Choć dość często poruszam tematy związane z bezpieczeństwem stron internetowych (WWW), to zazwyczaj staram się koncentrować na tematach/zagadnieniach interesujących również mniej zaawansowanych użytkowników/czytelników (choć może nie zawsze totalnie zielonych), nawet jeśli czasem pojawi się jakiś „trudniejszy temat”.

Ale zapewne przynajmniej część z Was szuka jakiś bardziej szczegółowych/zaawansowanych informacji dotyczących m.in. bezpieczeństwa stron WWW, aplikacji webowych – w takim przypadku zachęcam do zapoznania się z magazynem Securak/Offline, którego trzeci numer ukazał się niedawno…

Sekurak/Offline

Sam uważam się raczej za administratora niż programistę – przynajmniej w bezpośrednim znaczeniu tego określenia, stąd większość tekstów dotyczących bezpieczeństwa, które pojawiają się na stronie dotyczy tematów związanych z zarządzaniem serwerem, czy stroną internetową (choć oczywiście pojawia się też sporo PHP, czy języków skryptowych), niż samym programowaniem.

W przypadku bezpłatnego magazynu (zinu) Sekurak/Offline główny aspekt położony jest raczej na elementy związane programowaniem stron, a nawet szerzej – aplikacji webowych, które zyskują coraz większą popularność, i w wielu aspektach wręcz wypierają dedykowane aplikacje (np. księgowość internetową prowadzę w serwisie wFirma, właśnie korzystając z aplikacji webowej, czyli rozbudowanej strony WWW, i mimo tego, że wiąże się to z cykliczną opłatą nie rozważam zmiany), choć oczywiście pojawiają się też zagadnienia bliższe mi, czyli związane z administrowaniem i przygotowywaniem środowiska webowego do pracy.

W pierwszym numerze znajdziecie artykuły:

• Czym jest podatność CSRF?
• Problemy z XXE (XML eXternal Entity)
• Czym jest Content Security Policy?
• HSTS czyli HTTP Strict Transport Security
• Czym jest SQL injection?
• Czym jest XSS?
• Pozwalasz ładować pliki SVG? Masz XSSa!
• Wprowadzenie do narzędzia Burp Suite
• PHP Object Injection
• PHP Object Injection i ZendFramework2
• OWASP AppSensor – obroń swoją aplikację
• Błędy bezpieczeństwa we frameworku Nuxeo

W drugim numerze znajdziecie artykuły:

• Mechanizm Service Workers
• Wszystko o CSP 2.0 – Content Security Policy
• Ochrona za pomocą ModSecurity
• Czym jest atak Padding Oracle?
• Czym jest Bit-Flipping
• Podatności w mechanizmach uploadu
• Ukryte katalogi i pliki
• Czym jest i jak wykorzystać podatność PRO/PRSSI
• Mechanizm HTTP Public Key Pinning

W trzecim, czyli najnowszym numerze znajdziecie artykuły

• Protokół WebSocket
• Czym jest XPATH injection
• Google Caja i XXSy – czyli jak dostać trzy razy bounty za (prawie) to samo
• Analiza ransomware napisanego w 100% w JavaScripcie – RAA
• Metody omijania mechanizmu Content Security Policy (CSP)
• Nie ufaj X-Forwarded-For (XFF)
• Java vs deserializacja niezaufanych danych (część 1, 2 i 3)