Aktywne Wpisy
KosmicznyPaczek +1185
Kto nie ogląda teraz na wykopie patogali daje plusa. Zobaczmy ile nas jest.
rachuneksumienia +21
Podsumujmy porażkę Rosji:
- Ukraina straciła bezpowrotnie Krym,
- Ukraina straciła kontrolę we wschodniej części kraju,
- Ukraina demograficznie jest zdziesiątkowana,
- koniec taniego gazu dla Europy,
- koniec taniego węgla dla Europy,
- recesja gospodarcza w Niemczech,
- do BRICS dołaczył Iran i UAE,
- Węgry coraz ściślej współpracują z Rosją,
- Mołdawia coraz ściślej chce współpracować z Rosją
- Słowacja skłania się coraz bardziej do współpracy z Rosją
- USA
- Ukraina straciła bezpowrotnie Krym,
- Ukraina straciła kontrolę we wschodniej części kraju,
- Ukraina demograficznie jest zdziesiątkowana,
- koniec taniego gazu dla Europy,
- koniec taniego węgla dla Europy,
- recesja gospodarcza w Niemczech,
- do BRICS dołaczył Iran i UAE,
- Węgry coraz ściślej współpracują z Rosją,
- Mołdawia coraz ściślej chce współpracować z Rosją
- Słowacja skłania się coraz bardziej do współpracy z Rosją
- USA
Dziś A2: Broken Authentication - Niepoprawna obsługa uwierzytelniania.
W tej kategorii chodzi głównie o rzeczy powiązane z rejestracją i logowaniem.
Na pierwszy rzut oka może się wydawać, że potencjalnych błędów tego rodzaju będzie mało – ale to nieprawda.
Programista musi bowiem zabezpieczyć proces rejestracji – począwszy od sprawdzenia słabych haseł a skończywszy na poprawnym zaimplementowaniu ich odzyskiwania.
Hasła muszą następnie zostać bezpieczne zapisane na przykład w bazie danych – tutaj kłania się haszowanie przy pomocy funkcji jednokierunkowych wraz z losowymi solami.
Gdy użytkownik posiada już konto – może się zalogować.
Ile razy może błędnie podać swoje dane logowania?
Jak zabezpieczyć się przed botami przy użyciu mechanizmu captchy?
Czy użyty został dodatkowy mechanizm dwuskładnikowego uwierzytelnienia - na przykład przy pomocy kodów SMS?
A może któryś z endpointów API nie wspiera tego mechanizmu co sprawia, że staje się on bezużyteczny?
Gdy dane zostaną już prawidłowo sprawdzone – należy wygenerować identyfikator sesji, na podstawie którego użytkownik będzie rozpoznawany w systemie.
Czy jest on dostatecznie losowy i unikalny?
A może opiera się na mailu lub też innej stałej co może doprowadzić do zalogowania się na konto innego użytkownika?
Zazwyczaj identyfikator ten jest przechowywany w ciasteczkach.
One to powinny mieć ustawioną flagę HttpOnly – tak aby nie można się było do nich dostać z poziomu kodu #javascript.
Na koniec – wylogowanie z systemu powinno być nieodwracalne – to znaczy sesje należy zniszczyć, aby nie można się było przy jej pomocy ponownie zalogować.
A może sesja nie jest niszczona a tylko usuwane jest ciasteczko po stronie użytkownika?
Zapraszam do materiału wideo.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak @koperrr @balor @elpredatoro @notoniewiem @czechu @arba @Wroneczek @xDRpl @Dwarg @
Komentarz usunięty przez autora
Rozbawiło mnie tylko to jak wklejony jest ten dashboard na ekran: https://youtu.be/V4uZNjJJpt8?t=555 xD