Skoči na vsebino

Frisk v znamenju varnostnih ranljivosti

Tudi letos se je v Murski Soboti odvijal Festival Frisk. Festivala so se udeležili kar številni udeleženci z večjo težo pri mladih, srednješolcih in študentih. Za letošnji Frisk smo na CERTu pripravili krajše predavanje, ki je bilo po izrazih poslušalcev sodeč zelo aktualno.

V svojem tokratnem predavanju sem izpostavil nekaj najpogostejših ranljivosti spletnih aplikacij, na katere razvijalci začetniki premnogokrat pozabijo. V predstavitvi sem na hitro orisal pogoste pomanjkljivosti spletnih aplikacij, kot so križno izvajanje skriptov (XSS), probleme kraje seje, navzkrižno ponarejanje zahtevkov (CSRF), vbrizgavanje kode, neprimerna uporaba varnostnih certifikatov, neprimerne oziroma napačne varnostne konfiguracije, ipd…

Navedeni varnostni problemi lahko privedejo ne le do razobličenja naše spletne strani, pač pa tudi do postavitve neželene phishing spletne strani, ogrožanja obiskovalcev naše spletne strani s podtaknjeno kodo s strani storilcev, izgube oziroma kraje podatkov s spletnega strežnika, ter celo ogrožanja varnosti našega spletnega strežnika oziroma podatkov na njem.

Predstavitev sem podkrepil s prikazom nekaj konkretnih primerov, v katerih je prišlo do zlorabe kot posledice izkoriščanja več prej omenjenih ranljivosti. V prestavljenih primerih je bila lahko posledica tudi okužba sistema nič hudega slutečega obiskovalca naše spletne strani preko podtaknjene kode s strani storilca.

Velja poudariti, da je odgovornost vsakega posameznega izdelovalca spletnih strani, da zagotovi varen obisk svojih obiskovalcev.

V kolikor se srečanja niste uspeli udeležiti, vas seveda vabim prihodnje leto, ko bomo za vas ponovno pripravili novo zanimivo predavanje.

Prosojnice predavanja si lahko prenesete tukaj.

Matej Breznik

Preberite tudi

Nagrada za življenjsko delo ob 30. obletnici SI-CERT

Na konferenci INFOSEK, osrednjem in največjem dogodku za informacijsko varnost v Sloveniji, so podelili priznanja za prispevek razvoju področja kibernetske varnosti. Nacionalnemu odzivnemu centru za kibernetsko varnost SI-CERT je ob …
Več

Statistika SI-CERT za prvo polovico leta 2025

V prvi polovici leta 2025 smo obravnavali 24 % več primerov, kot v enakem obdobju lani.
Več

SI-CERT TZ017 / Analiza nalagalnika HijackLoader

Opis zlonamernega CAPTCHA preverjanja smo objavili v varnostnem obvestilu, ta tehnični zapis pa opisuje analizo in delovanje najpogosteje prenešenega nalagalnika v kombinaciji s tem tipom okužbe - HijackLoader.
Več