OWASP Top 10 to zbiór dziesięciu najpopularniejszych błędów bezpieczeństwa, które można spotkać na stronach internetowych. Rozpoczynam nowy cykl filmów właśnie na ten temat w ramach #od0dopentestera Są one przeznaczone dla szerszego grona #webdev oraz #programista15k a nie tylko osób zajmujących się #bezpieczenstwo Skupiam się tutaj na ogólnym przedstawieniu koncepcji a nie na szczegółowym wytłumaczeniu każdego z błędów. Można to więc potraktować jako punkty, na które warto zwrócić uwagę podczas #programowanie
Dzisiaj A1: Injection czyli wstrzyknięcie. Błędy tego rodzaju powstają jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i trafiają one bezpośrednio do zapytania lub jakiegoś polecenia. Przy pomocy odpowiednio spreparowanego ciągu znaków atakujący ma możliwość pobrania innych rekordów lub wywołania innych komend niż wcześniej zakładano. Najczęściej tego rodzaju podatności można spotkać w kodzie odpowiedzialnym za zapytania do różnego rodzaju baz danych. Mogą one występować również gdy używamy funkcji służących do wykonania komend systemowych. Kluczowe jest zatem odpowiednie filtrowanie danych pochodzących z zewnątrz. W odniesieniu do SQL Injection - chodzi tutaj o Prepared Statements. Zamiast przekazywać parametry bezpośrednio do zapytania - oznaczamy je zazwyczaj używając pytajnika. A ich podmianą zajmuje się odpowiednia funkcja, która dba o zabezpieczenie całości.
@KacperSzurek: Bardzo fajny materiał i podoba mi się, że nastawiony na 'zielonych' w temacie. Będę oglądać dalej ( ͡°͜ʖ͡°) Jedna uwaga montażowa: rozumiem, że robisz te cięcia i tu nie ma problemu, ale kłopot w tym, że na jednym ujęciu jesteś bliżej kamery, a na innym dalej i przez to przy cięciu 'skaczesz' po ekranie (jak np. w 2:27 - 2:32). Trochę ciężko się
Rozpoczynam nowy cykl filmów właśnie na ten temat w ramach #od0dopentestera
Są one przeznaczone dla szerszego grona #webdev oraz #programista15k a nie tylko osób zajmujących się #bezpieczenstwo
Skupiam się tutaj na ogólnym przedstawieniu koncepcji a nie na szczegółowym wytłumaczeniu każdego z błędów.
Można to więc potraktować jako punkty, na które warto zwrócić uwagę podczas #programowanie
Dzisiaj A1: Injection czyli wstrzyknięcie.
Błędy tego rodzaju powstają jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i trafiają one bezpośrednio do zapytania lub jakiegoś polecenia.
Przy pomocy odpowiednio spreparowanego ciągu znaków atakujący ma możliwość pobrania innych rekordów lub wywołania innych komend niż wcześniej zakładano.
Najczęściej tego rodzaju podatności można spotkać w kodzie odpowiedzialnym za zapytania do różnego rodzaju baz danych.
Mogą one występować również gdy używamy funkcji służących do wykonania komend systemowych.
Kluczowe jest zatem odpowiednie filtrowanie danych pochodzących z zewnątrz.
W odniesieniu do SQL Injection - chodzi tutaj o
Prepared Statements
.Zamiast przekazywać parametry bezpośrednio do zapytania - oznaczamy je zazwyczaj używając pytajnika.
A ich podmianą zajmuje się odpowiednia funkcja, która dba o zabezpieczenie całości.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
Jedna uwaga montażowa: rozumiem, że robisz te cięcia i tu nie ma problemu, ale kłopot w tym, że na jednym ujęciu jesteś bliżej kamery, a na innym dalej i przez to przy cięciu 'skaczesz' po ekranie (jak np. w 2:27 - 2:32). Trochę ciężko się