Breaking the code

Breaking the code var ett "awareness"-seminarium presenterat av tre killar från Truesec [www.truesec.com].

Huvudämnet för dagen var hur man bygger säker kod, vilka metoder och verktyg en hacker kan använda sig av osv.

Följande indelning gjordes:
- XSS - Cross Site Scripting
- Attacker mot trådlösa nätverk
- Designbrister
- SQL Injection
- XPath Injection
- Stack Overflow Exploits

Jag skall inte ens ge mig på ett försök att återge seminariumet utan nöjer mig med att ge några små tips/key points från dagen och lite länkar till nyttiga resurser.


Tänk på:
- Lita inte på client-side validering endast (det går att manipulera parametrar efter valideringen
- Validera alla inparametrar (undvik att lagra skräpdata)
- Validera output (på t.ex. forum där man undviker script och elak html-kod att skrivas ut till användaren)
- Använd "rena" loginsidor. Sidor med mycket text, forumposts och annan "skräpdata" ger risker till elak kod.

- Ökat antal kontaktytor ökar risken att bli attackerad


Länkar:
www.owasp.org - Projekt för att hitta och minimera osäkra applikationer. Har bl.a. en topp-10-lista över de saker som används oftast för att "bryta sig in" i kod
www.parosproxy.org - Proxy för att validera vilken data som skickas mellan datorn och t.ex. en webbsida
www.fiddlertool.com - En annan proxy/HTTP Debugger, något mer avancerad
ha.ckers.org/xss.html - Cheat sheet för XSS. Lathund för vanliga XSS-attacker och vilka webbläsare som "stödjer" de.
securitytracker.com - sida som listar brister i mjukvara (Stack Overflow)