#4

 0    20 フィッシュ    bartoszszymanski2
mp3をダウンロードする 印刷 遊びます 自分をチェック
 
質問 język polski 答え język polski
Wycieki informacji - ochrona #2
学び始める
czasowo blokować dostęp do formularzy przy próbach siłowego pozyskania info; hasła w hash'ach + "posolone"; przemyślane treści komunikatów, bez zdradzania info
Przechowywanie haseł statycznych
学び始める
plaintext; szyfrogram (ciphertext); skrótu (hash-code); klucz PBKDF (master key)
Funkcje skrótu
学び始める
wykorzystują fun. mieszające do zwrócenia pewnej wartości (stałej wielkości).
Funkcje skrótu muszą być
学び始める
szybkie i kompresować dane; funkcjami nieodwracalnymi; cechować się słabą odpornością na kolizje
sól
学び始める
(salt) pewna wartość (zazwyczaj losowa) dodawana do hasła w celu zwiększenia jego złożoności
pieprz
学び始める
(pepper) stała wartość dla wszystkich haseł dodana np.: do wartości skrótu
Bezpieczeństw o haseł statycznych - dobre praktyki #1
学び始める
przechowywanie haseł w bezpiecznej formie; pamiętanie, że wiele frameworków i CMS nie posiada bezpiecznego kryptosystemu zarządzania hasłami; oprócz zabezpieczenia DB, pamiętać o logach i dziennikach zdarzeń
Bezpieczeństw o haseł statycznych - dobre praktyki #2
学び始める
wykrywanie próby wielokrotnego logowania; testy wydajnościowe kryptosystemu przed jego uruchomieniem; utwardzanie haseł (sól, pieprz); wprowadzenie polityki zabraniającej korzystanie z słabych haseł
OWASP #1
学び始める
Zestawia 10 najpopularniejszych luk bezp.: A1 - broken access control; A2 - cryptographic failures; A3 - injection; A4 - insecure design; A5 - security misconfiguration
OWASP #2
学び始める
A6 - Vulnerable and Outdated Components; A7 - Identification and Authentication Failures; A8 - Software and Data Integrity Failures; A9 - Security Logging and Monitoring Failures; A10 - Server-Side Request Forgery
A1 - Broken Access Control - definicja
学び始める
niepoprawna kontrola dostępu - możliwość uzyskania dostępu do nieautoryzowanych funkcji/danych/kont innych użytkownikow/przeglądanie poufnych plików/modyfikowanie danych innych użytkowników/zmiana praw dostępu
A1 - Broken Access Control - Aplikacja jest podatna jeśli
学び始める
zezwolenie na podniesienie uprawnień jako użytkownik bez zalogowana/jako admin po zalogowaniu jako użytkownik; zezwolenie na przepięcie klucza dostępowego umożliwiającego przeglądanie/edytowanie konta innego użtk.; korzysta z błędnie skonfigurowanego CORS
A1 - Broken Access Control - Jak zapobiegać
学び始める
odmawianie dostępu; mechanizm kontroli dostępu, minimalne użycie CORS; pewność, że metadane i pliki zapasowe nie są umieszczone w katalogu głównym; rejestrowanie błędów kontroli dostępu
A2 - Cryptographic Failures - definicja
学び始める
ujawnienie wrażliwych danych - podatność na kradzież tożsamości, danych kart płatniczych lub innych (np.: przechwytując ciastko i przejmując kontrolę nad sesją)
A2 - Cryptographic Failures - aplikacja jest podatna jeśli
学び始める
dane wrażliwe są przesyłane jawnym tekstem; dane wrażliwe są przechowywane w postaci jawnego tekstu; stare i słabe algorytmy kryptograficzne; szyfrowanie danych nie jest wymuszone przez serwer
A2 - Cryptographic Failures - jak zapobiegać
学び始める
nie przechowywać wrażliwych danych bez potrzeby; szyfrować wrażliwe dane; korzystać z aktualnych i silnych algo. kryptograficznych; wymuszać szyfrowanie
A3 - Injection - definicja
学び始める
wszystkiwanie - błędy związane ze wstrzykiwaniem danych do zapytań i poleceń (SQL, NoSQL).
A3 - Injection - aplikacja jest podatna jeśli
学び始める
dane dostarczone przez użytkownika nie są walidowane ani filtrowane; dyn. zapyt./sparam. wywoł są używ. bezpoś. w interpret.; dane dostarcz. są bezpoś. wykorzyst./łącz. z danymi strukt.
A3 - Injection - jak zapobiegać
学び始める
używ. bezpiecz. interf. API; korzyst. z narz. do mapo. obiekt.-rel. (ORM); "whitelisty" do walid. danych wejść. po stronie serw.; instru. ograni. typu LIMIT w SQL
A4 - Insecure Design - definicja
学び始める
"Niebezpieczny design" - ryzk. bezpiecz. ze względu na niewłaś. założenia w fazie projekt. apk.

コメントを投稿するにはログインする必要があります。