Hlavní navigace

Videorozhovor: hackování web aplikací

Petr Ferschmann

Kafemlejnek.TV vydal video rozhovor s bezpečnostním expertem Romanem Kümmelem o hackování webových aplikací. Kromě klasických chyb (XSS, CSRF…) se dozvíte i o jiných chybách a také cestách, jak se jim bránit.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • 16. 8. 2016 11:09

    peter (neregistrovaný) 2001:718:2601:----:----:----:----:----

    52 minuta - odesilani hesla na mail :))) To uz muzete heslo pro prihlaseni zobrazit na strance. Jednak zminena nedostupnost mailu a dale treba moznost podvrzeni. Maily nejsou bezpecne.
    Ale napada mne zajimava vecicka. Uzivatel by mel vlastni chip od statu. Neco jako cislo narozeni, sileny kod 10.000 znaku. Ten by zasunul do usb a chovalo by se to jako mail server s jednim mailem. Tento mail server by pak aplikace kontaktovala a poslala mu heslo pri pristup. Nevyhodou je, ze kdyby nekdo tuto flash duplikoval, pak by to heslo prislo jemu. Coz neni problem dneska udelat miliardy virtualnich serveru v poli :)

  • 16. 8. 2016 11:32

    NULL (neregistrovaný) 94.142.237.---

    Na délce kódu záleží jenom protože bruteforce. Jinak je to celé o strukture a jejím zabezpečení, nebo ještě lépe nedání možnosti něco někde bourat nebo ohýbat. Něco jako když rozdáváš jenom public klíče, takže ti nikdo nesniffne private klíč - ale celý ten proces má samozřejmě mnoho jiných problémů. Většinou, pokud tedy vím, tak je dnes hlavní problém první kontakt a jeho důvěryhodnost a pak zabezpečení klientovy stanice s stejně, jsou věci, proti kterým se neubráníš. Třeba chyba v SSL, kterou ty v podstatě nemáš šanci nenajít ( průměrný uživatel ), někdo ji najde a zveřejní, ale byla tam dost dlouho a někdo mohl jenom využívat.
    Ani autority moc nepomáhají. Cestou, jak zabezpečit takovou komunikaci by mohlo být, prostě jí jen omezeně důvěřovat a pokud i přijde něco důležitého, tak použít pro další "komunikaci" jiný, již lépe zabezpečený kanál.
    Disclaimer: Pravděpodobně nyní někdo nastoupí, vybere si nějakou větu a začne to kroutit aby to samozřejmě bylo jinak aspoň po třech diskuzních kolech okolo něčeho úplně jiného, ale to co jsem napsal není totální rozbor ani implementace, jen obecný postřeh k problematice bezpeční komunikace nejen emailů, protože to má stejné základy, podobné atributy a užití jako třeba např. HTTP/S nebo FTP/S provoz. . .

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: V Plzni odstartovalo Radio 1

V Plzni odstartovalo Radio 1

DigiZone.cz: SES zajistí HD pro M7 Group

SES zajistí HD pro M7 Group

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok