Mizerowwwé
Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.
Detail přednášky
Znáte film Mizerové? Ten ve kterém hraje Will Smitka?
V téhle dvojpřednášce s Vláďou "Willem " Smitkou jsme ukázali různé útoky a vysvětlíme, jak se jim bránit.
Ukazovali jsme:
- SQL Injection (to už všichni znáte, že jo, ale teda na webu to tak moc nevypadá) – to si klidně zkoušejte na mém testovacím webu, ve zdrojácích se dočtete, jak funguje
- sqlmap na testování SQL Injection
- XSS (to taky určitě znáte, ale realita tomu taky moc nenasvědčuje)
- PHPStan od Ondry Mirtese, nástroj na statickou analýzu PHP kódu
- mé rozšíření PHPStanu pro hledání použití zakázaných funkcí
- Gobuster na brute-forcování adresářů a Vláďovo základní seznamy
- THC Hydra na automatické brute-forcování přihlašovacích formulářů
- knihy, ve kterých jsou bezpečnostní chyby v ukázkových aplikacích (páté edici téhle od Robina Nixona jsem v 2018 dělal tech review a měla by být v pořádku)
- Vláďův globální sken adresářů
.git, já jsem něco podobného v mnohem menším také zkusil - git-dumper na stažení zdrojáků z webu, na kterém je přístupný
.gitadresář - kousky JavaScriptu na krádež session cookie rovnou a oklikou přes výstup z
phpinfo()
Mnoho z těchto nástrojů používají i lidé, kterým se říká script kiddies (skiddies, skids), tedy „děcka se skripty“, kteří často ani nerozumí jak daná věc funguje. My jsme se to snažili v rychlosti vysvětlit a ukázat jak fungují a upozornit na to, že skids jsou běžný způsob hackování webových aplikací, že je třeba s nimi počítat a že stejné nástroje používají i profíci. Nástroje to jsou běžně dostupné a tak to má být, bez nich by se těžko ukazovalo, že bezpečnost je dobré brát vážně.
Mimochodem z filmu Mizerové pochází má oblíbená hláška a životní motto My shit always works sometimes a ve stejném duchu se nesla i tahle přednáška 😈
PS: Tato přednáška a ukázky v ní byly pouze pro vzdělávací účely a nově nabyté znalosti a dovednosti prosím použijte pro zlepšení zabezpečení a to především vlastních webů a aplikací.
Datum a akce
29. srpna 2019, Čtvrtkon #83 (délka přednášky 90 minut)
Michal Špaček
Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.