2. Fórumok
  3. Infotech
  4. Megalakult az OWASP magyar tagozata
Keresés

Új hozzászólás Aktív témák

  • #3 makayk csendes tag FTeR #1
    Új Válasz #3
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    makayk

    csendes tag

    válasz FTeR #1 üzenetére

    "A biztonsági rés gyakorlatilag a hiányos/téves input validálásokból fakad."

    Szerintem ehhez a véleményedhez azért ne ragaszkodj :)
    Pl. a buffer overflow-nak a DoS-nak, vagy éppen a root exploitnak mi köze az input alapú validáláshoz?
    A cookie session lopá határeset, de ott sem a kódsor hibájáról beszélünk, hanem gyökerekben rejlő technológiai hiányosságról a kényelmes webhasználathoz.

    "A biztonsági rések az idő és az ismeret hiányából maradnka a kódban. "
    Akkor egy kódot örök időkig lehetne tökéletesíteni míg megjelenhet. Sőt mégjobb ha a technológiákat is befagyasztjuk, így sose derül ki újabb dolog.

  • #6 sztanozs veterán FTeR #5
    Új Válasz #6
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    sztanozs

    veterán

    válasz FTeR #5 üzenetére

    Aki szerint az input validáció a biztonság (informatikai kockázatok kezelésének) alfája és omegája, az szerintem nem igazán foglalkozott még behatóan a témával.

    Session/Credential lopásnak (session hijack) semmi köze nincs az input validációhoz. Azért működik, mert:
    - nem megbízható a csatorna vagy komprommittálódott a kliens
    - nincs megfelelő kliens azonosítás
    - nincs replay attack elleni védelem
    - visszafejthető vagy kitalálható a session/user azonosító
    - nincs jogosultság szegregáció a rendszerben
    - csak a rendszer legfelső rétege van megerősítve (csak a nem jogosult "felhasználóktól" félünk)

    DOS is simán előállhat valid inputokból - ott race condition

    Jelszavakat, érzékeny adatokat is lehet plaintextben tárolni, amik később ellophatók (rendszerből, mentésről, hálózati forgalomból).

    Rosszul implementált titkosítás is biztonsági probléma, mégsincs köze az input validációhoz.

    és még sorolhatnám...

    Ja és ma van az infóbiztonság napja :D

    [ Szerkesztve ]

    JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

  • #9 sztanozs veterán FTeR #8
    Új Válasz #9
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    sztanozs

    veterán

    válasz FTeR #8 üzenetére

    A biztonsági rés gyakorlatilag a hiányos/téves input validálásokból fakad. - végeredményben ezzel vitkoztam.
    Egy csomó más oka is lehet egy biztonsági résnek, mint az input-validáció hiánya. A biztonsági réseknek ráadásul csak egy része jön a rossz kódolásból. Nagyon sok biztonsági rés a hibás tervezésból (vagy a tervezés hiányából), vagy a nem megfelelő konfigurációból és - nem programozói - implementációból adódik. - persze én is write only vagyok :W

    Amúgy amibe egyáltalán belekötöttél az csak egy gyakran emlegetett poén... Még valakinek az aláírásában is láttam itt egy darabig.

    [ Szerkesztve ]

    JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Új hozzászólás Aktív témák