem ataku na użytkownika serwis WWW, który polega na wykonaniu kodu przygotowanego przez atakującego (zazwyczaj JavaScript, ale także AciveX, Flash czy Silverlight) w przeglądarce ofiary.
4Developers: http://4developers.org.pl/pl/
Twórz bezpieczny kod w PHP!
* Jakie rodzaje ataków mogą Ci zagrozić?
* Jak się przed nimi bronić?
* Jak produkować bezpieczne oprogramowanie?
PHP jest z pewnością jednym z najbardziej popularnych języków programowania, pozwalających na tworzenie dynamicznych aplikacji WWW. Swoją popularność zdobył dzięki prostej składni, łatwej konfiguracji oraz przejrzystym zasadom działania. PHP jest świetnym przykładem na to, że prostota i elegancja bywają lepsze niż nadmierne zaawansowanie i niepotrzebna komplikacja. Pomimo swej prostoty język PHP jest bardzo wymagający w sprawach związanych z bezpieczeństwem. Zmusza on programistę do poświęcenia niezwykłej uwagi kwestii wyboru bezpiecznych rozwiązań.
Z pewnością brakowało Ci książki, która w jednym miejscu gromadziłaby wszelkie informacje związane z bezpieczeństwem w PHP. Dzięki pozycji "PHP5. Bezpieczne programowanie. Leksykon kieszonkowy " poznasz podstawy bezpiecznego programowania, sposoby obsługi danych pobranych z zewnątrz oraz przekazywania ich pomiędzy skryptami. Autor przedstawi Ci rodzaje ataków na aplikacje PHP oraz najlepsze metody obrony przed nimi. Ponadto nauczysz się we właściwy sposób konfigurować PHP oraz zdobędziesz wiedzę na temat zasad bezpiecznej produkcji oprogramowania. Jeżeli chcesz tworzyć bezpieczne rozwiązania w PHP, koniecznie zapoznaj się z tą książką!
* Obsługa danych zewnętrznych
* Wstrzykiwanie kodu
* Dobór odpowiednich uprawnień
* Sposoby uwierzytelniania użytkownika
* Bezpieczne obsługiwanie błędów
* Rodzaje ataków na aplikacje napisane w PHP
* Obrona przed atakami XSS
* Zagrożenie wstrzyknięciem kodu SQL
* Ataki DOS i DDOS
* Bezpieczna konfiguracja PHP
* Sposoby tworzenia bezpiecznego oprogramowania
Wykorzystaj możliwości PHP w pełni i bezpiecznie!
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
Piotr Kaźmierczak, Red Team Leader opowiadał jak ważną rolę w podnoszeniu kompetencji specjalistów od cyberbepieczeństwa pełni redteaming oraz zespół ofensywny. Zaprezentował różne narzędzia oraz przedstawił metody pracy Red Teamu. Prezentację zilustrowały przykłady z ostatnich treningów na poligonie cybernetycznym CDeX.
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
Prezentacja omawiająca zmiany w najnowszej wersji OWASP Top 10. Postarałem się także wyjaśnić czym jest a czym nie jest Top 10 i do czego służy ten dokument.
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
Celem wykładu jest pokazanie na czym polega Broken Authetication and Session Management – co to tak naprawdę oznacza. Jakie mogą być tego konsekwencje i czy to występuje obecnie w JEE.
Wykład jest przeznaczony dla osób tworzących aplikacje korzystając z WEBowych frameworków Java.
Broken Authetication and Session Management jest od wielu lat klasyfikowany przez OWASP (Open Web Application Security Project) jako jedna z groźniejszych podatność aplikacji WEBowych.
Łukasz Grala - WSKIZ 2009-04-07 It Academic - SQL Server 2008 - Nowości Adm...Łukasz Grala
Łukasz Grala - SQL Server 2008 - Nowości administracyjne.
Prezentacja z konferencji IT Academic Day organizowanej w Wyższej Szkole Komunikacji Zarządzania w Poznaniu
Ataki po stronie klienta w publicznych punktach dostępowychPawel Rzepa
Ataki po stronie klienta w publicznych punktach dostępowych”.
Coraz więcej restauracji i hoteli decyduje się na otwarcie publicznych punktów dostępowych. Wizja darmowego surfowania po Internecie wydaje się dla wielu atrakcyjna, ale czy na pewno bezpieczna? Czy można przechwycić dane przesyłane do "bezpiecznej" aplikacji? Czy szyfrowanie to droga dla paranoików, czy jedyne słuszne rozwiązanie?
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek3camp
Bartosz Jerzman - Ochrona podatnych webaplikacji za pomoca wirtualnych poprawek
Prezentacja poświęcona jest ochronie webaplikacji za pomocą procedury wdrażania wirtualnych poprawek. W ramach prelekcji zostaną przedstawione:
– wykorzystanie Web Application Firewall (implementacja za pomocą projektu opensource – ModSecurity);
– opis poszczególnych faz procedury wdrażania wirtualnych poprawek do ochrony podatnych webaplikacji;
– trzy przypadki użycia wirtualnych poprawek dla rożnych typów ataków.
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...PROIDEA
Aplikacje REST-owe są obecnie niezwykle popularne: tak te w pełni RESTful jak i te udostępniające mniej lub bardziej udane REST API. Nie znaczy to jednak, że mamy świetnie rozpoznane i doskonale opanowane mechanizmy uwierzytelniania w takich aplikacjach. Przeciwnie: wiele popularnych podejść niesie za sobą duże ryzyko i liczne problemy. Podczas prelekcji postaram się przybliżyć wady i zalety najważniejszych metod i odpowiedzieć na fundamentalne pytania: czy można zrealizować bezpieczne uwierzytelnianie bezstanowej aplikacji RESTowej w sposób równie bezstanowy? Czy JWT jest magicznym narzędziem rozwiązującym wszystkie problemy? Czy, jak i kiedy stosować OAuth i OpenID Connect?
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...PROIDEA
Krzysztof Rychlicki-Kicior
Language: Polish
Dawno temu, gdy w kodzie HTML królowały znaczniki FONT i MARQUEE, a zamiast AJAX-a stosowano ukryte ramki, błyskawiczną i dwustronną komunikację z serwerem można było osiągnąć jedynie za pomocą specjalnych wtyczek - np. we wszelkiej maści czatach królowała wówczas Java i applety. Z upływem lat sytuacja poprawiła się, dzięki zastosowaniu AJAX-a czy long pollingu, jednak wciąż była daleka od ideału. Na szczęście, obecnie programiści są w znacznie lepszej sytuacji - dzięki WebSocketom bez żadnego problemu są w stanie zaimplementować komunikację w czasie rzeczywistym, niezbędną np. do gier online, aplikacji do komunikacji czy aplikacji finansowych.
W ramach tego wykładu słuchacze zapoznają się z różnymi koncepcjami stosowanymi w komunikacji pomiędzy przeglądarką a serwerem HTTP, z uwzględnieniem WebSocketów. Oprócz tego zostaną przedstawione mechanizmy obsługi WS od strony serwera, na przykładzie Node.js i Socket.IO. Różne rozwiązania zostaną poddane porównaniu pod kątem wydajności. Mimo licznych zalet, WebSockety niosą za sobą pewne problemy - zostaną one również poddane analizie.
Najciekawsze podatności znalezione przez nasz zespół w trakcie testowania bezpieczeństwa aplikacji Android – przede
wszystkim bankowości czy płatności mobilnych.
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
Speaker: Piotr Bucki
Language: Polish
Celem wykład jest pokazanie na czym polega atak XSS i jakie są jego rodzaje oraz dostępne zabezpieczenia w popularnych frameworkach Java. Wykład jest przeznaczony dla osób tworzących aplikacje korzystając z WEBowych frameworków Java.
XSS (Cross-site scripting) jest rodzajem ataku na użytkownika serwis WWW, który polega na wykonaniu kodu przygotowanego przez atakującego (zazwyczaj JavaScript, ale także AciveX, Flash czy Silverlight) w przeglądarce ofiary.
4Developers: http://4developers.org.pl/pl/
Twórz bezpieczny kod w PHP!
* Jakie rodzaje ataków mogą Ci zagrozić?
* Jak się przed nimi bronić?
* Jak produkować bezpieczne oprogramowanie?
PHP jest z pewnością jednym z najbardziej popularnych języków programowania, pozwalających na tworzenie dynamicznych aplikacji WWW. Swoją popularność zdobył dzięki prostej składni, łatwej konfiguracji oraz przejrzystym zasadom działania. PHP jest świetnym przykładem na to, że prostota i elegancja bywają lepsze niż nadmierne zaawansowanie i niepotrzebna komplikacja. Pomimo swej prostoty język PHP jest bardzo wymagający w sprawach związanych z bezpieczeństwem. Zmusza on programistę do poświęcenia niezwykłej uwagi kwestii wyboru bezpiecznych rozwiązań.
Z pewnością brakowało Ci książki, która w jednym miejscu gromadziłaby wszelkie informacje związane z bezpieczeństwem w PHP. Dzięki pozycji "PHP5. Bezpieczne programowanie. Leksykon kieszonkowy " poznasz podstawy bezpiecznego programowania, sposoby obsługi danych pobranych z zewnątrz oraz przekazywania ich pomiędzy skryptami. Autor przedstawi Ci rodzaje ataków na aplikacje PHP oraz najlepsze metody obrony przed nimi. Ponadto nauczysz się we właściwy sposób konfigurować PHP oraz zdobędziesz wiedzę na temat zasad bezpiecznej produkcji oprogramowania. Jeżeli chcesz tworzyć bezpieczne rozwiązania w PHP, koniecznie zapoznaj się z tą książką!
* Obsługa danych zewnętrznych
* Wstrzykiwanie kodu
* Dobór odpowiednich uprawnień
* Sposoby uwierzytelniania użytkownika
* Bezpieczne obsługiwanie błędów
* Rodzaje ataków na aplikacje napisane w PHP
* Obrona przed atakami XSS
* Zagrożenie wstrzyknięciem kodu SQL
* Ataki DOS i DDOS
* Bezpieczna konfiguracja PHP
* Sposoby tworzenia bezpiecznego oprogramowania
Wykorzystaj możliwości PHP w pełni i bezpiecznie!
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
Piotr Kaźmierczak, Red Team Leader opowiadał jak ważną rolę w podnoszeniu kompetencji specjalistów od cyberbepieczeństwa pełni redteaming oraz zespół ofensywny. Zaprezentował różne narzędzia oraz przedstawił metody pracy Red Teamu. Prezentację zilustrowały przykłady z ostatnich treningów na poligonie cybernetycznym CDeX.
Similar to Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji (20)
This document discusses strong authentication methods that use two factors of identification. It describes traditional methods like ATM cards that use something you have (the card) and something you know (the PIN). Modern methods discussed include one-time passwords, smart cards, and out-of-band authentication using a mobile phone for an extra layer of security beyond just a password. The document analyzes the security and weaknesses of various knowledge-based and ownership-based authentication approaches.
The document discusses various security issues that can occur on web portals, including cross-site scripting (XSS) vulnerabilities that allow altering of content or stealing cookies, and cross-site request forgery (CSRF) attacks. It provides examples of how these attacks can be carried out, such as using XSS to change website branding or send a user's cookies to an attacker. The document recommends mitigation techniques like input filtering, consistency checks, and tying sessions to IP addresses to help prevent these types of attacks.
3. Rozwiązania
• Jak możemy się chronić ?
– Pisać bezpieczne aplikacje
– Łatać na bieżąco elementy systemu
– Monitorować system i wykonywane transakcję
– ….
– WAF – Web Application Firewall
4. Firewall aplikacyjny
• Firewall warstwy 8 i powyżej
– Odwzorowanie logiki
– zgodność z protokołem (RFC)
• Ochrona przed znanymi atakami
(sygnatury)
• Korelacje
5. Modele bezpieczeństwa
• Pozytywny
– Akceptowanie tylko bezpiecznego ruchu
– Odrzucanie reszty
• Negatywny
– Odrzucanie niebezpiecznego ruchu
– Akceptowanie reszty
• YingYang
– Zaakceptuj bezpieczny ruch (zgodny z logiką)
– Po czym z zaakceptowanego odrzuć to co może być
dodatkowo podejrzane
6. Ewaluacja
• Ewaluacja – „badanie wartości albo cech”
• Jakie rozwiązania wybrać?
– Darmowe
• Mod_security
– Rozwiązania komercyjne:
• Breach Security,
• Citrix Systems,
• F5 Networks,
• Imperva,
• NetContinuum
• Protegrity
7. Architektura wdrożenia
• Model pracy
– Oprogramowanie / Plugin do web serwera
– Bridge
– Router
– Revers Proxy
• SSL
– Terminowanie SSL
– Pasywne deszyfrowanie SSL
– Brak obsługi SSL
8. Architektura wdrożenia
• Blokowanie ruchu
– Rst
– Drop
– Error page (unikalne ID)
– Blokowanie na innym urządzeniu
• Blokowanie czasowe
– Adresów IP
– Sesji
– Użytkownika (rozpoznanie?)
9. Architektura wdrożenia
• Rodzaj rozwiązania
– Pudełko
– Oprogramowanie
• HA
– Fail open, fail close
– Architektura wieloagentowa (max agentów)
– Czasy przełącznia
– Synchronizacja stanów, czy dla SSL również
– Dopuszczalne odległości, opóźnienia
– HA dla systemu zarządzania
– Obsługa STP
10. Architektura wdrożenia
• Obsługa wirtualizacji
• Vhost
• Vlan
• Przepisywanie zapytań i odpowiedzi
serwera
• Caching
• Kompresja
• Obsługa innego niż HTTP ruchu
11. Wsparcie protokołów
• Wsparcie i blokowanie różnych protokołów
• Różne typy kodowania
• Obsługa i blokowanie metod
• Walidowanie niezgodności z RFC
• Walidowanie podwójnego kodowania,
bądź niezgodnego kodowania.
• Walidacja długości zapytań
12. Wsparcie protokołów
• Walidacja „mapy strony”
– Sprawdzanie zapytań (urli, parametrów)
– Przejść pomiędzy urlami
• Obsługa transferu plików
– POST/PUT
– Ograniczanie wielkości, ilości
– Skanowanie plików
• Analiza treści odpowiedzi serwera (pod
kątem zawartości nieprawidłowej)
13. Techniki wykrywania
• Normalizacja
• Negatywny model
– Sygnatury (automatyczne, ręczne)
– Zależności logiczne
• Poztywyny model
– Uczenie
– Wprowadzenie ręczne
• Własne API – rozszerzenia?
14. Ochrona przed atakami
• Brute Force
• Atakami na ciasteczka
• Atakami na sesję
• Atakami na parametry
• Atakami na flow
15. Ochrona przed atakami
– Próba wywołania strony z poza mapy
– Wywołania zasobów aplikacji bez lokalnych referentów
– Próby zgadnięcia podstron / parametrów
– Manipulacja parametrów w zakresie zawartości i długości
– Przejmowanie sesji, manipulacja sesjami
– Przepełnienia buforów
– Ominięcia autoryzacji
– Wstrzykiwania złośliwego kodu SQL, rozkazów systemowych itp.
– Atakami Cross site scripting
– Wykorzystywania podatności systemów operacyjnych
– Wykorzystywania podatności serwerów WWW
– Manipulacja metodami HTML
– Wykorzystania zabronionych metod HTML
– Manipulacja nagłówkami HTML
– Zalew aplikacji informacjami
16. Logowanie
• Nadawanie ID
• Zabezpieczenie przed fałszowaniem
• Eksportowalność logów
• Powiadamianie
• Logowanie transakcji
• Retencja logów
• Obsługa wrażliwych danych
18. Zarządzanie
• Rozdzielenie logiki aplikacji o polityki
bezpieczeństwa (z relacją wiele do wielu)
• Łatwy mechanizm cofania zmian
• Wersjonowanie, różnicowanie zmian w
systemie.
• Niskopoziomowy dostęp do konfiguracji
• Role dostępu do systemu
• Automatyczne aktualizowanie profilów, polityk,
sygnatur.
• Bezpieczeństwo dostępu do urządzenia
19. Wydajność
• Ilość połączeń na sekundę
• Maksymalna przepustowość (dla stałej
wielkości żadania – odpowiedzi 32 KB)
• Maksymalna ilość równoległych połączeń
• Opóźnienia
• Czy obciążenie wpływa na jakość
zarządzania.