Tag Archives: haking

Bezpieczeństwo aplikacji webowych cz. I

W tym artykule, który w zamierzeniach ma być kontynuowany dowiesz się jak pisać bezpieczne aplikacje webowe, a raczej jakich błędów należy unikać przy programowaniu. Obecnie istnieje bardzo wiele typów ataków, których ofiarą może paść nasza strona www, o ile nie jest prawidłowo zabezpieczona. Szczególnie ważne jest bezpieczeństwo stron, które przechowują dane.

Podstawowym błędem jaki popełnia większość początkujących programistów to całkowity brak walidacji wprowadzanych danych wejściowych przez użytkownika naszej strony. Powodem tego jest przede wszystkim założenie, że nikt nie będzie próbował włamać się na jego stronę. Jednak nic bardziej mylnego… „read more…”

Zdalne łamanie haseł

haking_03_2009_plOstatnio pisałem o zatruwaniu systemu nazw, a dzisiaj trochę o zdalnym łamaniu haseł. Nakłonił mnie do tego bardzo ciekawy artykuł w marcowym numerze hakin9, do którego odsyłam wszystkich tych, którzy chcieliby pogłębić ten temat.

Jeżeli wierzysz, że w bezpieczeństwo algorytmów szyfrujących i zabezpieczających, to jesteś strasznie łatwowierny, bowiem każde hasło czy zabezpieczenia można złamać lub obejść, a najsłabszym ogniwem jest człowiek.

Możemy wyróżnić dwa rodzaje ataków na hasła: ataki offline oraz ataki online. W atakach typu offline mamy bezpośredni dostęp do zaszyfrowanego pliku, którym może być np. zaszyfrowane archiwum RAR, ZIP czy plik zawierający zaszyfrowane hasła (np. w systemie Linux plik /etc/shadow). Próba odgadnięcia zaszyfrowanych haseł może być bardzo trudne, a czasami nawet niemożliwe. Mimo to jest kilka metod takich ataków.„read more…”

Ataki SQL Injection

hakin9_1_2009_pl-kopiaSQL Injection to technika ataku sieciowego, której poświeciony jest artykuł w najnowszym, styczniowym numerze pisma Hakin9. W tym artykule możecie poznać techniki takiego ataku, ale także dowiemy się jak się przed takimi atakami bronić. Najbardziej znanym przykładem podatności na tego typu ataki jest błędna walidacja danych wprowadzanych podczas logowania. Atakujący chce się dostać do części dla zalogowanych użytkowników na stronie napisanej w technologi ASP połączonej z serwerem baz danych SQL Server. Zapytanie wykonywane po wysłaniu formularza z danymi do logowania wygląda następująco:

1
2
3
4
strUsername = request.form("username");
strPassword = request.form("password");

"SELECT userID FROM useres WHERE username = ''' & strUsernam & ''' AND password = ''' & strPassword & '''

„read more…”

A może atak socjotechniczny?

Wielu projektantów systemu bezpieczeństwa skupia się natworzeniu odpowiednich programów antywirusowych, firewali, aby zminimalizować ryzyko włamania się do systemu. Jednak kiedy przeanalizujemy dokładniej możliwe próby ataków na system najsłabszym ogniwem w tym wszystkim jest – człowiek. Celem hakera jest uzyskanie od nas potrzebnych mu informacji, któe podajemy mu zupełnie nieświadomie, nie wiedząc w jakim celu je później wykorzysta. To są właśnie ataki socjotechniczne. Czym jest socjotechnika? Według Słownika Encyklopedycznego Edukacja Obywatelskiego socjotechnika to: „ogół środków i działań zmierzających do wywołania pożadanego zachowania”. Z tej definicji łatwo wywnioskować, że z socjotechniki nie tylko korzystają hakerzy, ale także, a może nawet w głownej mierze politycy czy telemarketerzy.„read more…”