Pytanie  |
Odpowiedź |
|
rozpocznij naukę
|
|
proste wyszukiwanie różnic pomiędzy wybranymi przez nas zestawami danych
|
|
|
|
rozpocznij naukę
|
|
narzędzie pozwalające na konwertowanie danych pomiędzy różnymi formatami
|
|
|
|
rozpocznij naukę
|
|
narzędzie do analizy poziomu entropii, za jego pomocą można zweryfikować wskaźnik losowości danej wartości np. wartości ciasteczka PHPSESSID
|
|
|
|
rozpocznij naukę
|
|
Common Gateway Interface - interfejs umożliwiający uruchamianie przez serwer www programów (tzw. skryptów CGI) i przesyłanie wyniku ich działania do klienta przy użyciu protokołu http
|
|
|
|
rozpocznij naukę
|
|
dane do skryptów w żądaniach HTTP; skrypty działają jako osobne procesy w systemie, na którym działa serwer
|
|
|
|
rozpocznij naukę
|
|
Server Side Include - atak wykorzystujący j. skryptowy po stronie serwera, pozwala na włączenie dynamicznej zawartości
|
|
|
|
rozpocznij naukę
|
|
uzyskanie dostępu do plików/haseł; wywoływanie poleceń powłoki; dyrektywy SSI są wykonywane przed załadowanie strony/podczas wizualizacji
|
|
|
|
rozpocznij naukę
|
|
dyrektywa include - możliwość wczytania kodu PHP z innego źródła niż dysk lokalny; trudności z reagowaniem na błędy (ignoruj i idź dalej nie jest okej)
|
|
|
|
rozpocznij naukę
|
|
Active Server Page - stworzone przez MS; tworzenie stron dynamicznych WWW; serwer wczytuje plik ASP -> serwer przesyła wynik do klienta
|
|
|
|
rozpocznij naukę
|
|
dyrektywa include - tak jak w PHP; interpreter i komponenty pracują bezpośrednio pod kontrolą SysOp (ryzyko błędu)
|
|
|
|
rozpocznij naukę
|
|
Active Server Pages. NET - odmiana. NET przystosowana do bycia WebApp; kod źródłowy: kompilowany/interpretowany
|
|
|
ASP. NET - bezpieczeństwo rozpocznij naukę
|
|
czuwa środowisko uruchomieniowe CLR z zestawem komponentów; szyfrowanie ciasteczek nie jest bezpieczne; rzeczywisty stopień bezpieczeństwa zależy od jakości komponentów
|
|
|
Java Servlets I Java Server Pages rozpocznij naukę
|
|
umożliwiają tworzenie WebApp w Javie; "Serwlet" to klasa przystosowana do realizacji żądań HTTP, HTML + Java
|
|
|
Servlets i JS - bezpieczeństwo rozpocznij naukę
|
|
Java zaprojektowana tak by unikać błędów; stopień bezpieczeństwa = jakość komponentów; jak w PHP - parametry pobierane od użytk. do zmiennej globalnej
|
|
|
Problem styku WebApp + Baza danych - SQL rozpocznij naukę
|
|
w WebApp z DB często wartości wpisane przez użytk. używane do tworzenia SQL (atak "SQL injection")
|
|
|
Problem styku WebApp + Baza danych - Auth rozpocznij naukę
|
|
upoważnienie użtk. w serwerze WWW, skalowalność systemu, zmniejszenie możliwości szczegółowego monit. operacji przez serwer DB
|
|
|
Wycieki informacji - przyczyny #1 rozpocznij naukę
|
|
komentarze w HTML/JS; nazwy klas CSS; strona błędu z stack trace; (błęd. konf. serw.) zezw. na wyśw. zawa. plik. konf. (np.:. inc); list. zawartości kat.
|
|
|
Wycieki informacji - przyczyny #2 rozpocznij naukę
|
|
brak HTTPS; wadliwy auth system; 3rd party lib podatne na ataki; podatne mechanizmy ochrony sesji użytk.
|
|
|
Wycieki informacji - przyczyny #3 rozpocznij naukę
|
|
numery wersji serwera/języka/apk w nagłówkach; hasła w plainie; niezabezpieczone form'y (bruteforce/dict); komunikaty o błędach wskazujących na np.: hasło błędne
|
|
|
Wycieki informacji - ochrona #1 rozpocznij naukę
|
|
odpowiednia konfiguracja dostępu do zasobów; właściwa konfiguracja logowania błędów; szyfrowanie połączenia całej aplikacji; ukrywanie sygnatury (numery wersji) serwera/języka
|
|
|
