Post on 18-Jul-2015
• Starszy Specjalista ds. Bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych
• Trener
• (Były) programista
• OWASP Poland, członek zarządu
Kto zacz?
Czemu testować bezpieczeństwo procesów?
Na co ta wiedza mi?
Ja zajmuję się programowaniem a nie bezpieczeństwem! ;)
Bezpieczeństwo procesów?!
Web developer
• Pokazuje pola ukryte na formularzu
• Zdejmuje ograniczenie długości pól
• Uaktywnia pola zablokowane (disabled)
• Zamiana pól wyboru na tekstowe
Przyda się
• Edycja elementu danych
• Przypomnienie hasła
• Zmiana nr telefonu do autoryzacji SMS
• Zlecenie z autoryzacją X 3
Przykłady
Proces
• Wybór elementu danych z listy
• Zmiana danych
• Zapisanie zmian (+ ew. autoryzacja)
Edycja elementu danych
Proces
• Wybór elementu danych z listy
• Zmiana danych
• Zapisanie zmian (+ ew. autoryzacja)
Identyfikator elementu danych w polu ukrytym jest kroku 1 i 2
Edycja elementu danych
Proces
• Podanie adresu email
• Podanie kodu otrzymanego na email
• Zmiana hasła
Przypomnienie hasła
Proces
• Podanie treści kodu sms, który przyszedł na stary telefon
• Podanie nowego numeru telefonu
• Podanie treści kodu sms, który przyszedł na nowy telefon
• Zapisanie zmiany
Zmiana nr telefonu
Proces
• Uzupełnienie danych zlecenia
• Możliwa autoryzacja od razu, lub zapisanie operacji do
późniejszej autoryzacji
Zlecenie z autoryzacją
Proces
• Uzupełnienie danych zlecenia
• Możliwa autoryzacja od razu, lub zapisanie operacji do
późniejszej autoryzacji
Podpowiedź: Proszę Państwa, to jest proste ;)
Zlecenie z autoryzacją
Proces
• Uzupełnienie danych zlecenia
• Możliwa autoryzacja od razu, lub zapisanie operacji do
późniejszej autoryzacji
Zlecenie z autoryzacją
Proces
• Uzupełnienie danych zlecenia
• Możliwa autoryzacja od razu, lub zapisanie operacji do
późniejszej autoryzacji
Podczas wykonania autoryzacji przesyłane są dane transakcji
Zlecenie z autoryzacją
Proces
• Uzupełnienie danych zlecenia
• Możliwa autoryzacja od razu, lub zapisanie operacji do
późniejszej autoryzacji
Zlecenie z autoryzacją
Proces
• Uzupełnienie danych zlecenia
• Możliwa autoryzacja od razu, lub zapisanie operacji do
późniejszej autoryzacji
Dostępne akcje na formularzu to:
• signandsend
• save
Zlecenie z autoryzacją