This post focuses on Cross-Site WebSocket Hijacking vulnerability and how to protect against it.
dotnetomaniak.pl - Artykuły z tagiem Security
![Bezpieczna aplikacja ASP.NET Core (cz. II) – atak XSS – Paweł Skaruz o dotnecie i bezpieczeństwie]()
![Bezpieczna aplikacja ASP.NET Core (cz. I) – atak CSRF – Paweł Skaruz o dotnecie i bezpieczeństwie]()
![[EN] Preparing for Chrome's Certificate Transparency policy - Expect-CT with reporting in ASP.NET Core]()
![Hasła | MD Tech Blog]()
![Getting started on ASP.NET Core & React - episode 05 - PoznajProgramowanie.pl]()
![Lockbox | Piotr Gankiewicz]()
![[EN] One-time secured API requests | Piotr Gankiewicz]()
![[EN] - A history of DDoS attack – How my server died – Pawel Sawicz .NET Blog]()
![OWASP AppSensor .NET - architektura - Diwebsity]()
![OWASP AppSensor - opis mechanizmu - Diwebsity]()
![[EN] SSL All the things! – Michał Dymel – DevBlog]()
![Tajne wpisy w app.config #dajsiepoznac | Jarosław Stadnicki]()
![[EN] Security in WIF | Future Processing]()
![WCF services with claims-based authentication and authorization | Future Processing]()
![Introduction to Claims-Based Authentication and Authorization in .NET - how to build Active STS | Future Processing]()
![[EN] Introduction to Claims-Based Authentication and Authorization in .NET | Future Processing]()
![[EN] Brute Force Attack on my blog - Jakub Jedryszek]()
![Jak nie udostępniać plików do ściągnięcia | Maciej Aniserowicz o programowaniu]()
![mijagi kodzi: Ukrywanie informacji o usłudze WCF jako RESTful]()
Security
Pora na już drugą cześć cyklu o projektowaniu bezpiecznych aplikacji ASP.NET Core. Dzisiaj opowiem o ataku XSS, czym jest i co zrobić żeby nasza witryna była na niego odporna. Czym jest XSS? Najkrócej mówiąc jest atakiem na webaplikacje, polegającym na wstrzyknięciu do przeglądarki złośliwego kodu, najczęściej javascript.
Źródło:
pawelskaruz.pl
Dziel się z innymi:
Daj się poznać 2017 150 dni, 4 godziny, 25 minut temu 86 rozwiń
Gdy zaczynałem przygodę z aplikacjami webowymi, nie sądziłem, że istnieje aż tyle zagrożeń, na które trzeba zwrócić uwagę. Współczesne frameworki dają same w sobie wiele zabezpieczeń i o niektóre rzeczy nie musimy się już troszczyć. Jestem jednak pewny, że bardzo ważna jest świadomość niebezpieczeństwa na jakie są wystawione nasze aplikacje, a co dalej idzie nasi klienci. Tutaj narodził się pomysł serii „Bezpieczna aplikacja ASP.NET Core”. W każdej z części chciałbym opisać zagrożenie oraz sposób w jaki...
Źródło:
pawelskaruz.pl
Dziel się z innymi:
Daj się poznać 2017 163 dni, 12 godzin, 31 minut temu 177 rozwiń
Google's Certificate Transparency project is an open framework for monitoring and auditing SSL certificates. Starting April 2018 Chrome will require compliance with Certificate Transparency. Expect-CT Extension for HTTP will introduce a way to test the Certificate Transparency policy and this article shows how it can be used once it arrives.
Każdy z nas używa haseł jako mechanizmu autenfikacji na setkach portali internetowych. Dużo się mówi o tym, że hasło powinno być bezpieczne. Ale wiele ludzi, w tym ja do niedawna, nie przejmuje się takimi detalami… W tej historii opowiem wam jak w ciągu kilku godzin zmieniłem moje nastawienie do haseł i podam kilka rad jak być bezpieczniejszym w sieci. Wszystko zaczęło się kilka dni temu...
Daj się poznać 2017 166 dni, 13 godzin, 52 minuty temu 158 rozwiń
First bunch of features are done and it’s time to look at very important matter – security. As long as we create apps only for ourselves we don’t care about it. Sometimes we release one of those applications somewhere on the Internet and we still don’t care about security. Why? We forgot o...
Tagi:
Asp.Net Core, frontend tests, integration tests, Moq, owasp top 10, reactjs, Security, unit tests
Źródło:
poznajprogramowanie.pl
Dziel się z innymi:
Necessity is the mother of invention – that’s basically why I did create a new open source project called Lockbox. Its main purpose is to provide a centralized and secured storage for the application settings that can be easily fetched via HTTP request. Sounds interesting? Then let me guide you through the most important concepts of the Lockbox.
Źródło:
piotrgankiewicz.com
Dziel się z innymi:
Nowadays, the HTTP APIs act as gateways for petabytes of data and some chunk of it might actually require enhanced access rules. For example, you could create a link that allows the user to download the file only once, and within such link you would find a token. I was in a need of creating such solution for my open source project Warden – a specialized, one-time link that can be used fetch the configuration object from the API. It turned out to be fairly straightforward to implement the most basic versi...
Źródło:
piotrgankiewicz.com
Dziel się z innymi:
Sztuka programowania 405 dni, 9 godzin, 1 minutę temu 143 rozwiń
This blog post is postmortem of my infrastructure that was attacked on Sunday by Argentinian attacker and died because of DDoS. I will share with you all actions that I took in order to bring back stability of services. Attack has started : 19 June 2016 at 3:20PM UTC Attack has ended : 19 June 2016 at 4:10PM UTC Users affected : 30-40 users Extra cost due to attack : less than 2$Existing Infrastructure
Opis architektury rozwiązania AppSensor.NET
Architektura 570 dni, 13 godzin, 26 minut temu 95 rozwiń
Opis technologii OWASP AppSensor - do obsługi której tworzę bibliotekę w ramach #dajsiepoznac
Daj się poznać 2016 584 dni, 12 godzin, 16 minut temu 43 rozwiń
Prosty i darmowy sposób na włączenie SSL na każdej stronie internetowej lub blogu.
Daj się poznać 2016 587 dni, 14 godzin, 5 minut temu 92 rozwiń
~ Jarosław Stadnicki Jeśli nie chcesz mojej zguby… Jeśli nie chcesz swojej zguby, nie wrzucaj do repozytorium sekretów swojej aplikacji. Można to osiągnąć w kilku prostych krokach, wystarczy że stworzysz w VS osobny plik z konfiguracją np. „secrets.config„, który może wyglądać tak: Następnie zaciągniesz go w głównym web.configu w taki sposób: W VS należy mieć go dodanego do projektu, właściwości ustawione powinny być na content i no-copy, tak samo jak w przypadku web.config. Od teraz zawartość...
Daj się poznać 2016 592 dni, 21 godzin, 45 minut temu 250 rozwiń
In this post we’ll focus on security. We’ll try to prove that claims base authentication is safe. As we remember SAML tokens are issued by “trusted” STS. But what exactly does “trusted” issuer mean? In this post, we’ll try to find definition of “trusted issuer”, a list of attributes which decide that issuer is trusted.
Tagi:
.Net, architecture, Authentication, Authorization, claims, Public Key Infrastructure, Security, WIF
Źródło:
www.future-processing.pl
Dziel się z innymi:
Architektura 779 dni, 15 godzin, 5 minut temu 101 rozwiń
In this article we focus on sample service based on WCF (Windows Communication Foundation), as we will only try to build sample service with claims-based authentication and authorization. All technical aspects connected with security e.g. configuration, certificates, encryption, signature or CRL will be described in details in the next posts.
Tagi:
.Net, Active STS, architecture, Authentication, Authorization, claims, Reying Party Application, Security, WIF
Źródło:
www.future-processing.pl
Dziel się z innymi:
Architektura 850 dni, 13 godzin, 46 minut temu 144 rozwiń
In the previous article basic information about authentication and authorization process on .Net has been presented. Security Token Service is an integral part of claim based approach. As we remember from the previous article, STS is responsible for handling user’s requests and creating tokens; it can also work in two modes: active and passive. In this article we focus on Active STS, as we will only try to build sample STS.
Tagi:
.Net, Active STS, architecture, Authentication, Authorization, claims, Reying Party Application, Security, WIF
Źródło:
www.future-processing.pl
Dziel się z innymi:
Architektura 885 dni, 1 godzinę, 9 minut temu 163 rozwiń
Authentication and Authorization Authentication and authorization are two closely related concepts, which are used to build security mechanism in systems and applications. Information security is the practice of protecting information from unauthorized access, use or even modification. Confidentiality, integrity and availability (known as CIA triad) is a model designed to guide policies of information security within an organization. In this article we are focusing on confidentiality, which refers to re...
Architektura 955 dni, 11 godzin, 38 minut temu 124 rozwiń
Some time ago I created an Azure alert (thanks to Iris Classon). I did it as a part of my Azure exploration. The rule I created, send me email every time I have more than 1000 requests per hour. I received one or two e-mails in last two weeks and that was fine. High traffic can happen occasionally. Of course I created this rule based on history of the number of requests from the past. However, last night I received 3 e-mails. I checked with Azure Man...
Ostatnio dodawałem prostą funkcję do pewnej aplikacji webowej: umożliwienie ściągnięcia pliku z dysku. Były to pliki Excela i znajdowały się w katalogu ~/App_Data/reports. Siłą rzeczy takie pliki nie mają ID. Mają nazwę. I po nazwie właśnie je się ściągało. Kod otwierający plik do ściągnięcia można by napisać tak: public Stream OpenFile(string fileName) { string reportsdir = HttpContext.Current.Server.MapPath("~/AppData/reports...
Zgodnie z powiedzeniem "im mniej wiesz, tym lepiej śpisz", postanowiłem napisać krótką notkę o tym, jak ukryć HelpPage w usłudze WCF. Warto wspomnieć na początku, że sporo się naszukałem w Google, żeby dowiedzieć się, że ta strona nazywa się HelpPage :- D Dla niewiedzących, mam na myśli to: Po wyłączeniu HelpPage'u, pozostaje nam ukryć WSDL. Jeśli tak jak w tym przypadku nasza usługa nie działa jako SOAP, możemy sobie pozwolić na ukrycie WSDL. Programistom piszącym aplikacje klienckie, będzie i tak ci...
Architektura 1216 dni, 13 godzin, 35 minut temu 114 rozwiń
1 2
Polecamy
Nadchodzące wydarzenia
Najaktywniejsi
.Net
.net core
ASP .NET
ASP .NET MVC
asp.net
Asp.Net Core
ASP.NET MVC
Azure
C#
C# .NET
certyfikacja
certyfikat
daj sie poznac 2017
Daj się poznać
Daj Się Poznać 2017
dajsiepoznac
dajsiepoznac2017
design patterns
DSP
dsp2017
egzamin
Entity Framework
F#
git
JavaScript
jQuery
konferencja
Linq
mvc
MVVM
Narzędzia
NHibernate
praca
programowanie
SharePoint
Silverlight
SQL
sql server
TDD
testy
Visual Studio
Visual Studio 2010
WCF
Windows
Windows 8
windows phone
WPF
Wzorce projektowe
Xamarin
xaml