Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Bezpieczeństwo Symfony2 - Meet.php#13

No description
by

Krystian Piwowarczyk

on 4 May 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Bezpieczeństwo Symfony2 - Meet.php#13

A5 – Security Misconfiguration
A4 – Insecure Direct Object References
A3 – Cross-Site Scripting (XSS)
A1 - Injection
Symfony2
Internet - morze haxxxorów i niebezpieczeństw
A2 – Broken Authentication and Session Management
SQL injection
XSS
Input validation
Access Control
TLS
SSL
OS Hardening
OWASP
A10 – Unvalidated Redirects and Forwards
A9 - Using Components with Known Vulnerabilities
A7 – Missing Function Level Access Control
A6 – Sensitive Data Exposure
A8 - Cross-Site Request Forgery (CSRF)
Pentester/Researcher w
Top 10
Bezpieczne:
Niebezpieczne:
NelmioSecurityBundle
Podpisywanie i szyfrowanie ciasteczek
NelmioSecurityBundle
Content Security Policy
Wszystko w rękach developerów.
ACL nam tego nie załata.
www.strona.pl/account/show/1563
www.strona.pl/account/show/1564
www.strona.pl/account/show/1
Domyślna konfiguracja Symfony wydaje się pozostawiać relatywnie niewiele miejsca na wprowadzenie mocno szkodliwych zmian.
"It is impossible to make anything foolproof because fools are so ingenious."
Podsumowanie
Jeden z tych problemów, w rozwiązaniu których framework nie jest w stanie nam pomóc.
NelmioSecurityBundle
External Redirects Detection
Niestety, to sami developerzy w oparciu o informacje od osób tworzących wymagania muszą ustalić, które dane uznać trzeba za "wrażliwe".
www.strona.pl/account/edit/1563
www.strona.pl/account/edit/1564
www.strona.pl/account/edit/1
W tym przypadku to właśnie wbudowane w Symfony2 ACL mogą nam pomóc.
Open Source?
Budowa Symfony nieco utrudnia wykorzystanie tego typu błędu, ale nie niweluje go zupełnie.
Full transcript