http hlavičky - tomas adamjak
TRANSCRIPT
HTTP hlavičkyZvyšovanie bezpečnosti webových aplikácií
Tomáš Adamják
24. máj 2016
WEBtlak #6
BruceSchneier
MichalŠpaček
Host
GET /file HTTP/1.0
Host: webtlak.sk
$ SERVER[’HTTP HOST’] == ’webtlak.sk’;
Tomáš Adamják WEBtlak #6 6
Host
GET http://webtlak.sk/file HTTP/1.0
Host: každý Tomáš je super
$ SERVER[’HTTP HOST’] == ’každý Tomáš je super’;
Tomáš Adamják WEBtlak #6 7
Host
Aj $ SERVER[’HTTP HOST’] je používateľský vstup.
⇓
echo htmlspecialchars($ SERVER[’HTTP HOST’]);
Tomáš Adamják WEBtlak #6 8
Port knock
/admin → 404
/admin/knoct → 302
/admin → 200
Tomáš Adamják WEBtlak #6 9
Cross-Site Scripting
X-XSS-Protection: 0X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
Tomáš Adamják WEBtlak #6 10
Cross-Site Scripting
X-XSS-Protection
IE 8+Chrome
Safari 4+
Mozilla Firefox
Tomáš Adamják WEBtlak #6 11
Session Hijacking
Tomáš Adamják WEBtlak #6 12
HTTP-Only cookies
PHP
session.cookie httponly: true
session.cookie secure: true
Tomáš Adamják WEBtlak #6 13
Content-Security-Policy
default-src ’none’
script-src ’unsafe-inline’
script-src cdnjs.cloudflare.com
Tomáš Adamják WEBtlak #6 14
Clickjacking
X-Frame-Options
DENY
SAMEORIGIN
ALLOW-FROM
Tomáš Adamják WEBtlak #6 15
Ďalšie
X-Content-Type-Options
HTTP Strict Transport Security
Tomáš Adamják WEBtlak #6 16
The End
Ďakujem sa pozornosť :-)
fb.com/thomas.adamjak
thomas.adamjak.net
Tomáš Adamják WEBtlak #6 17