Hlavní navigace

Videorozhovor: hackování web aplikací

Petr Ferschmann

Kafemlejnek.TV vydal video rozhovor s bezpečnostním expertem Romanem Kümmelem o hackování webových aplikací. Kromě klasických chyb (XSS, CSRF…) se dozvíte i o jiných chybách a také cestách, jak se jim bránit.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • 16. 8. 2016 11:09

    peter (neregistrovaný) 2001:718:2601:----:----:----:----:----

    52 minuta - odesilani hesla na mail :))) To uz muzete heslo pro prihlaseni zobrazit na strance. Jednak zminena nedostupnost mailu a dale treba moznost podvrzeni. Maily nejsou bezpecne.
    Ale napada mne zajimava vecicka. Uzivatel by mel vlastni chip od statu. Neco jako cislo narozeni, sileny kod 10.000 znaku. Ten by zasunul do usb a chovalo by se to jako mail server s jednim mailem. Tento mail server by pak aplikace kontaktovala a poslala mu heslo pri pristup. Nevyhodou je, ze kdyby nekdo tuto flash duplikoval, pak by to heslo prislo jemu. Coz neni problem dneska udelat miliardy virtualnich serveru v poli :)

  • 16. 8. 2016 11:32

    NULL (neregistrovaný) 94.142.237.---

    Na délce kódu záleží jenom protože bruteforce. Jinak je to celé o strukture a jejím zabezpečení, nebo ještě lépe nedání možnosti něco někde bourat nebo ohýbat. Něco jako když rozdáváš jenom public klíče, takže ti nikdo nesniffne private klíč - ale celý ten proces má samozřejmě mnoho jiných problémů. Většinou, pokud tedy vím, tak je dnes hlavní problém první kontakt a jeho důvěryhodnost a pak zabezpečení klientovy stanice s stejně, jsou věci, proti kterým se neubráníš. Třeba chyba v SSL, kterou ty v podstatě nemáš šanci nenajít ( průměrný uživatel ), někdo ji najde a zveřejní, ale byla tam dost dlouho a někdo mohl jenom využívat.
    Ani autority moc nepomáhají. Cestou, jak zabezpečit takovou komunikaci by mohlo být, prostě jí jen omezeně důvěřovat a pokud i přijde něco důležitého, tak použít pro další "komunikaci" jiný, již lépe zabezpečený kanál.
    Disclaimer: Pravděpodobně nyní někdo nastoupí, vybere si nějakou větu a začne to kroutit aby to samozřejmě bylo jinak aspoň po třech diskuzních kolech okolo něčeho úplně jiného, ale to co jsem napsal není totální rozbor ani implementace, jen obecný postřeh k problematice bezpeční komunikace nejen emailů, protože to má stejné základy, podobné atributy a užití jako třeba např. HTTP/S nebo FTP/S provoz. . .