W poprzednim poście skupiłem głównie się na reflected CSS, ale wspomniałem również o stored XSS. Zasada działania ataków typu “Stored xss” jest bardzo prosta – wstrzyknięty kod jest przechowywany w bazie danych. Oznacza to, że potencjalny atak może zostać wykorzystany przeciwko jakiemukolwiek użytkownikowi odwiedzającemu stronę. W przypadku reflected xss sami musieliśmy zadbać o to, aby ktoś odwiedził stronę z spreparowanymi przez nas danymi.
Dzisiaj powracamy do zagadnień związanych z bezpieczeństwem aplikacji webowych. Przez kilka następnych postów będę pisał o XSS. Oprócz SQL Injection, XSS jest jednym z “popularniejszych” ataków przeprowadzanych na aplikacje webowe. O ile zasada działania może wydawać się prymitywna, to wiele stron, nawet tych z czołówki (np. Amazon), były podatne na XSS. Co więcej, tak jak SQL Injection, wykorzystanie XSS może spowodować całkowite przejęcie kontroli nad aplikacją. Nie należy więc traktować luki XSS jako...
Jeżeli zachodzi potrzeba żeby w naszej aplikacji chcemy mieć razorowe widoki, standardowa konfiguracja nie daje nam intelisense. Powoduje to, że czas stworzenia widoku znacznie się wydłuża, bo visual krzyczy nam błędami co chwilę i podkreśla wszystko na czerwono. Jest jednej sposób który pozwala załatwić sprawę...
O asynchronicznych kontrolerach pisałem już na blogu, zarówno w czystym ASP.NET jak i ASP.NET MVC. Czasami jednak chcemy zaimplementować model na wzór “fire&forget”. Oczywiście do tego, dużo bardziej nadają się systemy kolejkowe typu nServiceBus, ale dla bardzo prostych przypadków wystarczy odpalenie wątku i wykonanie jakieś czasochłonnej operacji. Przez czasochłonną mam na myśli taką, która wykonuje się kilka minut, a nie kilka godzin. Jeśli mamy aż tak skomplikowane operacje, wtedy wykonywanie teg...
Recently, together with my co-worker Breck, we were looking at the error logs. One of our ideas – in order to investigate errors that were hard to diagnose – was to check in which part of the World users who get errors are located.
Last Saturday I had a pleasure to speak at Seattle Code Camp. It was an amazing event, which was free. There were over 50 talks, 500 attendees, and raffle with many prizes, e.g., Microsoft Surface Pro 3! Check out videos, code, and slides from my talks!
Azure cały czas mknie do przodu (wręcz w zastraszającym tempie!) – dlatego każde wydarzenie gdzie można się dowiedzieć czegoś nowego, zobaczyć co inni już zrobili na Azure i jak Azure będzie wyglądał w przyszłości jest warte uwagi. Tym razem taką okazję daje AzureCon 2015 – wirtualna konferencja, która będzie miała miejsce 29-go września 2015. Na stronie konferencji można się dowiedzieć więcej oraz oczywiście na tę konferencję zarejestrować – do czego gorąco zachęcam! Posted on Author wisniaCategories A...
Last Thursday I had a pleasure to give a talk about Speech Recognition in the Browser at the Code Fellows in Seattle. Many people were surprised how easy it is to add speech recognition to your website with pure JavaScript. So I thought I will share a few code snippets here.
Tworząc aplikacje mobilne, nie jest łatwo zbudować model danych, który idealnie odpowiadałby potrzebom aktualnego widoku. Problem staje się jeszcze bardziej złożony, w sytuacji gdy korzystamy z API, które zwraca ogólny model, dla rożnych końcówek. W takiej sytuacji, programista aplikacji mobilnej musi sam zadbać o odpowiednie wyświetlenie i sformatowanie otrzymanych danych.. W świecie Universal Apps problem ten można rozwiązać na różne sposoby. Osobiście preferuje tutaj wykorzystanie architektury MVVM, k...
Recently I learned the hard way about setTimeouts side effects...
Kilka postów wcześniej pisałem o JSONP, jako sposobie na wywoływanie serwisów znajdujących się w innych domenach z poziomu JavaScript. Domyślnie przeglądarki blokują takie wywołania ze względu na bezpieczeństwo. Załóżmy, że mamy następujący serwis w jakiejś domenie...
Dzisiaj chciałbym rozpocząć nowy cykl o bezpieczeństwie aplikacji webowych. Niejednokrotnie o tym pisałem już, ale były to luźno powiązane ze sobą wpisy. Od tego wpisu chciałbym to zmienić i przedstawić bardziej dogłębnie tą tematykę. Pierwsze wpisy będą stanowiły całkowite podstawy, ale mam nadzieję, że również bardziej zaawansowani programiści znajdą coś ciekawego w tym (np. wykorzystywane narzędzia). Na końcu mam zamiar przedstaw...
On July 1st I had a pleasure to speak at Seattle Node.js meetup about unit testing and Test Driven Development with Angular.js and Node.js, using TypeScript. In this talk I gave an overview of JavaScript testing frameworks, and tools. I also demonstrated how TypeScript can strengthen your tests by adding free unit tests (type checking) thanks to strong typing.
Pomimo wakacji wiele się dzieje. W tym tygodniu trochę GA (Batch, Azure Site Recovery), także preview (Spark w HDInsight), porcja nowości, a na deser – KONKURS Z NAGRODAMI! Zapraszam do oglądania!Posted on Author wisniaCategories Azure Batch, Azure Site Recovery, DocumentDB, HDInsight, Mobile Engagement, Uncategorized, Virtual MachinesTags asr, batch, documentdb, order by, rdmaLeave a Reply Cancel reply Your email address will not be published. Required fields are marked * Name * Email * Website C...
This week a special guest all they from Australia – Troy Hunt, who is a well known Pluralsight author, Microsoft MVP and the creator of a very popular web sites – http://www.haveibeenpwnd.com. Besides the weekly portion of news Troy does a great overview of “Have I Been Pwnd” site and how it’s hosted on Azure! Enjoy the show! Posted on Author wisniaCategories Azure, Docker, Portal, SQL DatabaseTags Azure, docker, SQL DatabaseLeave a Reply Cancel reply Your email address will not be published. Required ...
Ostatnio dostałem prośbę od klienta o wycenę potencjalnego rozwiązania w Azure. Założenia, które zostały mi podane były następujące:Maszyna wirtualna6-8GB RAMWindows ServerDostęp zdalny 3-5 użytkownikówIIS (do 10 użytkowników)SQL Express (baza do 1GB) Ogólnie patrząc na wymogi sprawa dość prosta. Jednak mając za sobą już trochę doświadczenia od razu w oczy rzuciły mi się dwa punkty zapalne “prostego” podejścia do tematu: dostęp zdalny (czyt. Remote Desktop – będzie tam zainstalowana aplikacji okienkowa ...
Analiza kodu za pomocą LINQ to chyba esencja Roslyn. Bez Roslyn, kod był dla nas jak zwykły tekst (string) i w przypadku jakiejkolwiek analizy, musieliśmy sami parsować tekst i rozpoznawać odpowiednie fragmenty....
W kolejnym odcinku goszczę Michała Słowikowskiego, który pracuje jako inżynier wsparcia w Microsoft Premier Support i jest SharePointowcem z zawodu i z zamiłowania. Ten tydzień zaowocował z dużą ilość usług, które weszły w status GA (General Availability), a mowiąc po naszemu – w fazę produkcyjną: Azure Active Directory Connect, Connect Health, Key Vault i Application Gateway. Dodatkowo więskza integracja Azure z Dockerem, a to wszystko przykryte NOWYM API do Billingu! Ah… no i już nie wspomnę o tym, że ...
Język znaczników XAML, jest integralnym elementem kilku ważnych technologii Microsoftu. Pojawia się on: w sukcesywnie upadającym Silverlighcie, WPFie, Windows Phonie, czy też w aplikacjach uniwersalnych. Dlatego też jeśli poznacie jedno z wymienionych wyżej środowisk, to bardzo łatwo będzie się Wam przestawić na dowolną z pozostałych technologi. W zależności od środowiska, mogą pojawiać się pewne delikatne różnice w możliwościach jakie dostarczy nam XAML, ale mimo wszystko jest naprawdę sporo rzeczy wspó...
Polecamy
Nadchodzące wydarzenia
Najaktywniejsi

