Gde podvući crtu sa prikazivanjem grešaka

Ilija Studen · 02. 08. 2006.

Nije problem napraviti grešku. Problem je kad iz cele priče ne naučiš ništa i nastaviš da je praviš non stop

Btw, uveren sam da mnogo developera ne zna puno o sigurnosti baš zato što prave aplikacije koje ne nailaze na veliku popuparnost pa ne predstavljaju potencijalnu metu. I onda kad te odjednom baci da moraš da napraviš sigurnu aplikaciju odjednom frka. Znam da je meni jer tom delu ranije nisam posvećivao previše pažnje - nije bilo potrebe i nisam bio dovoljno plaćen. Što pre naučiš šta sve možeš da očekuješ i čega treba da se pažiš to bolje.

Daleko da kažem da možeš preko noći postati security ekspert, ali bar naučiš čega treba da se čuvaš i kako da odmah u startu sasečeš potencijalne probleme. A to je... priceless

ivanhoe · 02. 08. 2006.

a jedno pitanje: ako je aplikacija u debug modu pretpostavka je da si ti autor koji je debaguje, zasto bi ti sam sebi slao XSS kod ?

Kolike su sanse da se napravi da neko drugi posalje XSS, a da se on tebi nadje u debug outputu ? Jer to kapiram da bi bilo vrlo opasno, bilo bi extremno lako na primer oteti sesiju adminu tako... ali mi nije bas najjasniji scenario u kom bi to bilo realno ostvarivo...

druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno...

Ilija Studen · 02. 08. 2006.

Citat:

Originalno napisao ivanhoe

druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno...

Ako je u pitanju public skripta (a aC jeste) neko slučajno može da ostavi skriptu u debug modu. Čovek razvijao plugin i samo šibnuo sve online, nije ni gledao debug mod ili je jednostavno zaboratio.

Poenta je da rupa postoji i da postoji scenario u kom ona može da bude iskorišćena. Ako ne trebaju meseci da je pokrpiš već to možeš da uradiš za 15 min što da ne? Jedan propust manje.

Ivan · 02. 08. 2006.

Da se nastavim na Iliju i zextru ...

Ako je neko bas resio da te "obori" on ce to da uradi, u konkretnom primeru ce verovatno traziti nacin da ukljuci debug mode sto opet moze na vise nacina zavisno od same aplikacije.

Sad dolazimo do dela o kome niko ne razmislja preterano (a o kome spremam esej) a to je Socijalni Inzenjering. Ova metoda je najopasnija i u vecini slucajeva produktivna. Nebiste verovali sta su ljudi u stanju da urade za Vas ako im se predstavite na pravi nacin.

Ilija Studen · 02. 08. 2006.

Citat:

Originalno napisao Ivan

Sad dolazimo do dela o kome niko ne razmislja preterano (a o kome spremam esej) a to je Socijalni Inzenjering. Ova metoda je najopasnija i u vecini slucajeva produktivna. Nebiste verovali sta su ljudi u stanju da urade za Vas ako im se predstavite na pravi nacin.

Mislim da aC neće imati integrisano rešenje za ovaj problem u skorijoj budućnosti

Btw, to je čest odgovor na feature request

Ivan · 02. 08. 2006.

Hehe ...

Taj feature nema nijedna kompanija kod nas, cak i one koje bi trebale da imaju.
Testirao sam ih malo ...

Ovo se resava jednostavnom obukom kadrova a najvise administratora koji je zaduzen da bude dosadan. Ali polako ne mozemo sve odjednom. Btw uz onaj esej gore ide bas i program za obuku kadrova ali nece to bas skorije.

02. 08. 2006.	#1
Ilija Studen Direktor Kombinata Invented the damn thing Datum učlanjenja: 07.06.2005 Poruke: 2.669 Hvala: 44 119 "Hvala" u 64 poruka	Nije problem napraviti grešku. Problem je kad iz cele priče ne naučiš ništa i nastaviš da je praviš non stop Btw, uveren sam da mnogo developera ne zna puno o sigurnosti baš zato što prave aplikacije koje ne nailaze na veliku popuparnost pa ne predstavljaju potencijalnu metu. I onda kad te odjednom baci da moraš da napraviš sigurnu aplikaciju odjednom frka. Znam da je meni jer tom delu ranije nisam posvećivao previše pažnje - nije bilo potrebe i nisam bio dovoljno plaćen. Što pre naučiš šta sve možeš da očekuješ i čega treba da se pažiš to bolje. Daleko da kažem da možeš preko noći postati security ekspert, ali bar naučiš čega treba da se čuvaš i kako da odmah u startu sasečeš potencijalne probleme. A to je... priceless __________________ activeCollab - Project Management and Collaboration Tool iz domaće kuhinje \| area51.rs - Blog

02. 08. 2006.	#2
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	a jedno pitanje: ako je aplikacija u debug modu pretpostavka je da si ti autor koji je debaguje, zasto bi ti sam sebi slao XSS kod ? Kolike su sanse da se napravi da neko drugi posalje XSS, a da se on tebi nadje u debug outputu ? Jer to kapiram da bi bilo vrlo opasno, bilo bi extremno lako na primer oteti sesiju adminu tako... ali mi nije bas najjasniji scenario u kom bi to bilo realno ostvarivo... druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno... __________________ Leadership is the art of getting people to want to do what you know must be done.

02. 08. 2006.	#4
Ivan Psychedelictrance freak Wrote a book Datum učlanjenja: 04.06.2006 Lokacija: Srbija, Beograd Poruke: 1.008 Hvala: 325 933 "Hvala" u 34 poruka	Da se nastavim na Iliju i zextru ... Ako je neko bas resio da te "obori" on ce to da uradi, u konkretnom primeru ce verovatno traziti nacin da ukljuci debug mode sto opet moze na vise nacina zavisno od same aplikacije. Sad dolazimo do dela o kome niko ne razmislja preterano (a o kome spremam esej) a to je Socijalni Inzenjering. Ova metoda je najopasnija i u vecini slucajeva produktivna. Nebiste verovali sta su ljudi u stanju da urade za Vas ako im se predstavite na pravi nacin. __________________ Testiranje bezbednosti web aplikacija

02. 08. 2006.	#6
Ivan Psychedelictrance freak Wrote a book Datum učlanjenja: 04.06.2006 Lokacija: Srbija, Beograd Poruke: 1.008 Hvala: 325 933 "Hvala" u 34 poruka	Hehe ... Taj feature nema nijedna kompanija kod nas, cak i one koje bi trebale da imaju. Testirao sam ih malo ... Ovo se resava jednostavnom obukom kadrova a najvise administratora koji je zaduzen da bude dosadan. Ali polako ne mozemo sve odjednom. Btw uz onaj esej gore ide bas i program za obuku kadrova ali nece to bas skorije. __________________ Testiranje bezbednosti web aplikacija Poslednja izmena od Ivan : 02. 08. 2006. u 15:06.

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
10 Web dizajn grešaka za 2005.-u	Goran Aničić	Web design, Layout, User Interface	34	31. 05. 2006. 16:41
Problem sa prikazivanjem menija u IE-u	Eli0t	(X)HTML, JavaScript, DHTML, XML, CSS	2	24. 05. 2006. 18:09