Tag: security

• Rozwiązywanie nazw i DNS Sinkhole

  Oct 3, 2020

  W tym wpisie chciałbym poruszyć niezwykle ciekawy temat związany z bezpieczeństwem najbardziej znanego i wykorzystywanego systemu rozwiązywania nazw, jakim jest DNS. Z racji tego, że...

• Negocjacja wersji TLS i pakiet szyfrów sygnalizacyjnych

  Apr 14, 2020

  Negocjacja połączenia z wykorzystaniem protokołu TLS składa się kilku etapów. Podczas tego procesu może zostać wysłanych przez klienta wiele różnych komunikatów w wiadomości ClientHello takich...

• TLS: Jaki rozmiar powinien mieć klucz prywatny?

  Mar 6, 2020

  Kryptografia klucza publicznego, zwana także kryptografią asymetryczną (ang. Public-Key Cryptography lub Asymmetric Cryptography) zakłada, że każda transmisja danych używa dwóch różnych kluczy, które występują w...

• Cookies, atrybut SameSite i Chrome 80

  Feb 24, 2020

  Na początku tego miesiąca (4 lutego 2020 r.) Google wydało nową wersję przeglądarki Chrome, w której doszło do wielu ciekawych zmian. Jest ich ponad 50,...

• OWASP API Security Top 10

  Feb 19, 2020

  Interfejsy API są obecnie jedną z kluczowych części każdej aplikacji webowej i niejednokrotnie pozwalają na ujawnienie logiki oraz zaimplementowanych mechanizmów. Stanowią także istotny element podczas...

• Certyfikat klienta vs certyfikat serwera

  Feb 5, 2020

  W tym krótkim wpisie chciałbym poruszyć kwestię certyfikatów, a dokładniej dwóch rodzajów certyfikatów, tj. certyfikatu klienta oraz certyfikatu serwera, a także wyjaśnić różnice między nimi,...

• NGINX: Wyeliminowanie podatności związanej ze zbyt niskimi parametrami DH

  Jan 14, 2020

  W starszych wersjach serwera NGINX istniała luka, która pozwalała na wykorzystanie podatności o nazwie Logjam i związana była ze zbyt niskimi rozmiarami parametrów Diffie-Hellman. Problem...

• Jak poprawnie wdrożyć nagłówek HSTS?

  Jan 9, 2020

  Nagłówek HSTS (HTTP Strict Transport Security) jest jednym z najważniejszych nagłówków bezpieczeństwa. Zapobiega on korzystaniu z niezabezpieczonych połączeń HTTP i wymusza użycie protokołu TLS. W...

• TLS: Zestawy szyfrów

  Dec 9, 2019

  Jedną z najważniejszych czynności podczas konfiguracji TLS jest wybór odpowiednich zestawów szyfrów. Parametr ten zmienia się częściej niż inne, zalecana konfiguracja na dziś może być...

• Czy warto polegać na standardach branżowych?

  Sep 21, 2019

  W świecie IT spotykamy się z wieloma standardami oraz wymaganiami bezpieczeństwa mającymi na celu zapewnienie poufności danych, według których powinniśmy tak, a nie inaczej konfigurować...

• NGINX: Luki w implementacji HTTP/2

  Aug 2, 2019

  W maju 2019 r. inżynierowie Netflixa odkryli szereg luk bezpieczeństwa w kilku implementacjach HTTP/2. Zostały one zgłoszone każdemu z zainteresowanych dostawców i opiekunów. NGINX był...

• NGINX: Obsługa potencjalnie niebezpiecznych nagłówków żądań

  May 11, 2019

  Moim zdaniem możliwość obsługi potencjalnie niebezpiecznych nagłówków żądań protokołu HTTP nie jest samą luką, ale raczej wynikiem błędnej konfiguracji, w tym walidacji, która w niektórych...

• NGINX: Jak poprawnie obsługiwać nagłówki?

  Dec 17, 2018

  Nagłówki to jedna z najistotniejszych rzeczy podczas komunikacji między klientem a serwerem. NGINX dostarcza kilka sposobów ich obsługi, lecz nieodpowiednie użycie któregoś z nich może...

• DEF CON Media Server

  Dec 5, 2018

  Repozytorium zawierające konkretny zestaw materiałów z konferencji DEFCON i nie tylko. Znajdziesz tutaj wiele ciekawych prezentacji, filmów czy slajdów. Moim zdaniem jest to obowiązkowy zasób...

• NGINX: Blokowanie niebezpiecznych metod

  Nov 19, 2018

  Zwykły serwer HTTP obsługuje metody GET i HEAD, za pomocą których klient pobiera zawartość statyczną i dynamiczną, a także metodę POST, która służy do wysyłania...

• NGINX: Ukryte pliki i katalogi

  Aug 17, 2018

  Ukryte pliki i katalogi nigdy nie powinny być publicznie dostępne — czasami krytyczne dane są publikowane podczas wdrażania aplikacji. Jeśli używasz systemu kontroli wersji, zdecydowanie...

• Katalog .git w web aplikacji

  Mar 9, 2018

  Jednym z często popełnianych błędów, który stwarza ogromny problem i narusza polityki bezpieczeństwa aplikacji, jest udostępnianie katalogu .git w zasobach publicznych.

• Hidden directories and files

  Jan 5, 2018

  Ogromna dawka wiedzy na bardzo ciekawy, krytyczny w kontekście bezpieczeństwa oraz często zapomniany przez programistów i administratorów temat, jakim są ukryte katalogi i pliki. Są...

• Bezpieczne usuwanie danych

  Dec 14, 2017

  Oprócz standardowego polecenia rm, którego działanie opiera się raczej na zakrywaniu usuwanych danych, polecenia takie jak shred, scrub, sfill czy dd zamazują dane w bardzo...

• NGINX: Ujawnianie wersji i sygnatur serwera

  Jul 19, 2017

  Ujawnienie wersji oraz sygnatur serwera NGINX może być niepożądane, szczególnie w środowiskach wrażliwych na ujawnianie informacji (tj. przetwarzających dane krytyczne). NGINX domyślnie wyświetla numer wersji...

• OpenSSL: mechanizm SNI oraz rozszerzenie SAN

  Sep 11, 2015

  Za pomocą biblioteki openssl można przetestować praktycznie każdą usługę opartą na protokołach SSL/TLS. Po nawiązaniu połączenia można nimi sterować, stosując komendy/wiadomości specyficzne dla każdego protokołu...