Paweł Goleń, blog

Dalej w temacie WAF. Rolę kozy pełni WebGoat, a w roli płotu występuje mod_security, czyli: OWASP Securing WebGoat using ModSecurity Project.

Była sobie firma, która postanowiła “mieć stronę”, skorzystała więc z usług jednej z wielu firemek nazywających się szumnie “agencją interaktywną”. Strona była bardzo prosta, kilka stron informacyjnych i formularz z możliwością wysłania załącznika. Klient był zadowolony, do czasu, gdy na stronie znalazły się nieco inne treści, niż pierwotnie...

Wczoraj, 23 października, odbyło się kolejne spotkanie OWASP w Krakowie.

Pojawiła się finalna wersja BSDanywhere, czyli LiveCD opartego na OpenBSD. Obecna wersja oparta jest na OpenBSD 4.3, ale wkrótce pojawić się ma nowa wersja oparta na OpenBSD 4.4, którego data premiery zbliża się wielkimi krokami.

Na początek odsyłam do źródła: User Friendly ASP.NET Exception Handling. Koncepcja przechwytywania nieobsłużonych wyjątków i “robienia coś z nimi” nie jest może zła, ale:

• podawanie użytkownikowi dokładnych informacji na temat błędu jest ZŁE!
• ...a moduł wprowadza nową podatność...

Jak to się mogło stać, że jeszcze o tym nie napisałem? Pora nadrobić zaległości. Microsoft udostępnił już jakiś czas temu bibliotekę pod wiele mówiącą nazwą Microsoft Anti-Cross Site Scripting Library. Aktualna wersja to 1.5, dostępna jest do pobrania tutaj.

Ciekawy sposób wykorzystania pliku .htaccess: Watch that .htaccess file on your web site. Odwiedzający dostaje w prezencie wirusa, tylko jeśli na stronę wchodzi za pośrednictwem wyszukiwarki.

Luka w Nasza-klasa.pl – są powody do obaw? Zaiste mroczne odkrycie, że przejęcie cookie sesyjnego prowadzi do przejęcia sesji. Kiedy to ja o tym pisałem, w styczniu?

Kilka dni temu było głośno o CSRF (np. New Cross-Site Request Forgery Attacks). Sama aplikacja może być (nie)zabezpieczona przed CSRF, ale i sposób działania (przyzwyczajenia) użytkowników nie jest bez znaczenia.