Bezpieczeństwo aplikacji internetowych
Źródła informacji o podatnościach
- Jakie znasz źródło informacji o podatnościach w aplikacjach?
- Zapoznaj się z poniższymi stronami:
- Jakie znasz organizacje propagujące stosowanie dobrych praktyk programistycznych, zwłaszcza w kontekście aplikacji internetowych?
- Zapoznaj się ze stroną OWASP a w szczególności odnajdź tam informacje o projektach Top 10, Top 10 Mobile, WebGoat i WebScarab. Spróbuj odpowiedzieć na pytanie - jakie są aktulnie najpopularniejsze metody/wektory ataków na aplikacje internetowe i mobilne. Do czego służy WebGoat.
Podatności w aplikacjach internetowych - ćwiczenia praktyczne
Przykładowe rodzaje podatności
Zapoznaj się z krótkimi opisami podstawowych podatności spotykanych w aplikacjach internetowych: "Błędy w aplikacjach i ich rodzaje"
Ćwiczenia praktyczne
Pobierz WebGoat-a ze strony:
http://webgoat.github.io/
Pobierz WebScarab-a lub ZED-a ze strony:
WebScarab
Uruchom WebGoat-a. Spróbuj się do niego połączyć przeglądarką.
Zainstaluj ZAP-a lub WebScarab-a (lub webscarab-ng). Skonfiguruj przeglądarkę, aby używała ZAP-a lub WebScarab-a jako proxy. Dzięki temu będziesz mógł przechwytywać i modyfikować żądania wysyłane do przeglądarki "w locie".
Uwaga: krótka instrukcja dot. instalacji WebGoat-a i WebScaraba jest dostępna ww. pdfie, przy czym proszę pobrać najnowszą stabilną wersję WebGoat-a - linki w pdfie mogą być już nieaktualne.
Co umieścić w sprawozdaniu?
- Własny opis jednego z zagrożeń z listy OWASP TOP 10 z podaniem przykładu rzeczywistego błędu opisanego w dowolnym biuletynie bezpieczeństwa. Ew. szczegółowy opis interesującej podatności z podaniem dokładnego scenariusza ataku.
- Opis (ze screenshot-ami) sposobu rozwiązania dowolnych 10. ćwiczeń z OWASP WebGoat, wydruk z Report Card.