Podatności, których nie

chcę więcej widzieć

Mateusz Olejarka

TestWarez, 29.09.2016

• Starszy specjalista ds. bezpieczeństwa IT, SecuRing

• Ocena bezpieczeństwa aplikacji webowych i mobilnych, doradztwo, szkolenia

• (Były) programista

• OWASP Polska

• Bug hunter

O mnie

• Intro

• Podatności, podatności, podatności…

• Outro

• Q&A

Agenda

INTRO

• Defekt/błąd

• Niesie ze sobą ryzyko

• Wynika z:

• Braku zabezpieczeń

• Źle zastosowanych zabezpieczeń

• …

Podatność, czyli

https://www.flickr.com/photos/dragontomato/

PODATNOŚCI, PODATNOŚCI,Podatności…

Ujawnienie informacji

https://www.troyhunt.com/your-affairs-were-never-discrete-ashley/

Pole zablokowane

Zablokowana akcja

https://www.feistyduck.com/ssl-tls-and-pki-history/

https://www.ssllabs.com/ssltest/

• Ryzyko wizerunkowe

• SSL pokazuje, czy druga strona dba o temat

• Czasami widać, kiedy były ostatnie testy ;)

• Qualys SSL Server Test / O-Saft

SSL

* ciekawostka

• Większe ryzyko wizerunkowe

• Druga strona raczej nie dba o temat ;)

• Może i tam nic nie ma, ale są dane do logowania…

Brak SSL

• Przypominanie hasła

• Złożoność

Hasło

http://plaintextoffenders.com/

• Przypominanie reset hasła

• Złożoność:

• 8 znaków to minimum, w tym– Litery

– Cyfry

– Znaki specjalne

• Zabezpieczenie przed atakami typu brute force

Hasło

OUTRO

• Be evil tester

• Wychodzenie ze schematu

• Pytajmy

• Uczmy się

• Zaglądajmy pod maskę

• Znajdujmy, znajdujmy, znajdujmy…

Outro

CZEMU ZNAJDZIECIE LEPSZE PODATNOŚCI NIŻ JA?

mateusz.olejarka@securing.pl

@molejarka