Enviar pesquisa
Carregar
Defense in Depth Web Inkognito 12/2013
•
Transferir como PPT, PDF
•
1 gostou
•
1,408 visualizações
Michal Špaček
Seguir
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 68
Baixar agora
Recomendados
Romana Velflová z Media na nekonferenci Vyhledávače zboží 2015.
Vyhledávače zboží 2015: Medio
Vyhledávače zboží 2015: Medio
BESTETO
Neokrádejte se zbytečně aneb technické chyby vašeho webu, které vás připraví o peníze
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Michal Špaček
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
Michal Špaček
HTTP Strict Transport Security (HSTS) provides secure transport of data, by removing the possibility of HTTPS stripping. HSTS is an HTTP header issued by the server. After receiving such header, the browser will perform internal redirects from http:// to https:// for given amount of seconds.
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
Michal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Michal Špaček
Co použít na ukládání hesel a co na jejich crackování, jak lidé hesla vytvářejí a další poznatky z mnoha analýz.
Lámání a ukládání hesel
Lámání a ukládání hesel
Michal Špaček
Jak jsem pomocí prohlížeče přišel na to, že Opera VPN není VPN aneb co všechno na sebe Chrome prozradí v chrome://net-internals/ a jak to můžete použít pro ladění nebo zkoumání různých udělátek a extenzí.
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
Michal Špaček
Recomendados
Romana Velflová z Media na nekonferenci Vyhledávače zboží 2015.
Vyhledávače zboží 2015: Medio
Vyhledávače zboží 2015: Medio
BESTETO
Neokrádejte se zbytečně aneb technické chyby vašeho webu, které vás připraví o peníze
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Michal Špaček
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
Michal Špaček
HTTP Strict Transport Security (HSTS) provides secure transport of data, by removing the possibility of HTTPS stripping. HSTS is an HTTP header issued by the server. After receiving such header, the browser will perform internal redirects from http:// to https:// for given amount of seconds.
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
Michal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Michal Špaček
Co použít na ukládání hesel a co na jejich crackování, jak lidé hesla vytvářejí a další poznatky z mnoha analýz.
Lámání a ukládání hesel
Lámání a ukládání hesel
Michal Špaček
Jak jsem pomocí prohlížeče přišel na to, že Opera VPN není VPN aneb co všechno na sebe Chrome prozradí v chrome://net-internals/ a jak to můžete použít pro ladění nebo zkoumání různých udělátek a extenzí.
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
Michal Špaček
On multiple lines of defense, how to implement them in your typical web app, and why. Explained on passwords and Cross-Site Scripting.
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Michal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
O několika klasických webových útocích, o heslech a uživatelích, kterým občas dáváme zaručené rady, které jejich bezpečnost mohou naopak ohrozit.
Medvědí služba
Medvědí služba
Michal Špaček
Would you voluntarily share how your web app stores passwords? Some companies indeed do share, for example Facebook and LastPass to name just a few. Some share involuntarily. Some don't share at all because they feel that it will make them more vulnerable. Here's why you should do that and how.
Disclosing password hashing policies
Disclosing password hashing policies
Michal Špaček
Aneb jak se bránit XSS pokud děláte nejen v PHP, protože htmlspecialchars() je tak starý, že byste to už používat snad ani neměli.
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Michal Špaček
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Michal Špaček
Securitas, res publica. V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy. Bezpečnost, věc veřejná.
Poučte se z cizích chyb
Poučte se z cizích chyb
Michal Špaček
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Michal Špaček
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Michal Špaček
Operations security (OPSEC) is a term originating in U.S. military jargon. In IT, it says what to do to protect your servers, developers, information, and other resources. Targeting developers, new trend in computer security, is becoming increasingly common because they usually have access to production servers and other critical infrastructure.
Operations security (OPSEC) in IT
Operations security (OPSEC) in IT
Michal Špaček
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
HTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Michal Špaček
Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce appek a webů.
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Michal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
Michal Špaček
Users often forget their passwords, so applications often must have a password reset mechanism. There are several options for how to do it; some of them are good, most of them not so good. Generate a password and send it in an email? No. Security questions? No way. Reset passwords via a phone call? Rather not. This talk presents some really creative examples of botched password reset implementations, as well as a proven method for resetting passwords securely.
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Michal Špaček
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete. Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
Hlava není na hesla
Hlava není na hesla
Michal Špaček
HTTP/2
HTTP/2
HTTP/2
Michal Špaček
Víte, že nevíte, že já vím, že nevíte? Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Michal Špaček
Co, proč, jak, zač, nač, kdy, kde, s kým a proti komu.
Přechod na HTTPS
Přechod na HTTPS
Michal Špaček
Několik nejčastějších chyb a jak se proti nim bránit a co všechno udělat pro to, abychom měli všichni klidnější spaní.
Noční můry webového vývojáře
Noční můry webového vývojáře
Michal Špaček
From unsalted SHA-1 to bcrypt, from generated passwords sent in e-mails to just links and other stories of securing user passwords at your regular e-commerce site from web developer's point of view. Video of the talk available at http://www.michalspacek.cz/prednasky/the-problem-with-the-real-world-passwords
The problem with the real world
The problem with the real world
Michal Špaček
Mais conteúdo relacionado
Mais de Michal Špaček
On multiple lines of defense, how to implement them in your typical web app, and why. Explained on passwords and Cross-Site Scripting.
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Michal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
O několika klasických webových útocích, o heslech a uživatelích, kterým občas dáváme zaručené rady, které jejich bezpečnost mohou naopak ohrozit.
Medvědí služba
Medvědí služba
Michal Špaček
Would you voluntarily share how your web app stores passwords? Some companies indeed do share, for example Facebook and LastPass to name just a few. Some share involuntarily. Some don't share at all because they feel that it will make them more vulnerable. Here's why you should do that and how.
Disclosing password hashing policies
Disclosing password hashing policies
Michal Špaček
Aneb jak se bránit XSS pokud děláte nejen v PHP, protože htmlspecialchars() je tak starý, že byste to už používat snad ani neměli.
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Michal Špaček
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Michal Špaček
Securitas, res publica. V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy. Bezpečnost, věc veřejná.
Poučte se z cizích chyb
Poučte se z cizích chyb
Michal Špaček
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Michal Špaček
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Michal Špaček
Operations security (OPSEC) is a term originating in U.S. military jargon. In IT, it says what to do to protect your servers, developers, information, and other resources. Targeting developers, new trend in computer security, is becoming increasingly common because they usually have access to production servers and other critical infrastructure.
Operations security (OPSEC) in IT
Operations security (OPSEC) in IT
Michal Špaček
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
HTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Michal Špaček
Ne příliš technická přednáška o HTTPS a VPN s několika doporučeními pro uživatele mobilních zařízení i pro tvůrce appek a webů.
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Michal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
Michal Špaček
Users often forget their passwords, so applications often must have a password reset mechanism. There are several options for how to do it; some of them are good, most of them not so good. Generate a password and send it in an email? No. Security questions? No way. Reset passwords via a phone call? Rather not. This talk presents some really creative examples of botched password reset implementations, as well as a proven method for resetting passwords securely.
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Michal Špaček
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete. Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
Hlava není na hesla
Hlava není na hesla
Michal Špaček
HTTP/2
HTTP/2
HTTP/2
Michal Špaček
Víte, že nevíte, že já vím, že nevíte? Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Michal Špaček
Co, proč, jak, zač, nač, kdy, kde, s kým a proti komu.
Přechod na HTTPS
Přechod na HTTPS
Michal Špaček
Několik nejčastějších chyb a jak se proti nim bránit a co všechno udělat pro to, abychom měli všichni klidnější spaní.
Noční můry webového vývojáře
Noční můry webového vývojáře
Michal Špaček
From unsalted SHA-1 to bcrypt, from generated passwords sent in e-mails to just links and other stories of securing user passwords at your regular e-commerce site from web developer's point of view. Video of the talk available at http://www.michalspacek.cz/prednasky/the-problem-with-the-real-world-passwords
The problem with the real world
The problem with the real world
Michal Špaček
Mais de Michal Špaček
(20)
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Medvědí služba
Medvědí služba
Disclosing password hashing policies
Disclosing password hashing policies
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Poučte se z cizích chyb
Poučte se z cizích chyb
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Operations security (OPSEC) in IT
Operations security (OPSEC) in IT
HTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Hlava není na hesla
Hlava není na hesla
HTTP/2
HTTP/2
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Přechod na HTTPS
Přechod na HTTPS
Noční můry webového vývojáře
Noční můry webového vývojáře
The problem with the real world
The problem with the real world
Defense in Depth Web Inkognito 12/2013
1.
DEFENSE IN DEPTH Tisíc
a jeden tip pro webovou bezpečnost Michal Špaček @spazef0rze Web Inkognito VŠE www.michalspacek.cz @iz228 prosinec 2013 Slajdy jsou bez mých poznámek, nedávají tedy moc smysl pro toho, kdo na semináři nebyl.
2.
Zdroj: www.adobe.com
3.
Říjen 2013 3 miliony
karet + 38 milionů účtů Nebo 150 milionů? Zdrojové kódy
4.
# Count Ciphertext Plaintext -------------------------------------------------------------1. 1911938 EQ7fIpT7i/Q= 123456 2. 446162 j9p+HwtWWT86aMjgZFLzYg== 123456789 3. 345834 L8qbAD3jl3jioxG6CatHBw== password 4. 211659 BB4e6X+b2xLioxG6CatHBw== adobe123 5. 201580 j9p+HwtWWT/ioxG6CatHBw== 12345678 6. 130832 5djv7ZCI2ws= qwerty 7. 124253 dQi0asWPYvQ= 1234567 8. 113884 7LqYzKVeq8I= 111111 9. 83411 PMDTbP0LZxu03SwrFUvYGA== photoshop 10. 82694 e6MPXQ5G6a8= 123123 Zdroj: http://stricture-group.com/files/adobe-top100.txt Michal Špaček www.michalspacek.cz
5.
Zdroj: http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/ Michal Špaček www.michalspacek.cz
6.
Hesla špatně zašifrovaná Hesla v
nápovědě v čitelné podobě LOL Michal Špaček www.michalspacek.cz
7.
jan.semcky@firma.seznam.cz kwclmYX4Q9E= Michal Špaček www.michalspacek.cz
8.
lumatch@seznam.cz KwclmYX4Q9E= emajlovej klient vole ajohnson@mynow.co.uk KwclmYX4Q9E= zoznam
cz Michal Špaček www.michalspacek.cz
9.
SQL Injection Útočník modifikuje
SQL dotaz Michal Špaček www.michalspacek.cz
10.
Michal Špaček www.michalspacek.cz
11.
Michal Špaček www.michalspacek.cz
12.
"… WHERE znacka
= '{$_GET['znacka']}'" Michal Špaček www.michalspacek.cz
13.
Michal Špaček www.michalspacek.cz
14.
'… WHERE id
= ' . $_GET['id'] Michal Špaček www.michalspacek.cz
15.
' OR 1=1;
-Michal Špaček www.michalspacek.cz
16.
SELECT jmeno, adresa FROM
vozidla WHERE rz = '$prectena'; Michal Špaček www.michalspacek.cz
17.
1AM 1337 SELECT jmeno,
adresa FROM vozidla WHERE rz = '1AM 1337'; Michal Špaček www.michalspacek.cz
18.
' OR 1=1;
-SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; Michal Špaček www.michalspacek.cz
19.
20.
Řešení? Prepared statements (PDO) Michal
Špaček www.michalspacek.cz
21.
SELECT jmeno, adresa FROM
vozidla WHERE rz = ?; ' OR 1=1; -Michal Špaček www.michalspacek.cz
22.
Michal Špaček www.michalspacek.cz
23.
mysql_set_charset() mysql_real_escape_string() Michal Špaček www.michalspacek.cz
24.
Nepoužívat addslashes() proti SQLIA Michal Špaček www.michalspacek.cz
25.
Defense in Depth
Fail = SQL Injection + Špatně uložená hesla Michal Špaček www.michalspacek.cz
26.
323 loginů + SHA-1 hashů
hesel crackstation.net Michal Špaček www.michalspacek.cz
27.
crackstation.net 111 cracknutých hesel Michal
Špaček www.michalspacek.cz
28.
exoddus Tbvfs1 9plams P1ll3d Neznašov Michal Špaček www.michalspacek.cz
29.
111 cracknutých hesel 52
k loginu …@seznam.cz Michal Špaček www.michalspacek.cz
30.
52 loginů …@seznam.cz Kolik
stejných hesel jako na Seznam? Michal Špaček www.michalspacek.cz
31.
Zdroj: http://www.flickr.com/photos/77939791@N00/5721058729/
32.
…@email.cz 2z8 …@centrum.cz 3z9 …@gmail.com 1 z 15 Michal
Špaček www.michalspacek.cz
33.
hashcat 164 dalších cracknutých
hesel Michal Špaček www.michalspacek.cz
34.
164 dalších cracknutých
hesel 2 také použita pro mailbox Michal Špaček www.michalspacek.cz
35.
Email Password! Zdroj: www.twitter.com
36.
v čitelné podobě (v
plaintextu) Michal Špaček www.michalspacek.cz
37.
38.
MD5(heslo) SHA1(heslo) CRC32(heslo) Michal Špaček www.michalspacek.cz
39.
40.
41.
Zdroj: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/
42.
MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( heslo )))))))))))))))) )))))))))))))))) Michal Špaček www.michalspacek.cz
43.
44.
Zdroj: http://www.flickr.com/photos/92154034@N00/440515255/
45.
MD5(heslo + salt) SHA1(heslo
+ salt) Michal Špaček www.michalspacek.cz
46.
47.
bcrypt! Blowfish hashing Michal Špaček www.michalspacek.cz
48.
crypt() salt=$2y$… password_hash() password_verify() Michal Špaček www.michalspacek.cz
49.
scrypt PBKDF2 Michal Špaček www.michalspacek.cz
50.
Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
51.
Zdroj: http://www.flickr.com/photos/59730822@N08/5701097734/
52.
Zdroj: http://www.flickr.com/photos/reidrac/4696900602/
53.
Cross-Site Scripting (XSS) Útočník
vloží na naši stránku vlastní HTML nebo JS kód Michal Špaček www.michalspacek.cz
54.
Michal Špaček www.michalspacek.cz
55.
Michal Špaček www.michalspacek.cz
56.
Michal Špaček www.michalspacek.cz
57.
Řešení? htmlspecialchars($string) Michal Špaček www.michalspacek.cz
58.
htmlspecialchars($string, ENT_QUOTES) Michal Špaček www.michalspacek.cz
59.
Nepoužívat strip_tags() proti XSS Michal Špaček www.michalspacek.cz
60.
Cross-Site Scripting X-XSS-Protection: 0 X-XSS-Protection:
1 X-XSS-Protection: 1; mode=block Michal Špaček www.michalspacek.cz
61.
X-XSS-Protection IE 8+ Chrome Safari 4+ Michal
Špaček www.michalspacek.cz
62.
Michal Špaček www.michalspacek.cz
63.
HTTP-Only cookies session.cookie_httponly: true session.cookie_secure:
true Michal Špaček www.michalspacek.cz
64.
HttpOnly flag IE 6
SP1+ a všechny další Michal Špaček www.michalspacek.cz
65.
Content-Security-Policy default-src 'none' script-src 'unsafe-inline' script-src
ajax.googleapis.com Michal Špaček www.michalspacek.cz
66.
Content-Security-Policy Firefox 4+ X-Content-Security-Policy Chrome 25+,
Firefox 23+, Opera 15+ Content-Security-Policy IE 10+ X-Content-Security-Policy Michal Špaček www.michalspacek.cz
67.
I vaši aplikaci napadnou zlí
útočníci Jste připraveni?
68.
Michal Špaček www.michalspacek.cz
Baixar agora