Aktywne Wpisy
winsxspl +7
2020-2024 to popieprzone czasy na świecie.
COVID, wojna na Ukrainie, wojna w Palestynie, zamieszki w Iranie przez kobiety bez hijabu, odbicie władzy przez Talibów w Afganistanie, zamachy stanu w Afryce, fala uchodźców w Europie, zamachy w cywilizowanych krajach - na prezydenta Trumpa czy premiera Fico, śmierć Królowej Elżbiety... o czym jeszcze zapomniałem? Coś jeszcze wam przychodzi do głowy?
#wydarzenia #historia #usa
COVID, wojna na Ukrainie, wojna w Palestynie, zamieszki w Iranie przez kobiety bez hijabu, odbicie władzy przez Talibów w Afganistanie, zamachy stanu w Afryce, fala uchodźców w Europie, zamachy w cywilizowanych krajach - na prezydenta Trumpa czy premiera Fico, śmierć Królowej Elżbiety... o czym jeszcze zapomniałem? Coś jeszcze wam przychodzi do głowy?
#wydarzenia #historia #usa
majkkali +19
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.
W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostać bezpieczne zapisane na przykład w bazie danych – tutaj kłania się haszowanie przy pomocy funkcji jednokierunkowych wraz z losowymi solami.
Gdy użytkownik posiada już konto – może się zalogować.
Ile razy może błędnie podać swoje dane logowania?
Jak zabezpieczyć się przed botami przy użyciu mechanizmu captchy?
Czy użyty został dodatkowy mechanizm dwuskładnikowego uwierzytelnienia - na przykład przy pomocy kodów SMS?
A może któryś z endpointów API nie wspiera tego mechanizmu co sprawia, że staje się on bezużyteczny?
Gdy dane zostaną już prawidłowo sprawdzone – należy wygenerować identyfikator sesji, na podstawie którego użytkownik będzie rozpoznawany w systemie.
Czy jest on dostatecznie losowy i unikalny?
A może opiera się na mailu lub też innej stałej co może doprowadzić do zalogowania się na konto innego użytkownika?
Zazwyczaj identyfikator ten jest przechowywany w ciasteczkach.
One to powinny mieć ustawioną flagę HttpOnly – tak aby nie można się było do nich dostać z poziomu kodu #javascript.
Na koniec – wylogowanie z systemu powinno być nieodwracalne – to znaczy sesje należy zniszczyć, aby nie można się było przy jej pomocy ponownie zalogować.
A może sesja nie jest niszczona a tylko usuwane jest ciasteczko po stronie użytkownika?
Zapraszam do materiału wideo.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
Komentarz usunięty przez autora
Rozbawiło mnie tylko to jak wklejony jest ten dashboard na ekran: https://youtu.be/V4uZNjJJpt8?t=555 xD