Post on 15-Apr-2017
Podatności, których nie
chcę więcej widzieć
Mateusz Olejarka
TestWarez, 29.09.2016
• Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych, doradztwo, szkolenia
• (Były) programista
• OWASP Polska
• Bug hunter
O mnie
• Intro
• Podatności, podatności, podatności…
• Outro
• Q&A
Agenda
INTRO
• Defekt/błąd
• Niesie ze sobą ryzyko
• Wynika z:
• Braku zabezpieczeń
• Źle zastosowanych zabezpieczeń
• …
Podatność, czyli
https://www.flickr.com/photos/dragontomato/
PODATNOŚCI, PODATNOŚCI,Podatności…
Ujawnienie informacji
https://www.troyhunt.com/your-affairs-were-never-discrete-ashley/
Pole zablokowane
Zablokowana akcja
https://www.feistyduck.com/ssl-tls-and-pki-history/
https://www.ssllabs.com/ssltest/
• Ryzyko wizerunkowe
• SSL pokazuje, czy druga strona dba o temat
• Czasami widać, kiedy były ostatnie testy ;)
• Qualys SSL Server Test / O-Saft
SSL
* ciekawostka
• Większe ryzyko wizerunkowe
• Druga strona raczej nie dba o temat ;)
• Może i tam nic nie ma, ale są dane do logowania…
Brak SSL
• Przypominanie hasła
• Złożoność
Hasło
http://plaintextoffenders.com/
• Przypominanie reset hasła
• Złożoność:
• 8 znaków to minimum, w tym– Litery
– Cyfry
– Znaki specjalne
• Zabezpieczenie przed atakami typu brute force
Hasło
OUTRO
• Be evil tester
• Wychodzenie ze schematu
• Pytajmy
• Uczmy się
• Zaglądajmy pod maskę
• Znajdujmy, znajdujmy, znajdujmy…
Outro
CZEMU ZNAJDZIECIE LEPSZE PODATNOŚCI NIŻ JA?
mateusz.olejarka@securing.pl
@molejarka