Owasp TOP 10

Ale jak to? Przecież brak logowania to nie jest błąd sam w sobie. Przecież jeżeli nic nie logujemy to też nic nie może zostać wykradzione.

Pamiętaj o regularnych aktualizacjach wszystkich komponentów naszej aplikacji.

W większości języków programowania możemy tworzyć obiekty - czyli instancje klas. Każdy z obiektów może przechowywać jakieś dane. Czasami istnieje potrzeba, aby te dane gdzieś zapisać.

Ten rodzaj ataku jest podobny do injekcji - dane pochodzące od użytkownika nie są odpowiednio filtrowane i walidowane. Tylko że tam były one przekazywane dalej - zazwyczaj do bazy danych i na ich podstawie otrzymywaliśmy jakieś dane, do których nie powinniśmy mieć dostępu.

Miskonfiguracje sprawiają, że nasze strony nie są takie bezpieczne jak by mogło się wydawać.

Tym razem przyjrzymy się bliżej nieodpowiedniej kontroli dostępu. Ta grupa powstała z połączenia 2 innych, względem listy z 2003 roku. Wcześniej osobno mieliśmy do czynienia z nieodpowiednią kontrolą uprawnień użytkownika a także nieodpowiednio zabezpieczonym bezpośrednim odwołaniem do obiektów.

Występuje kiedy witryna przetwarza w niebezpieczny sposób pliki XML pochodzące od użytkownika.

Czyli o wydobyciu przez atakującego informacji, których nie powinien posiadać.

W tej kategorii znajdują się wszystkie błędy powiązane z funkcjonalnością logowania oraz sprawdzania uprawnień użytkownika. Możesz sobie pomyśleć, że przecież tego nie może być dużo - wszak to tylko formularz z polem na login oraz hasło. Rzeczywistość jest jednak zupełnie inna.

Ten rodzaj błędów ma miejsce jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i ich odpowiednio nie filtrujemy.