From ec05bd5531debfb1816706e84c9260a15740c238 Mon Sep 17 00:00:00 2001 From: Jan Helak Date: Fri, 11 Oct 2024 15:54:00 +0200 Subject: [PATCH] =?UTF-8?q?kolejne=20materia=C5=82y?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- notatki/md/03_owasp_http.md | 41 ++++++++++++++++++++++++++++++++++++- zadania.md | 13 ++++++++++-- 2 files changed, 51 insertions(+), 3 deletions(-) diff --git a/notatki/md/03_owasp_http.md b/notatki/md/03_owasp_http.md index c7d776b..b239610 100644 --- a/notatki/md/03_owasp_http.md +++ b/notatki/md/03_owasp_http.md @@ -5,7 +5,8 @@ backgroundColor: #fff backgroundImage: url('img/hero-background.svg') --- -#


:shield: OWASP TOP 10:shield: +#

:shield: OWASP TOP 10 :shield: +# :shield: Nagłówki bezpieczeństwa HTTP :shield: --- @@ -15,3 +16,41 @@ backgroundImage: url('img/hero-background.svg') - Co kilka lat publikuje listę najpoważniejszych zagrożeń dla aplikacji webowych - Aktualna wersja: [OWASP Top 10 2021](https://owasp.org/Top10/) - Nowa wersja jest spodziewana w pierwszej połowie 2025 roku + +--- +#


:shield:Nagłówki HTTP :shield: + +--- + +# Nagłówek HTTP - Content Security Policy (CSP) +- [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) - polityka bezpieczeństwa treści +- Zabezpiecza przed atakami typu XSS (Cross-Site Scripting) +- Określa, jakie zasoby mogą być załadowane na stronie +- Jest wykorzystywany przez przeglądarkę +- Polityka działa w trybie *Allow-List* +- Przy budowaniu polityki można korzystać z trybu *Report-Only* + +--- + +# Nagłówek HTTP - Access-Control-Allow-Origin (CORS) +- [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) - Zasady udostępniania zasobów między różnymi domenami +- Określa, czy zasób może być udostępniany między różnymi domenami +- Wartość nagłówka może być ustawiona na konkretną domenę lub na znak * dla wszystkich +- Nagłówek nie wspiera wyrażeń regularnych! + +--- + +# Nagłówek HTTP - Cache-Control +- [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control) - określa, jak należy przechowywać dany zasób +- Pozwala na kontrolę ważności danego zasobu na poziomie: + - aplikacji + - przeglądarki + - CDN - Content Delivery Network + +--- + +# Plik *robots.txt* +- [robots.txt](https://developers.google.com/search/docs/advanced/robots/intro) - plik tekstowy, który określa, które zasoby mogą być indeksowane przez boty +- Jest dostępny w postaci pliku tekstowego pod adresem `https://[domain address]/robots.txt` +- Może też wskazywać na plik `sitemap.xml` + diff --git a/zadania.md b/zadania.md index 80fa903..7289aee 100644 --- a/zadania.md +++ b/zadania.md @@ -32,5 +32,14 @@ 3. Zapoznaj się z ofertą [AWS Free Tier](https://aws.amazon.com/free/) 4. Po zakończeniu ćwiczeń, usuń maszynę wirtualną EC2. -## OWASP -1. Zapoznaj się z projektami [OWASP](https://owasp.org/projects/) \ No newline at end of file +## OWASP i Nagłówki HTTP + +1. Zapoznaj się z projektami [OWASP](https://owasp.org/projects/) +2. Zapoznaj się z nagłówkami bezpieczeństwa HTTP: + - [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) + - [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) + - [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control) + - [robots.txt](https://en.wikipedia.org/wiki/Robots.txt) + Sprawdź jakie nagłówki i zawartość pliku robots.txt są dostępne różnych stronach internetowych. +3. Za pomocą dodatków do przeglądarki WWW, np. [ModHeader](https://modheader.com/) spróbuj zbudować politykę CSP dla wybranej strony internetowej, np. [https://wmi.amu.edu.pl/](https://wmi.amu.edu.pl/) +4. Sprawdź co oznacza wartość `no-cache` w nagłówku `Cache-Control`. \ No newline at end of file