Rozšírené hľadanie
Utorok 3. December 2024 |
meniny má Oldrich
Local Session Poisoning - Shared sessions

18.10.2024 05:30 Na Internetu jsou miliony webových stránek hostovány na sdílených serverech . Čím dál častěji se ale objevují také nejrůznější cloudové služby, které nabízejí standardizované webové aplikace běžící na serverech poskytovatelů. Na každém z těchto sdílených serverů se pak nachází klidně i tisíce webových aplikací, přičemž existuje množství různých typů útoků, které umožňují získat neoprávněný přístup z jedné hostované aplikace do jiné. Tento text si klade za cíl popsat jeden takový typ útoku pojmenovaný Local Session Poisoning, jenž útočníkům na těchto serverech umožňuje provádět authorization bypass.

PTWA: Povolené HTTP metody

18.10.2024 05:30 Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Too big cookie value

18.10.2024 05:30 Velká hodnota uložená do cookie může způsobit mnoho komplikací počínaje únikem informací o běžícím webovém serveru, přes krádež obsahu session cookies chráněných příznakem HttpOnly, až po odepření služeb uživatelům.

HTTP Response Splitting

18.10.2024 05:30 Zranitelnost HTTP Response Splitting je často označována také za CRLF injection, protože je při jejím zneužití využíváno bílých znaků CR a LF pro přechod na nový řádek. Ve skutečnosti je zranitelnost HTTP Response Splitting pouze podmnožinou zranitelností známých jako CRLF injection.

Open Redirect

18.10.2024 05:30 Zranitelnost Open Redirect umožňuje útočníkovi podvrhnout oběti takový odkaz, který se tváří, že směřuje na důvěryhodnou doménu, přestože se po kliknutí na něj uživatel ocitne zcela jinde. Zneužití Open Redirectu umožňuje útočníkovi ale daleko více než jen to.

PHP Code Execution

18.10.2024 05:30 Tento článek si klade za cíl popsat obecnou skupinu chyb umožňující v konečném důsledku vykonat PHP kód na náchylném serveru. Důležité je uvědomit si, že tato chyba se nevztahuje pouze na programovací jazyk PHP, ale postihuje prakticky každý jazyk použitý pro vytvoření webových stránek. Článek popisuje chyby typu Local File Inclusion , Remote File Inclusion , Local File Disclosure , Log Poisoning, Command Execution, Denial of Service , Session Poisoning, wrappery a další.

SQL Injection

18.10.2024 05:30 Pokus o co možná nejkomplexnější popis bezpečnostní chyby známé jako SQL Injection. Článek se zabývá jak běžnými typy SQL injection, tak některými speciálnějšími a méně známými technikami.

PTWA: Testování softwaru

18.10.2024 05:30 Tento text je součástí on-line testovací příručky, která pro vás na tomto serveru vzniká. Budeme rádi za vaše připomínky v komentářích a za vaši aktivní účast v doprovodných projektech.

Full Path Disclosure

18.10.2024 05:30 Zranitelnost webových aplikací známá jako Full Path Disclosure, nebo pod zkratkou FPD se řadí mezi hrozby s informační severitou. Pouhým zneužitím této jediné slabiny Vám totiž útočník není schopen nijak uškodit. FPD ale může poskytnout dobrý odrazový můstek při zneužívání dalších mnohem závažnějších zranitelností.

Zabezpečení školních serverů

18.10.2024 05:30 Všichni to známe, SAS, Školní Stránky nebo jiné Servery. V tomto seriálu se zaměříme na bezpečnostní stránku těchto školních serverů, které někteří používáme jak za účelem zhlédnutí našich známek v elektronické žákovské tak najití informací na Školních stránkách. V pozdějších dílech bude řeč i o databázi školy o jejich žácích, jako jsou vaše rodná čísla, bydliště a další.