Публикации по теме 'owasp'


Что такое небезопасная десериализация
Незащищенная десериализация данных занимает восьмое место в списке десяти наиболее критичных угроз безопасности веб-приложений. Прежде чем мы рассмотрим сами атаки, давайте начнем с того, что такое сериализация. Сериализация данных Проще говоря, сериализация включает в себя преобразование экземпляра объекта в байты для передачи по сети. Таким образом, десериализация — это обратный процесс. Например, представим ситуацию, в которой пользователь отправляет данные на сервер через..
Толкаем влево, как босс, Часть 5.8 Защита файлов cookie
Эта серия и мой блог переехали! Проверьте это! Предыдущая статья в этой серии - 5.7 Параметры URL . Продолжая наш долгий путь через принципы безопасного кодирования, мы подошли к теме файлов cookie, которые используются для отправки информации назад и вперед от клиента и сервера. Чтобы обезопасить принятие решений и / или конфиденциальные данные, которые нам необходимо передавать между клиентом и сервером, нам необходимо поместить безопасный файл cookie. Защищенные файлы cookie..
Понимание различных типов параметров хранения паролей
Введение При кибератаках злоумышленник компрометирует базу данных приложения или системы. Таким образом, в основном пароль и информация о пользователе являются наиболее конфиденциальными вещами, которые может иметь организация. В такой ситуации, если организация хочет сохранить пароль таким образом, чтобы злоумышленник не смог его получить, даже если он получил базу данных. В сегодняшней…
Уязвимость десериализации с точки зрения разработчика
Введение: Все мы знакомы с кибератаками. Существует множество руководств или стандартов, созданных различными организациями, такими как OWASP, которым организации могут следовать, чтобы установить средства защиты, которые действительно могут спасти их от кибератак. Небезопасная десериализация — это уязвимость, которая используется очень часто. …
Внедрение LDAP: с точки зрения разработчика
Введение Мы все знакомы с инъекциями, такими как SQL Injection, HTML Injection и многими другими. Точно так же у нас есть уязвимость внедрения LDAP, которая существует в безопасности приложений, и ее серьезность может быть очень высокой, поскольку ее можно использовать для обхода аутентификации. Успешная уязвимость внедрения LDAP может предоставить так много конфиденциальных…
Проверка кода безопасности 101 - параметризованные утверждения
Нейтрализация опасного входа для предотвращения атак путем инъекций. Эта статья является частью серии. Прочтите предыдущую статью здесь: https://medium.com/@paul_io/security-code-review-101-input-validation-f309b1be96c7 О инъекции В предыдущей статье мы рассмотрели Проверка ввода . Хотя Проверка ввода является эффективным средством сдерживания большого количества атак, включая Внедрение , не весь ввод можно фильтровать. Например, представьте, что кого-то зовут О’Брайен ...
Использование уязвимости, связанной с манипуляциями с путями
Введение Мы знаем важность безопасности приложений, которые используются для сохранения данных и активов организации. Для реализации безопасности приложения существует множество фреймворков, таких как SANS, OWASP и т. Д. Каждый фреймворк указывает разработчику важность проверки пользовательского ввода, такой как дезинфекция пользовательского ввода, синтаксиса, длины и бизнес-СОП для принятия этого ввода. Проверка ввода может применяться от самых разных атак. Пройдем через..