All posts for: RSA

W tym artykule, kontynuując naszą serię, wracamy do tematu zabezpieczania usług backendowych za pomocą zaawansowanych technik szyfrowania oraz podpisywania żądań kluczami RSA w kontekście frameworku Flask dla Pythona. Skupimy się na zapewnieniu nie tylko poufności danych poprzez szyfrowanie, ale także ich integralności i autentyczności za pomocą sygnatur RSA. Przedstawię, jak zaimplementować szyfrowanie i deszyfrowanie danych oraz integrację z podpisem, aby chronić komunikację przed różnymi zagrożeniami, takimi jak chociażby ataki typu replay. Celem artykułu jest przedstawienie innych możliwych mechanizmów zabezpieczania komunikacji niż przypinanie certyfikatów oraz dodanie kolejnej warstwy bezpieczeństwa oprócz szyfrowania oferowanego przez HTTPS.

W tym artykule ponownie zagłębię się w temat testowania API, które jest zabezpieczone przez mechanizmy szyfrowania i podpisywania żądań przy użyciu kluczy RSA. Jesteście już zaznajomieni z tymi mechanizmami z moich poprzednich postów. Jednak zdecydowałem się powrócić do tego tematu, aby przedstawić rozwiązania dostosowane do oprogramowania Zed Attack Proxy (ZAP), gdzie zachowanie wygląda inaczej. Co więcej, w tym artykule pokażę, jak wykorzystać dwa różne skrypty, uruchamiane w odpowiedniej kolejności, aby modyfikować żądania w locie w sposób oczekiwany przez stronę serwerową. Dzięki takim rozwiązaniom testowanie API staje się znacznie prostsze, ponieważ nie musimy już skupiać się na stosowanych mechanizmach bezpieczeństwa. Dodatkowo, podział skryptów według ich odpowiedzialności znacznie ułatwia ich użytkowanie i pozwala na ich ponowne użycie bez modyfikacji.

W tym artykule zamierzam przedstawić kolejny mechanizm zabezpieczający żądania API, którego implementacja była znaczącym elementem projektu w świecie rzeczywistym. Omawiany mechanizm wyróżnia się dodatkową warstwą bezpieczeństwa poprzez szyfrowanie treści żądań za pomocą kluczy RSA. Stanowi to dodatkowe zabezpieczenie, które może skutecznie uzupełnić standardowy protokół HTTPS. Ponadto, w późniejszej części artykułu zostaną wprowadzone podpisy przy użyciu kluczy RSA jako wisienka na torcie, zapewniające weryfikację integralności wysyłanych komunikatów. Cała komunikacja będzie również dodatkowo zabezpieczona przed potencjalnymi atakami typu replay.

W poprzednich artykułach opisałem, jak można wykorzystać oprogramowanie ZAP i Burp do testowania bezpieczeństwa aplikacji internetowych, które implementują walidację podpisu żądania przy użyciu kluczy RSA. Na podstawie zainteresowania tymi artykułami doszedłem do wniosku, że warto również przedstawić przykład implementacji z drugiej strony, a mianowicie jak można to zaimplementować po stronie serwera. W tym artykule pokażę, jak można samodzielnie zaimplementować walidację podpisu żądania przy użyciu kluczy RSA w prosty sposób, używając języka Python i frameworka Flask.

Jeden z członków organizacji OWASP zapytał mnie, czy chciałbym przedstawić metodę testowania API zabezpieczonego kluczami RSA za pomocą ZAP. Początkowo nie byłem pewien, czy sobie poradzę, ponieważ na co dzień używam Burpa, ale jak to często bywa w naszym zawodzie, trzeba ciągle ewoluować i eksplorować nowe możliwości. Dlatego zgodziłem się i w tym artykule opisuję, jak można testować API zabezpieczone mechanizmem podpisywania żądań za pomocą kluczy RSA, tym razem wykorzystując skryptowanie w Zed Attack Proxy (ZAP).

W tym artykule chciałbym opisać mechanizm bezpieczeństwa żądań API, z którym spotkałem się w jednym z moich projektów. Mechanizm ten wykorzystuje klucze RSA do weryfikacji integralności żądań oraz wprowadza dodatkową funkcję zabezpieczającą przed atakami typu replay.

Mój autorski wpis, opublikowany na blogu ZAP, zagłębia się w nowy skrypt w repozytorium community-scripts, który ułatwia podpisywanie wychodzących żądań przy użyciu kluczy RSA. Odpowiada to na wyjątkowe wyzwanie testowania aplikacji wymagających tej konkretnej funkcjonalności. Atykuł w całości napisany po angielsku.