Sunday, 15 July 2012

OWASP iGoat

Kilka tygodni temu natknąłem się na interesujący materiał OWASP dla programistów iOS, a dotyczący dobrych praktyk związanych z bezpieczeństwem. Chodzi mianowicie o iGoat http://code.google.com/p/owasp-igoat/. Pomysł bardzo ciekawy, bo w sposób praktyczny przedstawia potencjalne problemy z bezpieczeństwem.
Niestety, bez dokładnego wyjaśnienia poszczególnych ćwiczeń można niepoprawnie interpretować rekomendowane rozwiązania opisane w rozwiązaniach.
Dwa pierwsze ćwiczenia związane są z przechowywaniem informacji na urządzeniu mobilnym. Moim zdaniem zabrakło informacji dotyczących różnic pomiędzy lokalną bazą sqlite a keychain. Należy pamiętać, że:
  1. Rekordy w keychain mogą być chronione kodem PIN/frazą przejściową – jednak programista nie ma bezpośredniego wpływu na to czy użytkownik ustawi je czy też nie; 
  2. Można użyć klasy bezpieczeństwa (w keychain), która spowoduje, że dane nie będą eksportowane poza urządzenie. W niektórych przypadkach podnosi to poziom bezpieczeństwa;
  3. Jeśli chcemy przechowywać na urządzeniu krytyczne dane - na przykład klucz współdzielony, którym autoryzujemy transakcje finansowe, to powinien być on zaszyfrowany a weryfikacja powinna zawsze odbywać się po stronie serwera a nie urządzenia mobilnego. A pisząc bardziej precyzyjne, powinniśmy dodatkowo stosować PBKDF2. 
Moim zdaniem ćwiczenie dotyczące SQLi ma niewielkie zastosowanie w praktyce. Kolejne ćwiczenie dotyczy między innymi weryfikacji poprawności certyfikatów SSL. Z tego typu błędem spotkaliśmy się kilka razy testując aplikacje mobilne. Pakiet zawiera jeszcze dwa dodatkowe ćwiczenia, które poruszają specyficznie aspekty aplikacji mobilnych.
Podsumowując, pomysł bardzo ciekawy i możliwe, że jedno-dwa ćwiczenia będą omówione na szkoleniach Prevenity.

1 comment:

  1. Potrzebujesz zatrudnić hakera❓ Następnie skontaktuj się z PYTHONAX✅

    Naprawdę niesamowita okazja do skontaktowania się z PYTHONAX polega na tym, że dokonany przez nas Hack nie może zostać namierzony, ponieważ każde nasze zadanie hakowania jest silnie chronione przez naszą zaporę ogniową. To tak, jakby powiedzieć, że jeśli ktoś spróbuje wyśledzić Hack, doprowadzi go do nas i zablokujemy wszystkie jego działania.

      Jesteśmy prawie niewidoczni dla władz od prawie dekady, a jeśli przejdziesz do Google PYTHONAX, tak naprawdę nie o nas wyjdzie, możesz zobaczyć tylko komentarze zrobione przez nas lub o nas.

      Kolejną niesamowitą rzeczą, z której możesz skorzystać przy zatrudnianiu naszych hakerów, jest to, że otrzymujesz Legit i najlepszą usługę hakowania, ponieważ zapewniamy Ci profesjonalnych hakerów, którzy mają specjalizacje w obszarze hakowania.
       Wykonujemy każdego hacka, używając specjalnych narzędzi hakerskich, które otrzymujemy z ciemnej sieci.

       Niektóre z oferowanych przez nas usług hakerskich to:
    ▪️ Hakowanie i klonowanie telefonów ✅
    ▪️Hakowanie komputera ✅
    ▪️ Hakowanie kont e-mail i mediów społecznościowych✅
    ▪️ Odzyskiwanie usuniętych plików✅
    ▪️ Śledzenie i znajdowanie osób ✅
    ▪️Unikanie oszustów✅
    ▪️ Wykrywanie włamań ✅
    ▪️Stealing / Kopiowanie plików i dokumentów z ograniczonych sieci i serwerów ✅
    ▪️Mnożenie Bitcoinów✅
    ▪️ Odzyskiwanie pieniędzy z opcji binarnej ✅
    ▪️ Odzyskiwanie pieniędzy na rynku Forex✅
    ▪️ Odzyskiwanie pieniędzy opcji IQQ
    I wiele więcej......


    Niezależnie od tego, jakiej usługi hakerskiej potrzebujesz, po prostu prześlij nam e-mail na adres e-mail podany poniżej.
    pythonaxhacks@gmail.com
    pythonaxservices@gmail.com

      PYTHONAX.
    2020 © Wszelkie prawa zastrzeżone.

    ReplyDelete