Jak zwiększyć bezpieczeństwo webaplikacji dzięki Cloudflare?

W poprzednich artykułach z cyklu Poradnik Hackera Weaplikacji poruszyliśmy temat zabezpieczania aplikacji “od strony kodu”. Dziś na tapet weźmiemy inne podejście: dodatkowa ochrona webaplikacji poprzez usługę typu Web Firewall. Wykorzystamy do tego darmowe konto na Cloudflare.

Aby nie przegapić kolejnych artykułów z serii “Poradnik Hackera Webaplikacji”, które są poświęcone narzędziom i technikom pomagającym w zabezpieczaniu serwisów internetowych przed atakami, zapisz się do naszego tematycznego newslettera — poza powiadomieniami o kolejnych artykułach otrzymasz od nas także dodatkowe przydatne materiały (linki, narzędzia i infografiki), które wysyłać będziemy tylko subskrybentom tego newslettera e-mailem (nie zostaną opublikowane na Niebezpieczniku).

Wpisz adres e-mail:

Rozwiąż Captcha:

HP

Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przekazywania Ci treści związanych z cyberbezpieczeństwem. Jeśli lubisz czytać o RODO, kliknij tutaj.

Do czego można użyć Cloudflare’a?
Klasyczne ataki jakie mogą nam grozić, to np:

ataki DDoS
ataki XSS, SQL Injection, itp.
ataki siłowe (słownikowe/bruteforce)
skanowanie nazw plików i katalogów
ataki spamerów (spamerskie komentarze, zakładanie fake kont w systemie, itp.)

Przed częścią tych zagrożeń Cloudflare ochroni nas automatycznie. Nie musimy niczego aktywować, aby w przypadku ataków DoS/DDoS Cloudflare przejął na siebie cały ruch. Tak po prostu dzieje się domyślnie, choć niekoniecznie dotyczy to wszystkich typów ataków. Ale z syn-flood sobie poradzi.
Pamiętaj, że “dobezpieczanie” aplikacji Cloudflarem wymaga posiadania kontroli nad domeną webaplikacji, bo trzeba odpowiedni zmienić ustawienia DNS. Jeśli Twoja aplikacja webowa jest [...]

#Cloudflare #PHW #Programowanie #Webapliacje

https://niebezpiecznik.pl/post/jak-zwiekszyc-bezpieczenstwo-webaplikacji-dzieki-cloudflare/

Najczęstsze błędy programistów popełniane w formularzu resetu hasła

Czy wiesz, jak niebezpieczna potrafi być funkcja przypominania hasła? Co prawda pozwala ona użytkownikom na dostanie się do serwisu w sytuacji, w której zapomnieli swoich danych dostępowych, ale jest też bardzo pomocna dla wszelkiej maści włamywaczy no i oczywiście testerów bezpieczeństwa aplikacji webowych. Zwłaszcza, jeśli zostanie zaimplementowana w nieodpowiedni sposób. W tym artykule przyjrzymy się najczęstszym wpadkom popełnianym przez programistów właśnie podczas implementacji mechanizmu przypominania hasła.
Zapraszamy do lektury kolejnego artykułu z serii “Poradnik Hackowania Webaplikacji“.

Aby nie przegapić kolejnych artykułów z tej serii, poświęconych błędom w serwisach internetowych i technikom testowania webaplikacji, zapisz się do naszego tematycznego newslettera — poza powiadomieniami o kolejnych artykułach otrzymasz od nas także dodatkowe przydatne materiały (linki, narzędzia i infografiki), które wysyłać będziemy tylko subskrybentom tego newslettera e-mailem (nie zostaną opublikowane na Niebezpieczniku).

Wpisz adres e-mail:

Rozwiąż Captcha:

HP

Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przekazywania Ci treści związanych z cyberbezpieczeństwem. Jeśli lubisz czytać o RODO, kliknij tutaj.

Aby rozpocząć analizę tego, co może pójść źle, zacznijmy od rozpisania procesu przypominania hasła na etapy. Zazwyczaj wygląda on następująco:

Aplikacja pyta użytkownika o maila
Aplikacja wyświetla komunikat o wysłaniu maila
Aplikacja wysyła maila z linkiem do zmiany hasła
Użytkownik klika linka
Użytkownik podaje dwukrotnie nowe hasło
Aplikacja aktualizuje hasło użytkownika w bazie
Użytkownik loguje się nowym hasłem do [...]

#Atak #Hasła #Ochrona #Pentest #PHW #Programowanie #TestyPenetracyjne #Webapliacje

https://niebezpiecznik.pl/post/najczestsze-bledy-programistow-w-formularzu-resetu-hasla/

Najczęstsze błędy programistów popełniane w formularzu resetu hasła

Czy wiesz, jak niebezpieczna potrafi być funkcja przypominania hasła? Co prawda pozwala ona użytkownikom na dostanie się do serwisu w sytuacji, w której zapomnieli swoich danych dostępowych, ale jest też bardzo pomocna dla wszelkiej maści włamywaczy no i oczywiście testerów bezpieczeństwa aplikacji webowych. Zwłaszcza, jeśli zostanie zaimplementowana w nieodpowiedni sposób. W tym artykule przyjrzymy się najczęstszym wpadkom popełnianym przez programistów właśnie podczas implementacji mechanizmu przypominania hasła.
Zapraszamy do lektury kolejnego artykułu z serii “Poradnik Hackowania Webaplikacji“.

Aby nie przegapić kolejnych artykułów z tej serii, poświęconych błędom w serwisach internetowych i technikom testowania webaplikacji, zapisz się do naszego tematycznego newslettera — poza powiadomieniami o kolejnych artykułach otrzymasz od nas także dodatkowe przydatne materiały (linki, narzędzia i infografiki), które wysyłać będziemy tylko subskrybentom tego newslettera e-mailem (nie zostaną opublikowane na Niebezpieczniku).

Wpisz adres e-mail:

Rozwiąż Captcha:

HP

Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przekazywania Ci treści związanych z cyberbezpieczeństwem. Jeśli lubisz czytać o RODO, kliknij tutaj.

Aby rozpocząć analizę tego, co może pójść źle, zacznijmy od rozpisania procesu przypominania hasła na etapy. Zazwyczaj wygląda on następująco:

Aplikacja pyta użytkownika o maila
Aplikacja wyświetla komunikat o wysłaniu maila
Aplikacja wysyła maila z linkiem do zmiany hasła
Użytkownik klika linka
Użytkownik podaje dwukrotnie nowe hasło
Aplikacja aktualizuje hasło użytkownika w bazie
Użytkownik loguje się nowym hasłem do systemu

Każdy [...]

#Atak #Hasła #Ochrona #Pentest #Programowanie #TestyPenetracyjne #Webapliacje

https://niebezpiecznik.pl/post/najczestsze-bledy-programistow-w-formularzu-resetu-hasla/