Breaking the code

Breaking the code var ett "awareness"-seminarium presenterat av tre killar från Truesec [www.truesec.com].

Huvudämnet för dagen var hur man bygger säker kod, vilka metoder och verktyg en hacker kan använda sig av osv.

Följande indelning gjordes:
- XSS - Cross Site Scripting
- Attacker mot trådlösa nätverk
- Designbrister
- SQL Injection
- XPath Injection
- Stack Overflow Exploits

Jag skall inte ens ge mig på ett försök att återge seminariumet utan nöjer mig med att ge några små tips/key points från dagen och lite länkar till nyttiga resurser.


Tänk på:
- Lita inte på client-side validering endast (det går att manipulera parametrar efter valideringen
- Validera alla inparametrar (undvik att lagra skräpdata)
- Validera output (på t.ex. forum där man undviker script och elak html-kod att skrivas ut till användaren)
- Använd "rena" loginsidor. Sidor med mycket text, forumposts och annan "skräpdata" ger risker till elak kod.

- Ökat antal kontaktytor ökar risken att bli attackerad


Länkar:
www.owasp.org - Projekt för att hitta och minimera osäkra applikationer. Har bl.a. en topp-10-lista över de saker som används oftast för att "bryta sig in" i kod
www.parosproxy.org - Proxy för att validera vilken data som skickas mellan datorn och t.ex. en webbsida
www.fiddlertool.com - En annan proxy/HTTP Debugger, något mer avancerad
ha.ckers.org/xss.html - Cheat sheet för XSS. Lathund för vanliga XSS-attacker och vilka webbläsare som "stödjer" de.
securitytracker.com - sida som listar brister i mjukvara (Stack Overflow)

Decompiler

På Lutz Roeder's hemsida hittar man flera nyttiga .NET applikationer.
Bland annat Reflektor som kan användas till att bakåtkompilera .NET assemblies.
Detta torde vara en god anledning till att se över säkerheten i publika projekt där man vill undvika att andra ser färdigkompilerad kod.



Lutz' projekt hittar man på:
http://www.aisto.com/roeder/dotnet/

Hösten 2006

För att ge bloggen en "quick-start", så samlar jag nu ihop höstens "hetaste releaser".
Here we go:

Windows Vista (finns fr.o.m. November via MSDN Subscription)
Har tankat ner denna och planerar snar installation på Virtual PC för att testköra lite grann.
[msdn2.microsoft.com/en-us/subscriptions/default.aspx]

MS Office 2007 (finns fr.o.m. November via MSDN Subscription)
se Vista ovan..
[msdn2.microsoft.com/en-us/subscriptions/default.aspx]

Internet Explorer 7
Flikar, högre säkerhet, RSS, Phishing-filter mm.
[www.microsoft.com/windows/ie/default.mspx]

ASP.NET AJAX (beta 2)
[ajax.asp.net]

.NET Framework 3.0
Borde kanske heta 2.5 eller liknande. Innehåller 2.0 + det som tidigare kallades WinFX (Presentation Foundation, Communication Foundation, Workflow Foundation och CardSpace)

Både runtime (installerad och aktiverad "by default" i Win Vista) och SDK.
[Redistributable Runtime] [Windows SDK]

Visual Studio 2005 - Service Pack 1 (beta)
Buggfixar och uppdateringar till VS2005.
[VS 2005] [VS 2005 TFS]

Lite blandat
Visual Studio 2005 Tools for the Office 2007 System (beta) [länk]
Fri licensiering för utveckling av Office 2007 GUI [länk]

Windows Media Player 11
en uppdaterad och Vistafierad version av Microsofts mediaspelare med ett bättre stöd för synkning till mp3-spelare bland annat.
[www.microsoft.com/windows/windowsmedia/player/11/default.aspx]

Bakom hörnet/Kommande releaser
Visual Studio 2005 - Service Pack 1 - skarpa releasen
Visual Studio 2005 - Service Pack 1 Refresh - för utveckling på Vista
ASP.NET AJAX - Skarpa releasen
Win Presentation Foundation Everywhere - WPF för exekvering i webbläsare


Källor för ovanstående är:
Microsofts hemsida [www.microsoft.com]
Dag Königs blog [buzzfrog.blogs.com]

Start me up

Denna blog startas nu och kommer samla nya, fräscha program, tekniker, länkar och annat nyttigt inom systemutveckling.

Framförallt kommer det att handla om .NET, men även JAVA och andra tekniker.