All posts in “risks”

Δωρεάν εργαλεία ασφαλείας από την Microsoft

avatarΣτο άρθρο, η Creative Web Applications σε συνεργασία με τον Παναγιώτη Καλαντζή, παρουσιάζουν ένα σύνολο δωρεάν εργαλείων για την ασφάλεια που παρέχει η Microsoft σε επαγγελματίες πληροφορικής και προγραμματιστές. Κύριος στόχος τους είναι να εξοικονομήσουν χρόνο, να διευκολύνουν και προτυποποιήσουν την εργασία των επαγγελματιών που είναι υπεύθυνοι για την ανάπτυξη και τη διαχείριση λογισμικού και εφαρμογών.

Στη συνέχεια ακολουθεί μια σύντομη επισκόπηση των εργαλείων καθώς και τα οφέλη που η χρήση καθενός προσφέρει.

  Continue Reading…

Share This:

OWASP Νο1 – Έγχυση

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό αισίως φτάνουμε στον πρώτο και μεγαλύτερο κίνδυνο: την αδυναμία έγχυσης (injection). Ο επιτιθέμενος αποστέλλει απλό κείμενο σε, απροστάτευτο, μεταγλωττιστή (interpreter) εκμεταλλευόμενος τη σύνταξη του. Κλασικό παράδειγμα Continue Reading…

Share This:

OWASP Νο2 – Επισφαλής διαχείριση δεδομένων διαπίστευσης & συνεδρίας

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την δεύτερη συνηθέστερη αδυναμία, την επισφαλή διαχείριση δεδομένων διαπίστευσης & συνεδρίας. Όπως ήδη φαντάζεστε, όσο πλησιάζουμε προς την κορυφή των κενών ασφάλειας η εμφάνισή τους στον διαδικτυακό κόσμο γίνεται όλο και συχνότερη, με την συγκεκριμένη αδυναμία να είναι καταχωριμένη ως ευρέως εμφανιζόμενη αδυναμία ασφάλειας. Continue Reading…

Share This:

OWASP Νο3 – Ανεπαρκής επικύρωση δεδομένων εισόδου χρήστη

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την τρίτη συνηθέστερη αδυναμία, την ανεπαρκή επικύρωση δεδομένων εισόδου χρήστη. Όπως ήδη φαντάζεστε, όσο πλησιάζουμε προς την κορυφή των κενών ασφάλειας η εμφάνισή τους στον διαδικτυακό κόσμο γίνεται όλο και συχνότερη, με το XSS να είναι ιδιαίτερα συχνά εμφανιζόμενη αδυναμία ασφάλειας. Continue Reading…

Share This:

OWASP Νο4 – Επισφαλής άμεση αναφορά σε οντότητες της εφαρμογής

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την τέταρτη συνηθέστερη αδυναμία, την επισφαλή άμεση αναφορά σε οντότητες της εφαρμογής. Η προκείμενη αδυναμία παρουσιάζεται όταν η λογική της εφαρμογής απαιτεί διαφορετικά δικαιώματα πρόσβασης στα δεδομένα της εφαρμογής ανά χρήστη. Έτσι στο γενικευμένο σενάριο Continue Reading…

Share This:

OWASP Νο5 – Κακή παραμετροποίηση των θεμάτων ασφάλειας της εφαρμογής

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό εξετάζουμε την πέμπτη συνηθέστερη αδυναμία, την κακή παραμετροποίηση των θεμάτων ασφάλειας της διαδικτυακής.

Οι καλοσχεδιασμένες διαδικτυακές εφαρμογές στις μέρες μας παρουσιάζονται στους χρήστες τους ως απλές, πολύ απλές παρότι στο υπόβαθρο επιτελούν ιδιαίτερα πολύπλοκες διαδικασίες. Ακολούθως, αποτελούνται από πολλά αρθρώματα (modules) καθένα Continue Reading…

Share This:

OWASP Νο6 – Ελλιπής διασφάλιση των ευαίσθητων δεδομένων της εφαρμογής

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή στο άρθρο αυτό θα δούμε την έκτη θέση των συνηθέστερων αδυναμιών όπου βρίσκεται η ελλιπής διασφάλιση των ευαίσθητων δεδομένων της διαδικτυακής εφαρμογής. Οι διαδικτυακές εφαρμογές στις μέρες μας αποτελούν βασικό μέρος της καθημερινότητάς μας και συνεπώς πολύ συχνά διαχειρίζονται, ή για την ακρίβεια τους εμπιστευόμαστε, ευαίσθητα (προσωπικά και μη) δεδομένα. Η εμπιστοσύνη αυτή στηρίζεται στην προβαλλόμενη ικανότητά τους να διαχειρίζονται τα δεδομένα αυτά με μεθόδους που τα προστατεύουν από κακόβουλους χρήστες. Continue Reading…

Share This:

OWASP Νο7 – Μη επιβεβαίωση δικαιωμάτων χρηστών που κάνουν αιτήματα στην εφαρμογή

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή έχουμε αισίως φτάσει στην έβδομη θέση των συνηθέστερων αδυναμιών όπου παρουσιάζεται η ελλιπής επιβεβαίωση δικαιωμάτων χρήστη που θέτει αίτημα στην διαδικτυακή εφαρμογή. Οι διαδικτυακές εφαρμογές στις μέρες μας είναι ιδιαίτερα πολύπλοκα δημιουργήματα που καλούνται να αποδώσουν διαφορετικά δικαιώματα δράσης στους χρήστες τους. Παρότι πολλαπλές ιεραρχίες δικαιωμάτων μπορούν να υπάρχουν ακόμα και στην ίδια εφαρμογή, στο προκείμενο θα θεωρήσουμε την απλουστευμένη υπόθεση όπου ο ένας χρήστης έχει Continue Reading…

Share This:

OWASP Νο8 – Xρήση πλαστών/κακόβουλων αιτημάτων μεταξύ ιστοσελίδων/διαδικτυακών εφαρμογών

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, στην όγδοη θέση των συνηθέστερων αδυναμιών παρουσιάζεται η χρήση πλαστών / κακόβουλων αιτημάτων μεταξύ ιστοσελίδων / διαδικτυακών εφαρμογών (Cross-Site Request Forgery). Οι σύγχρονοι φυλλομετρητές (browsers) αποστέλλουν τα διαπιστευτήρια (credentials ή username+pass ή λεπτομέρειες συνεδρίας – session details) αυτόματα για τους ήδη διαπιστευμένους (συνήθως συνδεδεμένους) χρήστες με αποτέλεσμα αν ένας σύνδεσμος (αίτημα προς τον εξυπηρετητή) είναι κακόβουλος και κρυμμένος να εκτελείται χωρίς να το καταλάβει ο χρήστης. Continue Reading…

Share This:

OWASP Νο9 – Χρήση έτοιμων αρθρωμάτων (modules) που έχουν ήδη γνωστά σφάλματα

OWASP_logoΣυνεχίζοντας τον κύκλο άρθρων σχετικά με την ασφάλεια σε δικτυακά περιβάλλοντα σε συνεργασία με τον Παναγιώτη Καλαντζή, προτελευταία του χορού των αδυναμιών παρουσιάζεται η χρήση έτοιμων αρθρωμάτων (modules) που έχουν ήδη γνωστά σφάλματα (using components with known vulnerabilities). Πάρα πολλές διαδικτυακές εφαρμογές χρησιμοποιούν έτοιμα αρθρώματα και βιβλιοθήκες για την ταχεία ανάπτυξή τους εκμεταλλευόμενες τα ιδιαίτερα βολικά API των βιβλιοθηκών για την εμφώλευση έτοιμων λειτουργιών. Continue Reading…

Share This: