dotnetomaniak.pl

dotnetomaniak.pl - Artykuły z tagiem bezpieczeństwo

Każdy z nas używa haseł jako mechanizmu autenfikacji na setkach portali internetowych. Dużo się mówi o tym, że hasło powinno być bezpieczne. Ale wiele ludzi, w tym ja do niedawna, nie przejmuje się takimi detalami… W tej historii opowiem wam jak w ciągu kilku godzin zmieniłem moje nastawienie do haseł i podam kilka rad jak być bezpieczniejszym w sieci. Wszystko zaczęło się kilka dni temu...

Hasła | MD Tech Blog

Daj się poznać 2017 47 dni, 19 godzin, 16 minut temu manio143 158 rozwiń

Czy da się przechowywać hasło użytkownika w taki sposób aby móc je zweryfikować podczas logowania ale nie znać jego treści? Brzmi to jak niezły paradoks, prawda? Okazuje się, że istnieje sposób aby tego dokonać. Wykorzystuje się w tym celu właśnie tytułowe funkcje skrótu.

Funkcje skrótu a bezpieczeństwo przechowywanych haseł

Daj się poznać 2017 63 dni, 5 godzin, 48 minut temu mkaminski 84 rozwiń

Witam serdecznie zarówno starych jak i nowych czytelników bloga. Dzisiejszy dzień jest szczególny, ponieważ chciałbym podzielić się z Wami moim nowym projektem, a jest nim podcast – DevReview. Moim pierwszym gościem był Mariusz Litwin – analityk w dziale zarządzania ryzykiem nadużyć w EY. Porozmawialiśmy (a raczej Mariusz :D) m.in. o historii bezpieczeństwa, bezpieczeństwie proaktywnym, dobrych praktykach podczas implementowania systemów informatycznych oraz sposobach na „przeniknięcie” do profesjonalneg...

Źródło: foreverframe.pl
Dziel się z innymi:
DevReview #1 O bezpieczeństwie z Mariuszem Litwinem - Forever F[r]ame

Sztuka programowania 403 dni, 18 godzin, 20 minut temu dpawlukiewicz 105 rozwiń

W procesie implementacji systemu informatycznego zwykle przychodzi moment, gdzie w naszym kodzie zaczynają pojawiać się informacje niezbędne np. do połączenia z bazą danych lub integracją z zewnętrznymi dostawcami wszelakich usług jak np. mailing. Strategi radzenia sobie z tą niedogodnością jest kilka. Możemy temat uznać za mało ważny, który po prostu olejemy. Nie jest to dobrym pomysłem chociażby z tego względu, że w dzisiejszych czasach reverse engineering jest wszechobecny i dla wprawionych osób dekom...

Źródło: foreverframe.pl
Dziel się z innymi:
Przechowywanie danych wrażliwych w ASP.NET Core - Forever F[r]ame

Sztuka programowania 409 dni, 18 godzin, 14 minut temu dpawlukiewicz 174 rozwiń

Aktualizacja SharePoint 2013 to bolączka każdego administratora. Zagrożenia, jakie z tego płyną, są często powodem, przez który SharePoint nie jest nigdy aktualizowany. Warto zacząć od tego, że istnieją dwa podstawowe sposoby aktualizowania. Możemy ściągnąć paczkę z aktualizacją zbiorczą (cumulative updates) lub wykorzystać automatyczne aktualizacje Windows Update. Odradzam tą drugą metodę! Jest ona głównym powodem strachu administratorów. Niejeden z nich po pobraniu aktualizacji z Windows Update i ponow...

Aktualizacja SharePoint 2013

Office 489 dni, 17 godzin, 48 minut temu qba8 30 rozwiń

BezpieczeństwoPiotr ZielińskiLeave a comment Protokół HTTPS jest dzisiaj powszechny na wszystkich stronach z wrażliwymi informacjami. Banki są klasycznym przykładem. HTTPS “gwarantuje”, że dane są przesyłane w szyfrowanej formie, a klient wie, że łączy się z oryginalną stroną. Certyfikat publikowany przez stronę jest gwarantem, że korzystamy właśnie z tej aplikacji, z której zamierzaliśmy. W najprostszej postaci wygląda to zatem następująco: Tego przynajmniej spodziewamy się… Problem w tym, że czasam...

Dziel się z innymi:
Bezpieczeństwo web: Nagłówek HTTP Strict Transport Security (HSTS)

Web 544 dni, 15 godzin, 52 minuty temu rroszczyk 109 rozwiń

W poprzednim poście skupiłem głównie się na reflected CSS, ale wspomniałem również o stored XSS. Zasada działania ataków typu “Stored xss” jest bardzo prosta – wstrzyknięty kod jest przechowywany w bazie danych. Oznacza to, że potencjalny atak może zostać wykorzystany przeciwko jakiemukolwiek użytkownikowi odwiedzającemu stronę. W przypadku reflected xss sami musieliśmy zadbać o to, aby ktoś odwiedził stronę z spreparowanymi przez nas danymi.

Dziel się z innymi:
Bezpieczeństwo web: XSS, ataki typu stored XSS oraz DOM-based XSS – część 2 | Piotr Zieliński

Web 593 dni, 13 godzin, 32 minuty temu rroszczyk 106 rozwiń

Dzisiaj powracamy do zagadnień związanych z bezpieczeństwem aplikacji webowych. Przez kilka następnych postów będę pisał o XSS. Oprócz SQL Injection, XSS jest jednym z “popularniejszych” ataków przeprowadzanych na aplikacje webowe. O ile zasada działania może wydawać się prymitywna, to wiele stron, nawet tych z czołówki (np. Amazon), były podatne na XSS. Co więcej, tak jak SQL Injection, wykorzystanie XSS może spowodować całkowite przejęcie kontroli nad aplikacją. Nie należy więc traktować luki XSS jako...

Dziel się z innymi:
Bezpieczeństwo web,  Cross-Site Scripting (XSS) – część 1

Web 600 dni, 16 godzin, 43 minuty temu rroszczyk 142 rozwiń

Po ostatnim poście powinno być jasne dlaczego i kiedy warto używać CORS. Przedstawiony przykład pokazywał dwa kluczowe nagłówki: origin oraz Access-Control-Allow-Origin. W praktyce jednak, może zdarzyć się, że przeglądarka wyśle dodatkowy pakiet, tzw. “prefight”. Przeglądarki omijają ten etap, gdy następujące warunki sa spełnione:Zapytanie jest typu GET, HEAD lub POSTW nagłówku nie ma innych zapytań niż  Accept, Accept-Language, Content-Language lub Content-TypeContent-Type ma wyłącznie wartości takie ja...

Dziel się z innymi:
Cross-Origin Request sharing (CORS): Zapytania prefight

Programowanie rozproszone 684 dni, 19 godzin, 4 minuty temu rroszczyk 138 rozwiń

Dzisiaj chciałbym rozpocząć nowy cykl o bezpieczeństwie aplikacji webowych. Niejednokrotnie o tym pisałem już, ale były to luźno powiązane ze sobą wpisy. Od tego wpisu chciałbym to zmienić i przedstawić bardziej dogłębnie tą tematykę. Pierwsze wpisy będą stanowiły całkowite podstawy, ale mam nadzieję, że również bardziej zaawansowani programiści znajdą coś ciekawego w tym (np. wykorzystywane narzędzia).  Na końcu mam zamiar przedstaw...

Dziel się z innymi:
Bezpieczeństwo WEB: Wprowadzenie, mapowanie aplikacji część I

Web 690 dni, 19 godzin, 22 minuty temu rroszczyk 265 rozwiń

Przemysław Walkowski Kontynuując temat bezpieczeństwa, chce zająć się tematem certyfikatów ich tworzeniem i obsługą. Omówię co to jest PKI, CA, X.509. To o czym nie wspomniałem w ostatnim poście a może przydać się w tym poście to wiedza o tym, że algorytm asymetryczny z kluczem publicznym i prywatnym ma możliwość szyfrowania danych przy pomocy klucza publicznego jak i prywatnego. Gdy zaszyfrujemy dane kluczem prywatnym, będziemy mieć możliwość...

Dziel się z innymi:
Bezpieczeństwo w aplikacjach C#. Podstawy i nie tylko. Część II. | Blog Programisty.NET

Sztuka programowania 805 dni, 8 godzin, 3 minuty temu przemekwa 435 rozwiń

Przemysław Walkowski Bezpieczeństwo jest szerokim tematem i ma jeden poważny minus nigdy się do końca nie wie czy to co się wie na temat bezpieczeństwa jest wystarczające do tego by powiedzieć, że aplikacja, którą napisaliśmy jest bezpieczna. Zawsze się znajdzie, ktoś kto powie, że jakieś zabezpieczenie jest słabe lub niewystarczające. Mimo tego, podstawy trzeba znać, poniżej opisuje podstawy zabezpieczeń aplikacji C#. Z części 1...

Dziel się z innymi:
Bezpieczeństwo w aplikacjach C#. Podstawy i nie tylko. Część I. | Blog Programisty.NET

Sztuka programowania 828 dni, 2 godziny, 12 minut temu przemekwa 428 rozwiń

Domyślne ustawienia UAC w Windows 7 (a także Windows 8) nie zapewniają nam niestety pełnego bezpieczeństwa. Istnieje kilka znanych sposobów ‘ataku’ na UAC, które pozwalają na wykonanie kodu z podniesionymi uprawnieniami bez konieczności potwierdzania komunikatów UAC. Spróbuję opisać jeden z nich, który wydaje mi się szczególnie interesujący ze względu na wykorzystane mechanizmy. Konfiguracja UAC Po instalacji systemu domyślnie mamy ustawiony poziom 3 (Rys 1), który jest o jeden szczebelek niżej od najw...

Źródło: zine.net.pl
Dziel się z innymi:
mgrzeg.net - Admin on Rails :) : O domyślnych ustawieniach UAC słów kilka

Windows 1372 dni, 20 godzin, 45 minut temu macko 160 rozwiń

Atak Cross-Site Request Forgery (w skrócie CSRF lub XSRF) polega na wykorzystaniu nieświadomego niczego użytkownika, który w danym momencie zalogowany jest do serwisu będącego celem ataku, do wysłania żądania spreparowanego przez hakera. Takie żądanie może na przykład zmieniać dane użytkownika użytego do ataku, na takie, które później będą mogły być wykorzystane przez atakującego do zalogowania się do serwisu. W dzisiejszym poście, chciałbym pokazać jak zabezpieczyć się przed tego typu atakiem w aplikac...

Dziel się z innymi:
burczu programator - blog: ASP.NET MVC - zabezpieczenie przed Cross-Site Request Forgery

Web 1617 dni, 7 godzin temu burczu 86 rozwiń

autor: W ramach kontynuacji serii wpisów związanych Managed Add-in Framework (MAF / System.AddIn) ([1], [2], [3], [4]) chciałbym pokazać przykład pokazujący, w jaki sposób MAF rozwiązuje problem z izolacją ładowanych wtyczek, tak by nie pozwolić na uruchomienie niebezpiecznego kodu. Tak jak pisałem wcześniej jedną z zalet MAF-a jest możliwość uruchamiania wtyczek w środowisku izolowanym, teraz przyjrzymy się w jaki sposób można to zrealizować. Podobne doświadczenie (jednak bez wykorzystania MAF) przep...

[MAF 05] Managed Add-in Framework (System.AddIn), a bezpieczeństwo wywołania obcego assembly [PL] | Maciej Zbrzezny: Programowanie i Technologie

Windows 1922 dni, 20 godzin, 26 minut temu paduda 59 rozwiń

Poniedziałek, styczeń 30. 2012Niekonsekwencje w ASP.NETAutor:Paweł Goleń | Data:2012-01-30 21:48 | Kategorie:Security, WebApps | Brak komentarzy | Brak Śladów Na ostatnim spotkaniu OWASP w Krakowie jedna z prezentacji dotyczyła zapobiegania XSS w aplikacjach tworzonych w ASP.NET. Z prezentacją można zapoznać się t...

Dziel się z innymi:
Niekonsekwencje w ASP.NET

Web 1960 dni, 13 godzin, 5 minut temu http://ziembor.wordpress.com/ 314 rozwiń

autor: Jakiś czas temu pracowałem nad aplikacją WWW, która między innymi zajmowała się wysyłaniem SMS'ów. SMS'y wysyłałem przy pomocy Web Service'u udostępnionego przez operatora. Aby wysłać taki SMS musiałem uwierzytelnić się korzystając z infrastruktury klucza publicznego - dokładniej mówiąc aby wysłać wiadomość musiałem przedstawić certyfikat podpisany przez operatora. Jak to zazwyczaj bywa testy przy użyciu serwera WWW wbudowanego w Visual Studio powiodły się. Niestety po zainstalowaniu apli...

Problem z magazynem certyfikatów

Windows 2242 dni, 11 godzin, 24 minuty temu macko 56 rozwiń

Kilka dni temu Sławek napisał tekst o ukrywaniu kodu i skorzystał z klasy DynamicMethod, dzięki której generował kod IL w trakcie wykonania programu. Był również na tyle uprzejmy, że podesłał mi przykładowy kod, dzięki któremu zaoszczędziłem trochę czasu i mogłem zająć się od razu konkretem. Mam nadzieję, ze nie będzie na mnie zły jak wrzucę całościowo część tego kodu, dostępnego również w jego notce... :) Dla przypomnienia zatem, Sławkowi zależało na ukryciu szczegółów metody GetValue, tak, aby po dezas...

Źródło: zine.net.pl
Dziel się z innymi:
mgrzeg.net - Admin on Rails :) : Odkrywanie ukrytego, czyli DynamicMethod na widelcu

Inne 2317 dni, 19 godzin, 51 minut temu http://pawlos.blogspot.com/ 43 rozwiń

Może nie takie prawdziwe, ale takie malutkie i niewinne :-) (a może nie takie niewinne?). Do napisania tego postu zainspirował mnie niedawno przeczytany inny post, pokazujący, jak można zmusić .NET do zrobienia czegoś co nie powinniśmy mieć możliwości zrobić. Jako, że mój post będzie związany z małą zagadką/konkursem na razie linka do inspiracji nie podam. Sposób jest w pełni legalny w .NET bo i program się kompiluje bez żadnych sztuczek. F5 i działa….Zadanie Zadanie będzie z typu akademickich, nie będzi...

Dziel się z innymi:
.NET blog: Hackowanie .NET

Inne 2432 dni, 16 godzin, 40 minut temu gordon_shumway 157 rozwiń

Kilka dni temu ostrzegaliśmy przed atakiem na webaplikacje pisane w ASP.NET. Dziś znamy już szczegóły błędu, a Microsoft potwierdził zagrożenie. Poniżej prezentujemy jak zabezpieczyć się przed atakiem.Atak na ASP.NET (demonstracja) Błąd, tak jak pisaliśmy kilka dni temu, korzysta z tzw. wyroczni, czyli polega na wysyłaniu zaszyfrowanych zapytań do serwera i wyłapywaniu różnic w jego odpowiedziach — różne kody błędów świadczą o tym, czy serwer poprawnie rozszyfrował wiadomość. Na tej podstawie można wycią...

Źródło: niebezpiecznik.pl
Dziel się z innymi:
Jak zabezpieczyć swoją webaplikację w ASP.NET

Web 2467 dni, 15 godzin, 20 minut temu macko 91 rozwiń

1 2
Szkolenia SecurITum

październik

Zobacz wszystkie

Najaktywniejsi

1

macko (32 816,53)

2

http://pawlos.blo... (31 626,47)

3

pzielinski (27 178,29)

4

gordon_shumway (21 178,87)

5

paduda (20 336,33)

6

psz750 (13 018,14)

7

rroszczyk (10 386,15)

8

Damian (9 056,1)

9

danielplawgo (7 235,99)

10

arek (6 807,95)

11

burczu (6 214,22)

12

PaSkol (5 393,84)

13

lukaszgasior (4 097,38)

14

jj09 (3 608,06)

15

jedmac (3 318,39)

16

http://jakub-flor... (3 224,66)

17

spetz (3 078,27)

18

CaMeL (2 954,87)

19

lkurzyniec (2 633,85)

20

mnikolajuk (2 596,93)