 Darmówki od zespołu Octivi, Publikacje z Security, wysoka wydajność/skalowalność |
| Darmówki od zespołu Octivi, Publikacje z Security, wysoka wydajność/skalowalność |
 5.11.2013, 20:00:57
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 435 Pomógł: 40 Dołączył: 16.02.2003 Skąd: Wrocław Ostrzeżenie: (0%) 
 |
Hej!
Udostępniamy dwie darmówki, gotowe do pobrania/przeglądania on-line:
Zapraszam do pobierania i dyskusji :-) -------------------- Linkedin | ...
|
 |
 
|
 |
|
5.11.2013, 20:23:55
Post
#2
|
|
 Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa |
W testach zabrakło mi info o bezpieczeństwie sesji.
Brak wzmianki o jednym z popularniejszych ataków, czyli LFI. Brak info o code injection, poprawnym filtrowaniu danych uploadowanych itd, wyszukiwaniu błędów logicznych itd. Bardzo ogólny pokaz i tylko częściowo pokazujący problem bezpieczeństwa stron www. Jak dla mnie nie jest to pełna prezentacja. |
|
|
|
|
5.11.2013, 20:31:32
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 435 Pomógł: 40 Dołączył: 16.02.2003 Skąd: Wrocław Ostrzeżenie: (0%)
|
Cytat(Spawnm @ 5.11.2013, 20:23:55 )  W testach zabrakło mi info o bezpieczeństwie sesji. Tzn? Są zawarte m.in. w rozdziale o XSS, jest nawet osobny rozdział o bezpiecznym przechowywaniu sesji  Cytat(Spawnm @ 5.11.2013, 20:23:55 ) Brak info o code injection, poprawnym filtrowaniu danych uploadowanych itd, wyszukiwaniu błędów logicznych itd. Przecież jest cały rozdział o Code Injection? Cytat(Spawnm @ 5.11.2013, 20:23:55 ) Bardzo ogólny pokaz i tylko częściowo pokazujący problem bezpieczeństwa stron www. Jak dla mnie nie jest to pełna prezentacja. I takie ma zadanie - to nie miała być kalka The Web Application Hacker's Handbook a wstęp dla zaznajomienia się z ogólną tematyką, klasą problemów :-) Ten post edytował ano 5.11.2013, 20:31:57 -------------------- Linkedin | ...
|
|
|
|
|
5.11.2013, 20:44:02
Post
#4
|
|
|
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa |
https://www.owasp.org/index.php/PHP_Object_Injection
Cytat jest nawet osobny rozdział o bezpiecznym przechowywaniu sesji Nie mogę się doszukać info mówiącego o tworzeniu tokenów z ip/user_agent utrudniających przejecie sesji. |
|
|
|
|
5.11.2013, 21:47:57
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)
|
Wykaz podatności z pewnością niekompletny, a te przedstawione zostały omówione dość pobieżnie. W przypadku tego typu prezentacji należałoby albo przynajmniej omówić wszystkie znane wektory ataków (nawet jeżeli dość pobieżnie) albo wybrać jeden konkretny i omówić go bardzo szczegółowo. W tym przypadku twórcy nie poszli żadną z tych ścieżek. Raczej kiepskie źródło wiedzy.
Ten post edytował pyro 5.11.2013, 21:50:22 -------------------- ET LINGUA EIUS LOQUETUR IUDICIUM
|
|
|
|
 |
|
Wersja Lo-Fi | Aktualny czas: 19.07.2025 - 20:54 |
