Choć dość często poruszam tematy związane z bezpieczeństwem stron internetowych (WWW), to zazwyczaj staram się koncentrować na tematach/zagadnieniach interesujących również mniej zaawansowanych użytkowników/czytelników (choć może nie zawsze totalnie zielonych), nawet jeśli czasem pojawi się jakiś „trudniejszy temat”.
Ale zapewne przynajmniej część z Was szuka jakiś bardziej szczegółowych/zaawansowanych informacji dotyczących m.in. bezpieczeństwa stron WWW, aplikacji webowych – w takim przypadku zachęcam do zapoznania się z magazynem Securak/Offline, którego trzeci numer ukazał się niedawno…
Spis treści w artykule
Sekurak/Offline
Sam uważam się raczej za administratora niż programistę – przynajmniej w bezpośrednim znaczeniu tego określenia, stąd większość tekstów dotyczących bezpieczeństwa, które pojawiają się na stronie dotyczy tematów związanych z zarządzaniem serwerem, czy stroną internetową (choć oczywiście pojawia się też sporo PHP, czy języków skryptowych), niż samym programowaniem.
W przypadku bezpłatnego magazynu (zinu) Sekurak/Offline główny aspekt położony jest raczej na elementy związane programowaniem stron, a nawet szerzej – aplikacji webowych, które zyskują coraz większą popularność, i w wielu aspektach wręcz wypierają dedykowane aplikacje (np. księgowość internetową prowadzę w serwisie wFirma, właśnie korzystając z aplikacji webowej, czyli rozbudowanej strony WWW, i mimo tego, że wiąże się to z cykliczną opłatą nie rozważam zmiany), choć oczywiście pojawiają się też zagadnienia bliższe mi, czyli związane z administrowaniem i przygotowywaniem środowiska webowego do pracy.
W pierwszym numerze znajdziecie artykuły:
- Czym jest podatność CSRF?
- Problemy z XXE (XML eXternal Entity)
- Czym jest Content Security Policy?
- HSTS czyli HTTP Strict Transport Security
- Czym jest SQL injection?
- Czym jest XSS?
- Pozwalasz ładować pliki SVG? Masz XSSa!
- Wprowadzenie do narzędzia Burp Suite
- PHP Object Injection
- PHP Object Injection i ZendFramework2
- OWASP AppSensor – obroń swoją aplikację
- Błędy bezpieczeństwa we frameworku Nuxeo
W drugim numerze znajdziecie artykuły:
- Mechanizm Service Workers
- Wszystko o CSP 2.0 – Content Security Policy
- Ochrona za pomocą ModSecurity
- Czym jest atak Padding Oracle?
- Czym jest Bit-Flipping
- Podatności w mechanizmach uploadu
- Ukryte katalogi i pliki
- Czym jest i jak wykorzystać podatność PRO/PRSSI
- Mechanizm HTTP Public Key Pinning
W trzecim, czyli najnowszym numerze znajdziecie artykuły
- Protokół WebSocket
- Czym jest XPATH injection
- Google Caja i XXSy – czyli jak dostać trzy razy bounty za (prawie) to samo
- Analiza ransomware napisanego w 100% w JavaScripcie – RAA
- Metody omijania mechanizmu Content Security Policy (CSP)
- Nie ufaj X-Forwarded-For (XFF)
- Java vs deserializacja niezaufanych danych (część 1, 2 i 3)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Gen AI w Envato, czyli w ramach usługi Envato Elements mamy teraz dostęp do całego wachlarza narzędzi wspieranych przez AI - 1970-01-01
- DJI Mini 5 Pro, czyli mały dron z klasą C0, a spore zamieszanie, bo niby sub250, a jednak waży powyżej 250 gramów - 1970-01-01
- W Home Assistant 2025.6 w końcu mamy przypisanie struktury menu bocznego (sidebar) do konta użytkownika, więc teraz pora jeszcze na kolory (motyw) - 1970-01-01
