Badania cyberbezpieczeństwa i testy penetracyjne aplikacji webowych w jednym Przeprowadzanie testów penetracyjnych aplikacji webowych to bardzo dobry sposób na poprawę bezpieczeństwa aplikacji. Najczęściej stosowanym modelem testów penetracyjnych aplikacji webowych jest model typu black box, w którym zespół testujący ma bardzo ograniczoną wiedzę o docelowej aplikacji. Tego typu testy przypominają scenariusz rzeczywistego ataku. Wadą tego podejścia […]
Bezpieczeństwo aplikacji webowych to kluczowy aspekt utrzymania bezpiecznych i niezawodnych usług online. Jedną z najczęściej wykorzystywanych podatności w aplikacjach webowych jest reflected Cross-Site Scripting (XSS). W tym artykule omówimy tę podatność, przedstawimy rzeczywisty przykład reflected XSS, który Dawid odkrył w Cerebrate, jego potencjalne skutki oraz sposoby ochrony przed tym zagrożeniem. Zrozumienie reflected XSS Reflected Cross-Site […]
Aplikacje internetowe są często pierwszym celem atakujących z powodu dużej ilości wrażliwych informacji, które przechowują. Zapewnienie bezpieczeństwa tych aplikacji jest kluczowe, aby chronić zarówno użytkowników, jak i firmy przed potencjalnymi zagrożeniami cybernetycznymi. Jednym z najskuteczniejszych sposobów identyfikowania luk w aplikacjach internetowych jest przeprowadzanie testów penetracyjnych aplikacji webowych. W tym kompleksowym przewodniku przyjrzymy się znaczeniu testów […]
Stored Cross-Site Scripting (XSS) to stosunkowo powszechne i niebezpieczne podatności, które mogą zagrozić bezpieczeństwu Twojej aplikacji webowej. W tym artykule omówimy, czym są ataki stored XSS, ich wpływ na bezpieczeństwo stron internetowych oraz metody ochrony przed tą podatnością w aplikacjach webowych, przedstawiając przykłady podatności stored XSS, które znaleźliśmy w MISP. Wstęp do ataków Stored XSS: […]
W tym artykule przyjrzymy się podatności PHAR deserialization w PHP, którą Dawid odkrył podczas testów typu white box. Zanim jednak przejdziemy do szczegółów podatności, omówimy najpierw, czym jest PHAR, a następnie wyjaśnimy, na czym polega sama podatność. Czym jest PHAR? PHP Archive (PHAR) to funkcjonalność umożliwiająca umieszczenie wielu plików PHP w jednym archiwum w celu […]
W tym artykule Dawid, jako osoba dokładnie testująca bezpieczeństwo aplikacji webowych, odkrył podatność w MISP – popularnej, open-source’owej platformie do wymiany i analizy informacji o zagrożeniach. Podatność ta pozwala atakującemu obejść mechanizm potwierdzenia hasła i zmienić wrażliwe dane bez odpowiedniego uwierzytelnienia. W tym artykule wyjaśnię szczegóły techniczne tej podatności w PHP oraz jej potencjalny wpływ […]
Aplikacje webowe stały się nieodłącznym elementem współczesnych przedsiębiorstw, a wraz z ich rosnącym wykorzystaniem, kwestie bezpieczeństwa aplikacji webowych nabrały kluczowego znaczenia. Wśród wielu zagrożeń cybernetycznych, wstrzyknięcie kodu SQL (SQL injection) jest jedną z najpoważniejszych podatności, mogącą prowadzić do ujawnienia poufnych danych, a nawet do całkowitego przejęcia kontroli nad systemem. W tym artykule omówimy podatność SQL […]
Skanowanie Podatności w Aplikacjach CakePHP Jeśli chcesz przeprowadzić skanowanie podatności w swojej aplikacji webowej opartej na CakePHP, musisz odpowiednio skonfigurować narzędzie skanujące. W przeciwnym razie skanowanie nie będzie skuteczne, a Ty możesz uzyskać fałszywe poczucie bezpieczeństwa, ponieważ narzędzie nie wykryje rzeczywistych podatności aplikacji. W przypadku aplikacji webowej opartej na CakePHP poprawna konfiguracja narzędzia do skanowania […]
Zwiększ skuteczność skanera aplikacji webowej poprzez zrozumienie powierzchni ataku Understanding the attack surface of the web application is a very important step while conducting cybersecurity research or penetration testing. Even if you are running a web application scanner as part of DAST activities, knowing the attack surface will help you cover more functionality of the […]