niedziela, 18 grudnia 2016

OWIN - problemy (MVC)

Integrowałem ostatnio kilka aplikacji z social media korzystając z OWINa napotykając się na kilka specyficznych problemów, których rozwiązanie zajęło mi chwile.

Problem nr 1 : Google przekierowuje do URL_APPKI/sigin-google mimo, że nie przekierowywujemy do takiego kontrolera
Niestety tak działa provider dla Google'a i trzeba dodać taki redirectUrl.

Problem nr 2 : Facebook - brak autoryzacji po przekierowaniu mimo, że otrzymujemy autoryzację

niedziela, 11 grudnia 2016

IIS nagłówki - dlaczego warto usuwać

Dawno temu zapisałem sobie, że warto o tym napisać posta - i do dzisiaj nie znalazłem czasu, żeby zacząć temat.

Domyślnie, dla IIS, dostajemy następujące informacje:
  1. wersja serwera (np. Server: Microsoft-IIS/10.0)
  2. wersja .NET (np. X-AspNet-Version:4.0.30319)
  3. wersja MVC (np. X-AspNetMvc-Version:5.2)
  4. informację o tym, że mamy do czynienia z ASP.NET (X-Powered-By:ASP.NET)

Usunięcie tych informacji jest ważne ze względu na automatyczne skanery. W razie 0-day'ów serwer jest nijako "automatycznie" wskazany jako cel ataków - atakujący doskonale wie, bez głębokiej analizy, z jakim serwerem i oprogramowaniem ma/może mieć do czynienia i może prowadzić dalszą analizę pod kątem błędów w infrastrukturze. Zatem nawet, jeśli aplikacja jest bezpieczna pod kątem implementacji, to zagrożona może być infrastruktura.