Choć dość często poruszam tematy związane z bezpieczeństwem stron internetowych (WWW), to zazwyczaj staram się koncentrować na tematach/zagadnieniach interesujących również mniej zaawansowanych użytkowników/czytelników (choć może nie zawsze totalnie zielonych), nawet jeśli czasem pojawi się jakiś „trudniejszy temat”.

Ale zapewne przynajmniej część z Was szuka jakiś bardziej szczegółowych/zaawansowanych informacji dotyczących m.in. bezpieczeństwa stron WWW, aplikacji webowych – w takim przypadku zachęcam do zapoznania się z magazynem Securak/Offline, którego trzeci numer ukazał się niedawno…

Spis treści w artykule

Sekurak/Offline

Sam uważam się raczej za administratora niż programistę – przynajmniej w bezpośrednim znaczeniu tego określenia, stąd większość tekstów dotyczących bezpieczeństwa, które pojawiają się na stronie dotyczy tematów związanych z zarządzaniem serwerem, czy stroną internetową (choć oczywiście pojawia się też sporo PHP, czy języków skryptowych), niż samym programowaniem.

W przypadku bezpłatnego magazynu (zinu) Sekurak/Offline główny aspekt położony jest raczej na elementy związane programowaniem stron, a nawet szerzej – aplikacji webowych, które zyskują coraz większą popularność, i w wielu aspektach wręcz wypierają dedykowane aplikacje (np. księgowość internetową prowadzę w serwisie wFirma, właśnie korzystając z aplikacji webowej, czyli rozbudowanej strony WWW, i mimo tego, że wiąże się to z cykliczną opłatą nie rozważam zmiany), choć oczywiście pojawiają się też zagadnienia bliższe mi, czyli związane z administrowaniem i przygotowywaniem środowiska webowego do pracy.


W pierwszym numerze znajdziecie artykuły:

  • Czym jest podatność CSRF?
  • Problemy z XXE (XML eXternal Entity)
  • Czym jest Content Security Policy?
  • HSTS czyli HTTP Strict Transport Security
  • Czym jest SQL injection?
  • Czym jest XSS?
  • Pozwalasz ładować pliki SVG? Masz XSSa!
  • Wprowadzenie do narzędzia Burp Suite
  • PHP Object Injection
  • PHP Object Injection i ZendFramework2
  • OWASP AppSensor – obroń swoją aplikację
  • Błędy bezpieczeństwa we frameworku Nuxeo

W drugim numerze znajdziecie artykuły:

  • Mechanizm Service Workers
  • Wszystko o CSP 2.0 – Content Security Policy
  • Ochrona za pomocą ModSecurity
  • Czym jest atak Padding Oracle?
  • Czym jest Bit-Flipping
  • Podatności w mechanizmach uploadu
  • Ukryte katalogi i pliki
  • Czym jest i jak wykorzystać podatność PRO/PRSSI
  • Mechanizm HTTP Public Key Pinning

W trzecim, czyli najnowszym numerze znajdziecie artykuły

  • Protokół WebSocket
  • Czym jest XPATH injection
  • Google Caja i XXSy – czyli jak dostać trzy razy bounty za (prawie) to samo
  • Analiza ransomware napisanego w 100% w JavaScripcie – RAA
  • Metody omijania mechanizmu Content Security Policy (CSP)
  • Nie ufaj X-Forwarded-For (XFF)
  • Java vs deserializacja niezaufanych danych (część 1, 2 i 3)
(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk