Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό αισίως φτάνουμε στον πρώτο και μεγαλύτερο κίνδυνο: την αδυναμία έγχυσης (injection). Ο επιτιθέμενος αποστέλλει απλό κείμενο σε, απροστάτευτο, μεταγλωττιστή (interpreter) εκμεταλλευόμενος τη σύνταξη του. Κλασικό παράδειγμα Continue Reading…
OWASP Νο2 – Επισφαλής διαχείριση δεδομένων διαπίστευσης & συνεδρίας
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την δεύτερη συνηθέστερη αδυναμία, την επισφαλή διαχείριση δεδομένων διαπίστευσης & συνεδρίας. Όπως ήδη φαντάζεστε, όσο πλησιάζουμε προς την κορυφή των κενών ασφάλειας η εμφάνισή τους στον διαδικτυακό κόσμο γίνεται όλο και συχνότερη, με την συγκεκριμένη αδυναμία να είναι καταχωριμένη ως ευρέως εμφανιζόμενη αδυναμία ασφάλειας. Continue Reading…
OWASP Νο3 – Ανεπαρκής επικύρωση δεδομένων εισόδου χρήστη
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την τρίτη συνηθέστερη αδυναμία, την ανεπαρκή επικύρωση δεδομένων εισόδου χρήστη. Όπως ήδη φαντάζεστε, όσο πλησιάζουμε προς την κορυφή των κενών ασφάλειας η εμφάνισή τους στον διαδικτυακό κόσμο γίνεται όλο και συχνότερη, με το XSS να είναι ιδιαίτερα συχνά εμφανιζόμενη αδυναμία ασφάλειας. Continue Reading…
OWASP Νο4 – Επισφαλής άμεση αναφορά σε οντότητες της εφαρμογής
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την τέταρτη συνηθέστερη αδυναμία, την επισφαλή άμεση αναφορά σε οντότητες της εφαρμογής. Η προκείμενη αδυναμία παρουσιάζεται όταν η λογική της εφαρμογής απαιτεί διαφορετικά δικαιώματα πρόσβασης στα δεδομένα της εφαρμογής ανά χρήστη. Έτσι στο γενικευμένο σενάριο Continue Reading…
OWASP Νο5 – Κακή παραμετροποίηση των θεμάτων ασφάλειας της εφαρμογής
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την πέμπτη συνηθέστερη αδυναμία, την κακή παραμετροποίηση των θεμάτων ασφάλειας της διαδικτυακής.
Οι καλοσχεδιασμένες διαδικτυακές εφαρμογές στις μέρες μας παρουσιάζονται στους χρήστες τους ως απλές, πολύ απλές παρότι στο υπόβαθρο επιτελούν ιδιαίτερα πολύπλοκες διαδικασίες. Ακολούθως, αποτελούνται από πολλά αρθρώματα (modules) καθένα Continue Reading…
OWASP Νο6 – Ελλιπής διασφάλιση των ευαίσθητων δεδομένων της εφαρμογής
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό θα δούμε την έκτη θέση των συνηθέστερων αδυναμιών όπου βρίσκεται η ελλιπής διασφάλιση των ευαίσθητων δεδομένων της διαδικτυακής εφαρμογής. Οι διαδικτυακές εφαρμογές στις μέρες μας αποτελούν βασικό μέρος της καθημερινότητάς μας και συνεπώς πολύ συχνά διαχειρίζονται, ή για την ακρίβεια τους εμπιστευόμαστε, ευαίσθητα (προσωπικά και μη) δεδομένα. Η εμπιστοσύνη αυτή στηρίζεται στην προβαλλόμενη ικανότητά τους να διαχειρίζονται τα δεδομένα αυτά με μεθόδους που τα προστατεύουν από κακόβουλους χρήστες. Continue Reading…
OWASP Νο7 – Μη επιβεβαίωση δικαιωμάτων χρηστών που κάνουν αιτήματα στην εφαρμογή
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή έχουμε αισίως φτάσει στην έβδομη θέση των συνηθέστερων αδυναμιών όπου παρουσιάζεται η ελλιπής επιβεβαίωση δικαιωμάτων χρήστη που θέτει αίτημα στην διαδικτυακή εφαρμογή. Οι διαδικτυακές εφαρμογές στις μέρες μας είναι ιδιαίτερα πολύπλοκα δημιουργήματα που καλούνται να αποδώσουν διαφορετικά δικαιώματα δράσης στους χρήστες τους. Παρότι πολλαπλές ιεραρχίες δικαιωμάτων μπορούν να υπάρχουν ακόμα και στην ίδια εφαρμογή, στο προκείμενο θα θεωρήσουμε την απλουστευμένη υπόθεση όπου ο ένας χρήστης έχει Continue Reading…
OWASP Νο8 – Xρήση πλαστών/κακόβουλων αιτημάτων μεταξύ ιστοσελίδων/διαδικτυακών εφαρμογών
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, στην όγδοη θέση των συνηθέστερων αδυναμιών παρουσιάζεται η χρήση πλαστών / κακόβουλων αιτημάτων μεταξύ ιστοσελίδων / διαδικτυακών εφαρμογών (Cross-Site Request Forgery). Οι σύγχρονοι φυλλομετρητές (browsers) αποστέλλουν τα διαπιστευτήρια (credentials ή username+pass ή λεπτομέρειες συνεδρίας – session details) αυτόματα για τους ήδη διαπιστευμένους (συνήθως συνδεδεμένους) χρήστες με αποτέλεσμα αν ένας σύνδεσμος (αίτημα προς τον εξυπηρετητή) είναι κακόβουλος και κρυμμένος να εκτελείται χωρίς να το καταλάβει ο χρήστης. Continue Reading…
OWASP Νο9 – Χρήση έτοιμων αρθρωμάτων (modules) που έχουν ήδη γνωστά σφάλματα
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, προτελευταία του χορού των αδυναμιών παρουσιάζεται η χρήση έτοιμων αρθρωμάτων (modules) που έχουν ήδη γνωστά σφάλματα (using components with known vulnerabilities). Πάρα πολλές διαδικτυακές εφαρμογές χρησιμοποιούν έτοιμα αρθρώματα και βιβλιοθήκες για την ταχεία ανάπτυξή τους εκμεταλλευόμενες τα ιδιαίτερα βολικά API των βιβλιοθηκών για την εμφώλευση έτοιμων λειτουργιών. Continue Reading…
OWASP Νο10 – Μη επικυρωμένες μεταπηδήσεις ή προωθήσεις (Unvalidated Redirects and Forwards)
Συνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, τελευταία στον χορό των αδυναμιών παρουσιάζεται η χρήση μη επικυρωμένων μεταπηδήσεων ή προωθήσεων από την εφαρμογή (Unvalidated Redirects and Forwards). Πολλές διαδικτυακές εφαρμογές χρησιμοποιούν για την μεταπήδηση ή προώθηση από σελίδα σε σελίδα εξειδικευμένες σελίδες που, πολύ συχνά, δέχονται Continue Reading…