!["… WHERE znacka = '{$_GET['znacka']}'"
Michal Špaček
www.michalspacek.cz](https://image.slidesharecdn.com/defense-in-depth-webinkognito122013-131206200637-phpapp02/75/defense-in-depth-web-inkognito-122013-12-2048.jpg?cb=1669649898)
!['… WHERE id = ' . $_GET['id']
Michal Špaček
www.michalspacek.cz](https://image.slidesharecdn.com/defense-in-depth-webinkognito122013-131206200637-phpapp02/75/defense-in-depth-web-inkognito-122013-14-2048.jpg?cb=1669649898)
Defense in Depth Web Inkognito 12/2013
•1 like•1,407 views
Report
Share
Download to read offline
Recommended
More Related Content
More from Michal Špaček
More from Michal Špaček(20)
Defense in Depth Web Inkognito 12/2013
- 1. DEFENSE IN DEPTH Tisíc a jeden tip pro webovou bezpečnost Michal Špaček @spazef0rze Web Inkognito VŠE www.michalspacek.cz @iz228 prosinec 2013 Slajdy jsou bez mých poznámek, nedávají tedy moc smysl pro toho, kdo na semináři nebyl.
- 3. Říjen 2013 3 miliony karet + 38 milionů účtů Nebo 150 milionů? Zdrojové kódy
- 6. Hesla špatně zašifrovaná Hesla v nápovědě v čitelné podobě LOL Michal Špaček www.michalspacek.cz
- 8. lumatch@seznam.cz KwclmYX4Q9E= emajlovej klient vole ajohnson@mynow.co.uk KwclmYX4Q9E= zoznam cz Michal Špaček www.michalspacek.cz
- 9. SQL Injection Útočník modifikuje SQL dotaz Michal Špaček www.michalspacek.cz
- 12. "… WHERE znacka = '{$_GET['znacka']}'" Michal Špaček www.michalspacek.cz
- 14. '… WHERE id = ' . $_GET['id'] Michal Špaček www.michalspacek.cz
- 15. ' OR 1=1; -Michal Špaček www.michalspacek.cz
- 16. SELECT jmeno, adresa FROM vozidla WHERE rz = '$prectena'; Michal Špaček www.michalspacek.cz
- 17. 1AM 1337 SELECT jmeno, adresa FROM vozidla WHERE rz = '1AM 1337'; Michal Špaček www.michalspacek.cz
- 18. ' OR 1=1; -SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; Michal Špaček www.michalspacek.cz
- 20. Řešení? Prepared statements (PDO) Michal Špaček www.michalspacek.cz
- 21. SELECT jmeno, adresa FROM vozidla WHERE rz = ?; ' OR 1=1; -Michal Špaček www.michalspacek.cz
- 25. Defense in Depth Fail = SQL Injection + Špatně uložená hesla Michal Špaček www.michalspacek.cz
- 26. 323 loginů + SHA-1 hashů hesel crackstation.net Michal Špaček www.michalspacek.cz
- 27. crackstation.net 111 cracknutých hesel Michal Špaček www.michalspacek.cz
- 29. 111 cracknutých hesel 52 k loginu …@seznam.cz Michal Špaček www.michalspacek.cz
- 30. 52 loginů …@seznam.cz Kolik stejných hesel jako na Seznam? Michal Špaček www.michalspacek.cz
- 32. …@email.cz 2z8 …@centrum.cz 3z9 …@gmail.com 1 z 15 Michal Špaček www.michalspacek.cz
- 33. hashcat 164 dalších cracknutých hesel Michal Špaček www.michalspacek.cz
- 34. 164 dalších cracknutých hesel 2 také použita pro mailbox Michal Špaček www.michalspacek.cz
- 36. v čitelné podobě (v plaintextu) Michal Špaček www.michalspacek.cz
- 45. MD5(heslo + salt) SHA1(heslo + salt) Michal Špaček www.michalspacek.cz
- 53. Cross-Site Scripting (XSS) Útočník vloží na naši stránku vlastní HTML nebo JS kód Michal Špaček www.michalspacek.cz
- 60. Cross-Site Scripting X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block Michal Špaček www.michalspacek.cz
- 61. X-XSS-Protection IE 8+ Chrome Safari 4+ Michal Špaček www.michalspacek.cz
- 63. HTTP-Only cookies session.cookie_httponly: true session.cookie_secure: true Michal Špaček www.michalspacek.cz
- 64. HttpOnly flag IE 6 SP1+ a všechny další Michal Špaček www.michalspacek.cz
- 65. Content-Security-Policy default-src 'none' script-src 'unsafe-inline' script-src ajax.googleapis.com Michal Špaček www.michalspacek.cz
- 66. Content-Security-Policy Firefox 4+ X-Content-Security-Policy Chrome 25+, Firefox 23+, Opera 15+ Content-Security-Policy IE 10+ X-Content-Security-Policy Michal Špaček www.michalspacek.cz
- 67. I vaši aplikaci napadnou zlí útočníci Jste připraveni?