Integrowałem ostatnio kilka aplikacji z social media korzystając z OWINa napotykając się na kilka specyficznych problemów, których rozwiązanie zajęło mi chwile.
Problem nr 1 : Google przekierowuje do URL_APPKI/sigin-google mimo, że nie przekierowywujemy do takiego kontrolera
Niestety tak działa provider dla Google'a i trzeba dodać taki redirectUrl.
Problem nr 2 : Facebook - brak autoryzacji po przekierowaniu mimo, że otrzymujemy autoryzację
niedziela, 18 grudnia 2016
niedziela, 11 grudnia 2016
IIS nagłówki - dlaczego warto usuwać
Dawno temu zapisałem sobie, że warto o tym napisać posta - i do dzisiaj nie znalazłem czasu, żeby zacząć temat.
Domyślnie, dla IIS, dostajemy następujące informacje:
Usunięcie tych informacji jest ważne ze względu na automatyczne skanery. W razie 0-day'ów serwer jest nijako "automatycznie" wskazany jako cel ataków - atakujący doskonale wie, bez głębokiej analizy, z jakim serwerem i oprogramowaniem ma/może mieć do czynienia i może prowadzić dalszą analizę pod kątem błędów w infrastrukturze. Zatem nawet, jeśli aplikacja jest bezpieczna pod kątem implementacji, to zagrożona może być infrastruktura.
Domyślnie, dla IIS, dostajemy następujące informacje:
- wersja serwera (np. Server: Microsoft-IIS/10.0)
- wersja .NET (np. X-AspNet-Version:4.0.30319)
- wersja MVC (np. X-AspNetMvc-Version:5.2)
- informację o tym, że mamy do czynienia z ASP.NET (X-Powered-By:ASP.NET)
Usunięcie tych informacji jest ważne ze względu na automatyczne skanery. W razie 0-day'ów serwer jest nijako "automatycznie" wskazany jako cel ataków - atakujący doskonale wie, bez głębokiej analizy, z jakim serwerem i oprogramowaniem ma/może mieć do czynienia i może prowadzić dalszą analizę pod kątem błędów w infrastrukturze. Zatem nawet, jeśli aplikacja jest bezpieczna pod kątem implementacji, to zagrożona może być infrastruktura.
Subskrybuj:
Posty (Atom)