Udostępnianie bezpiecznych usług. ug w sieci Internet. Gerard Frankowski. VII Seminarium StartUp-IT 2008

Wielkość: px
Rozpocząć pokaz od strony:

Download "Udostępnianie bezpiecznych usług. ug w sieci Internet. Gerard Frankowski. VII Seminarium StartUp-IT 2008"

Transkrypt

1 Udostępnianie bezpiecznych usług ug w sieci Internet Gerard Frankowski Zespół Bezpieczeństwa PCSS VII Seminarium StartUp-IT Poznań,

2 Agenda Wprowadzenie Nowoczesny startup w Internecie Specyfika masowych usług elektronicznych Kto odpowiada za bezpieczeństwo? Błędy, zagrożenia, sposoby ochrony Błędy w projekcie i kodzie aplikacji Błędy w konfiguracji usług i systemów Podsumowanie, pytania, dyskusja 2

3 Wprowadzenie 3

4 Cel prezentacji Ułatwienie startu działalności nowoczesnego mikroprzedsiębiorstwa dzięki oferowaniu bezpiecznych usług w Internecie Dla kogo jest ta prezentacja? Decydent / właściciel Projektant / programista Administrator Prezentacja nie jest dla użytkowników! 4

5 Nowoczesny startup w Internecie StartUp-IT nowoczesne mikrobiznesy Firma z sektora IT Rodzaj oferowanej usługi (np. e-sklep, e hosting, płatności, portal aukcyjny / społecznościowy) Kwestie niezależne od specyfiki firmy Reklama, kontakt z użytkownikami (strona WWW, forum, helpdesk) Dostęp do usług z poziomu sieci wewnętrznej (poczta, WWW) Wymogi zewnętrzne np. e-rozliczeniae 5

6 Specyfika usług internetowych Większość usług ma za zadanie dotrzeć do maksymalnie licznej grupy docelowej Przeciętny użytkownik nie posiada wiedzy na temat bezpieczeństwa IT Usługi zorientowane na użyteczność Charakter przetwarzanych danych Dane uwierzytelniające, osobowe (np. adres) Historia działań (np. zakupów) Numery kart kredytowych, płatności elektroniczne 6

7 Ogólne zagroŝenia usług WWW Ataki na serwery sieciowe Szpiegostwo przemysłowe Szkodzenie konkurencji Ataki na komputery użytkowniku ytkowników Przejmowanie maszyn Kradzież mocy obliczeniowej Kradzież danych osobowych i tożsamo samości Rozsyłanie spamu Szantaż Organizowanie botnetów ataki DDoS itd. 7

8 Kto odpowiada za bezpieczeństwo? 8

9 Kto odpowiada za bezpieczeństwo? Decydent / projektanci Pomysł jaka usługa będzie oferowana? Jaki jest budżet? Przetarg: użyteczność a bezpieczeństwo Programiści Implementacja projektu Ograniczani przez zakres projektu Administratorzy Konfigurują i udostępniaj pniająusługę, system operacyjny, sieć, urządzenia dostępowe,... Ograniczeni przez możliwości usług i systemów, budżet na bezpieczeństwo,... 9

10 Inwestycje w bezpieczeństwo w firmie Inwestycja w bezpieczeństwo nie przynosi natychmiastowych, namacalnych korzyści Za to istnieją koszty (często spore) Specyfika mikroprzedsiębiorstw Rolę decydenta, projektanta, programisty i testera pełnić może nawet jedna osoba! 10

11 Problem uŝytkownika? Zwłaszcza w przypadku usług masowych, użytkownik nie posiada specjalistycznej wiedzy Powinien za to mieć (i stosować) ) wiedzę ogóln lną Rola usługodawcy w kształtowaniu świadomości użytkownika-klienta klienta Promocja pożądanych zachowań Odpowiedni interfejs użytkownika Strawnie podana wiedza Bezpieczeństwo usługi nie może być tylko problemem jej użytkownika 11

12 Błędy, zagroŝenia, sposoby ochrony 12

13 Krótki przegląd Błędy w projekcie i kodzie Błędy w projektowaniu funkcjonalności Znaczenie filtrowania danych Ataki XSS (Cross( Site Scripting) Ataki SQL Injection Remote Code Execution Błędy w konfiguracji serwerów Ataki Information Disclosure ASP.NET / IIS MS SQL Server 2005 Powyższa lista absolutnie nie wyczerpuje tematu! 13

14 Błędy w projekcie funkcjonalności Przyjęcie niewłaściwych założeń co do funkcjonalności Przykład: logowanie 2-etapowe: 2 zatwierdzenie nazwy użytkownika, a dopiero potem prośba o podanie hasła Możliwość enumeracji użytkowników Uwzględnienie niewystarczających metod zabezpieczenia usługi Przykład: brak szyfrowania komunikacji lub brak wymuszania silnych algorytmów 14

15 Główna przyczyna problemów Nieodpowiednie filtrowanie danych (lub jego brak) to bezpośredni rednia przyczyna większo kszości najpoważniejszych niejszych luk bezpieczeństwa Przepełnienie bufora XSS (Cross( Site Scripting) SQL Injection Remote Code Execution Nie można ufać ć żadnym ż danym wejściowym, zwłaszcza pochodzącym cym od użytkownika u Także: bazy danych, zmienne środowiskowe,... ALL INPUT IS EVIL!!! 15

16 Jak sytuacja wygląda w praktyce? Czy filtrowanie jest istotnie aż takim problemem? Grafika: 16

17 Wprowadzenie do filtrowania danych Brak Czarne listy (black( lists) Definiujemy dane, które odrzucimy Białe e listy (white( lists) Definiujemy dane, które dopuścimy Problemem obu rodzajów w list może e być skomplikowana definicja Wyrażenia regularne Dodatkowe mechanizmy weryfikacji Sprawdzanie typu i wartości Enumeracja wartości (np. dni tygodnia, nazwy miesięcy) 17

18 Przykład: wyraŝenie regularne w ASP Zadanie: Przesłać kod pocztowy metodą GET wyrażenie regularne: ^[0-9]{2,2} 9]{2,2}-[0-9]{3,3}$ adres URL: anyserver.com/code.asp?code= <% set code = request.querystring querystring(" ("code") set re = new RegExp re.pattern Pattern="^[0-9]{2,2} 9]{2,2}-[0-9]{3,3}$" if re.test(.test(code) then ' Postal code OK - run normally else ' Bad postal code - handle the error end if %> 18

19 Atak XSS - opis XSS: Cross Site Scripting Zagrożone one sąs strony, na których wyświetlana wietlana treść częś ęściowo zależy y od użytkownikau komentarze, fora dyskusyjne formularze internetowe, wyszukiwarki strony pobierające parametry tekstowe metodą POST/GET Opis ataku Napastnik wysyła a do podatnej strony ciąg g znaków w będący b kodem np. JavaScript Nazywam się <script>alert( >alert(document.cookie)</ )</script> Ciąg g znaków w staje się elementem wyświetlanej wietlanej strony, przeglądarka wykonuje kod 19

20 Atak XSS - przykład Trywialny przykład strona pobiera z URL parametr o nazwie name <%response response.write(request.querystring querystring(" ("name"))%> service.com?name=<script>alert( >alert(document.cookie) </script script> 20

21 Ataki XSS - zagroŝenia Utrudnianie życia użytkownikomu Wyskakujące okienka Kradzież danych sesji użytkownikau Przesyłanie cookies na serwer kontrolowany przez napastnika Zaawansowane ataki XSS Skanowanie portów w TCP w zdalnej sieci Podsłuchiwanie rozmów w (ActiveX( EasycallLite.ocx ocx) Odwołania do wybranych stron z przeglądarki ofiary 21

22 Obrona przed atakami XSS Odpowiedzialny: projektant/programista Odpowiednie filtrowanie danych, w szczególno lności pod kątem występowania znaków w <, > O ile to możliwe, najlepiej stosować technikę białej listy Definiowanie cookies z atrybutem httponly 22

23 Atak SQL Injection SQL Injection atak na bazę danych Zagrożone one sąs strony budujące zapytania bazodanowe przy pomocy parametrów w uzyskanych od użytkownikau Przebieg ataku Napastnik przekazuje złośliwe z parametry do zapytania Sfałszowane zapytanie powoduje wyświetlenie wietlenie na wynikowej stronie WWW innych danych niżn zakładano, adano, ich większej ilości lub informacji o strukturze bazy W skrajnym przypadku zostaje wykonane polecenie języka obsługi baz danych Napastnik uzyskuje dalsze informacje, pozwalające mu lepiej ukierunkować atak 23

24 Atak SQL Injection - podatny kod Strona pobiera z formularza parametr nazwisko set nazwisko = request.form("nazwisko") set objconn = Server.CreateObject("ADODB.Connection") objconn.open <CONNECTION_STRING> strsql = "SELECT * FROM pensje WHERE Nazwisko ='" strsql = strsql & nazwisko strsql = strsql & "'" set objrs = Server.CreateObject("ADODB.Recordset") objrs.open strsql, objconn do while not objrs.eof response.write("<br>") for each x in objrs.fields response.write(" " & x.name & " = " & x.value & " ") next objrs.movenext loop objconn.close 24

25 Atak SQL Injection - przykład Dostęp do danych nazwisko: Baker or 1=1-- SQL Server 2005 SELECT * FROM pensje WHERE Nazwisko = Baker or 1=1-- 25

26 Atak SQL Injection - przykład 2 Modyfikacja danych Nazwisko: ' insert into pensje (Lp, Imie, Nazwisko, Pensja) values(5, Gerard, Frankowski', 10000)-- SQL Server

27 Atak SQL Injection - zagroŝenia Nieautoryzowany dostęp p do danych Modyfikacja rekordów w bazy danych Dodanie lub usunięcie rekordów Usunięcie bazy danych Wykonywanie poleceń ń środowiska ś bazy danych i potencjalnie poleceń systemowych 27

28 Atak SQL Injection - obrona Odpowiedzialny: programista Filtrowanie danych wejściowych użytkownika u pod kątem k obecności ci znaków w specjalnych używanej u wersji języka j obsługi baz danych Filtrowanie równier wnież danych odczytanych z bazy! Odpowiedzialny: administratora Bezpieczna konfiguracja k środowiska bazodanowego Zasada minimalnych uprawnień Odpowiednia polityka kontroli dostępu Restrykcje dostępu na poziomie systemu operacyjnego 28

29 Sesja internetowa Protokół HTTP jest bezstanowy Rozróżnianie tożsamości użytkowników jest kluczowe dla korzystania z e-usługe Sesja internetowa Wyróżniany przez session ID zbiór r informacji o połą łączeniu Po stronie serwera plik sesji lub baza danych Po stronie klienta ciasteczka (cookies( cookies) 29

30 Ataki na sesje przykład Warunki Usługa umożliwia zdefiniowanie własnego w session ID Przebieg ataku Napastnik podsuwa p ofierze link Jak oszukać skarbówkę?? KliknijK tutaj! Pod linkiem kryje sięurl URL: usluga.pl/< /<script>document.cookie= sessionid=abcd ;</script> Ofiara klika link,, co powoduje nawiązanie sesji z usługąu usluga.pl z identyfikatorem sesji abcd Napastnik co jakiś czas próbuje nawiąza zaćsesję z tym samym identyfikatorem Po udanej próbie napastnik przechwytuje sesję ofiary 30

31 Ataki na sesje zagroŝenia Ujawnienie informacji o serwerze Poszczególne serwery WWW obsługują sesje w różny sposób Kradzież sesji użytkownika u Podszycie się pod ofiarę Kradzież tożsamo samości ofiary i jej konsekwencje: kradziek radzieżdanych, zawarcie fałszywej umowy, kradzież środków w finansowych, uzyskanie danych będących podstawą do szantażu,... 31

32 Ataki na sesje - obrona Odpowiedzialny: administrator Odpowiednia konfiguracja serwera WWW /.NET Unikanie wyświetlania wietlania informacji o błęb łędach użytkownikowi Odpowiedzialny: projektant/programista Bezpieczna konfiguracja sesji Czas życia ciasteczka oraz sesji Atrybuty secure, httponly Wymuszanie wartości session ID po stronie serwera 32

33 Ataki Information Disclosure Narażone sąs źle skonfigurowane serwery Usługi ujawniają szczegółowe informacje o błęb łędach, wersje oprogramowania, ścieżki,... ASP: trace.vxd PHP: phpinfo.php Informacje te mogą być przydatne w planowaniu dalszych ataków Bezpośrednie zagrożenie dla samej usługi, pośrednie dla jej klientów Odpowiedzialny: administrator Wyłą łączenie raportowania błęb łędów w na stronach WWW Zapis informacji o błęb łędach do pliku logu 33

34 Information Disclosure - przykład Dodatkowe metody ochrony: Własne pliki z komunikatami o błędach Wyłączenie możliwości przeglądania zawartości katalogów 34

35 Zdalne wykonywanie poleceń Zagrożone one sąs strony: Pozwalające na załadowanie adowanie przez użytkownika u własnych w plików, a następnie odwoływanie się do nich Uruchamiające ce polecenia systemowe z parametrami przekazanymi przez użytkownikau Odpowiedzialny: projektant/programista Rozważenie, czy funkcjonalność jest konieczna Filtrowanie typów w plików ładowanych na serwer Filtrowanie treści parametrów w poleceń pod kątem k występowania znaków w specjalnych powłoki oki 35

36 Zdalne wykonywanie poleceń atak Warunki: Użytkownik forum może wgrać plik z informacjami o sobie Można odwołać się bezpośrednio do ścieżki, w której znajduje się wgrany plik Nie jest sprawdzana nazwa i zawartość pliku Przebieg ataku Użytkownik wgrywa skrypt ASP/PHP zawierający polecenia systemowe Użytkownik wywołuje adres URL odwołujący się do pliku Polecenia są wykonywane z uprawnieniami serwera WWW 36

37 Zdalne wykonywanie poleceń atak 2 37

38 Błędy w konfiguracji systemów 38

39 Serwer WWW Dlaczego serwer WWW? Hosting strony WWW firmy Udostępnianie usług hostingowych Oferowanie innych usług przez WWW Aplikacje intranetowe Należy pamiętać o atakach z wewnątrz sieci Narzędzia testujące Dinis Cruz, OWASP ANSA Asp.Net Security Analyser ANBS Asp.Net Baseline Security v

40 40

41 Top 10 don ts in ASP.NET conf. files Custom Errors Disabled Leaving Tracing Enabled Leaving Debugging Enabled Cookies Accessible Through Client-Side Script Cookieless Session State Enabled Cookieless Authentication Enabled Failure to Require SSL for Authentication Cookies Sliding Expiration Used Non-Unique Authentication Cookie Used Hardcoded Credentials Used 41

42 Bezpieczna konfiguracja.net / IIS Pliki konfiguracyjne ASP.NET Web.config (globalny i lokalne) Machine.config config (globalny) Ograniczenie uprawnień aplikacji webowych (do poziomu medium) Współdzielony hosting: : blokada możliwości zmiany uprawnień na poziomie pojedynczej aplikacji webowej Restrykcje dostępu do usługi ugi WMI,, WSH IIS: Tworzenie oddzielnych pul aplikacji Limity przydziału czasu procesora Limity przydziału pamięci 42

43 Web.config C:\WINDOWS WINDOWS\Microsoft.NET\Framework\<versi on>\config CONFIG\Web. Web.config <location allowoverride="false false"> <system.web web> <securitypolicy>... </securitypolicy securitypolicy> <trust level="medium" originurl="" /> </system.web web> </location location> 43

44 Web.config / Machine.config Globalny Web.config config: <system.web web> <trace enabled=" ="false" localonly=" ="true" " /> <httpcookies httponlycookies=" ="true"/> <customerrors mode=" ="RemoteOnly" " /> <authentication mode=" ="Forms"> <forms name="{abcd }" slidingexpiration=" ="false" requiressl=" ="true" " /> </authentication authentication> </system.web web> Machine.config config: <system.web web> <deployment retail=" ="true" /> </system.web web> 44

45 Serwer baz danych Dlaczego serwer baz danych? Wsparcie dla serwera WWW Bazy danych produktów, klientów,... Baza danych w intranecie Ataki z wewnątrz sieci Narzędzia, materiały Narzędzia konfiguracyjne SQL Server 2005 SQL Server Best Practices Analyser /technet/article/art0056_01.mspx blogs.msdn.com/sqlrem Skrypty Gustavo o Duarte SQL Server duartes.org/gustavo/articles/lock-down-sql-server Server aspx 45

46 Procedury składowane Procedury składowane Zwykłe: sp_xxx _xxx,, rozszerzone: r xp_xxx Domyślnie dostępne dla zwykłego użytkownikau ytkownika, np.: xp_regread (odczyt kluczy z rejestru Windows) xp_revokelogin / xp_grantlogin (nadawanie i odbieranie uprawnień logowania) Procedury nie zwrócą sensownych wyników w przy założ łożeniu dobrej konfiguracji systemu operacyjnego Blokada użycia u procedury składowane adowanej: REVOKE EXECUTE ON <name< name> > FROM public Szczególną uwagę należy zwrócić na procedurę xp_shellcmd 46

47 Ciekawostka: procedury składowane Enumeracja kont użytkowniku ytkowników w przy pomocy procedury xp_revokelogin Istniejąca nazwa konta Nieistniejąca nazwa konta 47

48 Ochrona serwera baz danych Ochrona na wyższych poziomach Sieć, firewall,, IDS/IPS,... System operacyjny Unikanie Mixed Mode Authentication Restrykcje dostępowe do baz master, msdb (USE master) REVOKE VIEW ANY DATABASE FROM public (USE msdb) ) REVOKE CONNECT TO guest Logowanie zdarzeń Osobna grupa użytkowniku ytkowników-administratorów w SQL Wykorzystanie schematów w i rólr Zastrzeżenie enie dostępu do metadanych 48

49 Podsumowanie 49

50 Przygotowanie bezpiecznej usługi (1) Pomysł Projekt Jaka funkcjonalność i dla kogo? Wybór technologii i rozwiązań Zgodność z prawem polskim i międzynarodowym Wiedza i świadomość Znajomość zagrożeń związanych z usługą Znajomość zagrożeń związanych z technologiami Ogólne zasady bezpieczeństwa IT Zasada minimalnych przywilejów (minimum privileges principle) Zasada dogłębnej ochrony (security( in-depth depth) 50

51 Przygotowanie bezpiecznej usługi (2) Budowa i konfiguracja środowiska System operacyjny Rozwiązania serwerowe Konfiguracja sieci Tworzenie usługi CMS czy własny kod? Konfiguracja usługi Wybór rozwiązania bezpiecznych płatności Niezależny audyt bezpieczeństwa Wstępny Cykliczny 51

52 Co warto zapamiętać? Usługi internetowe są narażone na szereg ataków Szczególnie zagrożone one sąs usługi ugi związane zane z przepływem danych osobowych i środków w finansowych (np. e-sklepy, e portale społecznościowe) Główną rolę w zabezpieczaniu e-use usług ug odgrywają ich twórcy oraz administratorzy systemów Najpoważniejszym i najczęściej występującym błędem jest nieodpowiednie filtrowanie danych lub jego brak Odpowiednie zabezpieczenie usług to kwestia kluczowa i złożona, ale nie do uniknięcia Knowing how to live with insecurity is the only security J. Allen Paulos 52

53 Więcej informacji (przykłady) Planowany cykl artykułów na portalu Startup-it it.pl,, rozszerzający tematykę dzisiejszej prezentacji Raport Zespołu u Bezpieczeństwa PCSS nt. bezpieczeń eństwa e-sklepe sklepów (np. sesje internetowe) security.psnc.pl/reports/sklepy_internetowe_cookies.pdf Szkolenia MIC mic.psnc.pl/pl/events/ev_ _ html (bezpieczny kod) mic.psnc.pl/pl/events/ev_ _ html (bezpieczeństwo w firmie) MS Security Guidance for IIS /IIS.mspx TOP 10 Don ts in ASP.NET configuration files The Open Web Application Security Project 53

54 Informacje kontaktowe Autor prezentacji gerard.frankowski Centrum Innowacji Microsoft mic.psnc.plpl man.poznan.plpl PCSS Zespół Bezpieczeństwa PCSS security.psnc.plpl man.poznan.plpl 54

55 Pytania i dyskusja Dziękuj kuję za uwagę! 55

sklepów w internetowych Gerard Frankowski, BłaŜej Miga PCSS

sklepów w internetowych Gerard Frankowski, BłaŜej Miga PCSS Z kłódką na zakupy - bezpieczeństwo sklepów w internetowych Gerard Frankowski, BłaŜej Miga Zespół Bezpieczeństwa PCSS 1 Poznań,, 13.05.2008 Agenda Kim jesteśmy i co robimy? Zespół Bezpieczeństwa PCSS Bezpieczeństwo

Bardziej szczegółowo

Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe

Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe Gerard Frankowski Zespół Bezpieczeństwa PCSS Wielkopolska Konferencja Bezpieczny Internet Poznań, 29.10..10.2008 Agenda

Bardziej szczegółowo

Zabezpieczanie platformy Windows Server 2003

Zabezpieczanie platformy Windows Server 2003 Zabezpieczanie platformy Windows Server 2003 BłaŜej Miga, Marcin Jerzak support-mic mic@man. @man.poznan.pl II Konferencja MIC Nowoczesne technologie bliŝej nas Poznań, 13.05.2008 1 ZagroŜenia 2 Droga

Bardziej szczegółowo

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010 Bezpieczeństwo interoperacyjnego hostingu Gerard Frankowski, Zespół Bezpieczeństwa PCSS 4. Konferencja MIC Nowoczesne technologie bliżej nas Poznań, 04.03.2010 1 Agenda Wprowadzenie Zespół Bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo aplikacji webowych

Bezpieczeństwo aplikacji webowych Bezpieczeństwo aplikacji webowych Tomasz Nowocień nowocien@man.poznan.pl Zespół Bezpieczeństwa PCSS http://security.psnc.pl Szkolenie Działu KDM PCSS Poznań, 29.04.2009 1 Szkolenie - plan spotkania 10.00

Bardziej szczegółowo

Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań:

Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań: Zabezpieczanie aplikacji webowych w ASP.NET Gerard Frankowski Zespół Bezpieczeństwa PCSS Warsztaty Startup-IT Tworzenie serwisów internetowych Poznań, 26.02.2009 1 Agenda Kim jesteśmy i co robimy? PCSS

Bardziej szczegółowo

ASP.NET. Gerard Frankowski. XVI Spotkanie Poznańskiej Grupy ASP.NET 2009

ASP.NET. Gerard Frankowski. XVI Spotkanie Poznańskiej Grupy ASP.NET 2009 Bezpieczeństwo usług ug w ASP.NET Gerard Frankowski Zespół Bezpieczeństwa PCSS XVI Spotkanie Poznańskiej Grupy ASP.NET Poznań, 26.02.2009 2009 Agenda Kim jesteśmy i co robimy? - PCSS i Zespół Bezpieczeństwa

Bardziej szczegółowo

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy

Bardziej szczegółowo

Projektowani Systemów Inf.

Projektowani Systemów Inf. Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych

Bardziej szczegółowo

Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS

Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Wstęp Bezpieczny hosting IIS + ASP.NET - dobrana para ZagroŜenia przykładowe ataki Zabezpieczamy serwer

Bardziej szczegółowo

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp

Bardziej szczegółowo

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora

Bardziej szczegółowo

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka

Bardziej szczegółowo

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych Szkolenie przeznaczone jest dla osób chcących poszerzyć swoje umiejętności o tworzenie rozwiązań internetowych w PHP. Zajęcia zostały przygotowane w taki sposób, aby po ich ukończeniu można było rozpocząć

Bardziej szczegółowo

Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza

Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza zańmicrosoft Gerard Frankowski, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.0.06.2008.2008 Agenda (1) 11:00 Powitanie, wprowadzenie dla uczestników,

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of

Bardziej szczegółowo

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar) Tworzenie witryn internetowych PHP/Java (mgr inż. Marek Downar) Rodzaje zawartości Zawartość statyczna Treść statyczna (np. nagłówek, stopka) Layout, pliki multimedialne, obrazki, elementy typograficzne,

Bardziej szczegółowo

Drobne błędy w portalach WWW

Drobne błędy w portalach WWW Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting

Bardziej szczegółowo

Pawel@Kasprowski.pl Języki skryptowe - PHP. PHP i bazy danych. Paweł Kasprowski. pawel@kasprowski.pl. vl07

Pawel@Kasprowski.pl Języki skryptowe - PHP. PHP i bazy danych. Paweł Kasprowski. pawel@kasprowski.pl. vl07 PHP i bazy danych Paweł Kasprowski pawel@kasprowski.pl Użycie baz danych Bazy danych używane są w 90% aplikacji PHP Najczęściej jest to MySQL Funkcje dotyczące baz danych używają języka SQL Przydaje się

Bardziej szczegółowo

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7 I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego

Bardziej szczegółowo

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure Paweł Berus Zespół Bezpieczeństwa PCSS 36. Spotkanie Poznańskiej Grupy.NET Poznań, 13.10. 2011 1 Agenda

Bardziej szczegółowo

Polityka prywatności serwisu www.aran.com.pl

Polityka prywatności serwisu www.aran.com.pl Przedsiębiorstwo BudowlanoHandlowe Z.Niziński Polityka prywatności serwisu www.aran.com.pl 1. Informacje ogólne. Operatorem Serwisu [adres serwisu, np. www.blink.pl] jest [pełne dane rejestrowe] Serwis

Bardziej szczegółowo

OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)

Bardziej szczegółowo

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Cemarol Sp. z o.o. 1. Operatorem Serwisu www.powiat-lebork.com jest Cemarol sp. z o.o. z siedzibą w Kobylnicy (76-251), Kobylnica, ul. Główna

Bardziej szczegółowo

REFERAT O PRACY DYPLOMOWEJ

REFERAT O PRACY DYPLOMOWEJ REFERAT O PRACY DYPLOMOWEJ Temat pracy: Projekt i realizacja elektronicznego dziennika ocen ucznia Autor: Grzegorz Dudek wykonanego w technologii ASP.NET We współczesnym modelu edukacji, coraz powszechniejsze

Bardziej szczegółowo

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do Sesje i ciasteczka Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do śledzenia użytkownika podczas jednej sesji

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Pracownia internetowa w szkole ZASTOSOWANIA

Pracownia internetowa w szkole ZASTOSOWANIA NR ART/SBS/07/01 Pracownia internetowa w szkole ZASTOSOWANIA Artykuły - serwery SBS i ich wykorzystanie Instalacja i Konfiguracja oprogramowania MOL Optiva na szkolnym serwerze (SBS2000) Artykuł opisuje

Bardziej szczegółowo

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.10.2008 2008 Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer

Bardziej szczegółowo

Aspekty bezpieczeństwa aplikacji internetowych

Aspekty bezpieczeństwa aplikacji internetowych Aspekty bezpieczeństwa aplikacji internetowych Kamil Witecki (kamil@witecki.net.pl) Wojciech Wodo (wojciech.wodo@gmail.com) 21 kwietnia 2010 Kto, co, dlaczego? Popularne typy ataków Kim jesteśmy i dlaczego

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone Typy przetwarzania Przetwarzanie zcentralizowane Systemy typu mainfame Przetwarzanie rozproszone Architektura klient serwer Architektura jednowarstwowa Architektura dwuwarstwowa Architektura trójwarstwowa

Bardziej szczegółowo

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych. Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych. Jerzy Mikołajczak, Sebastian Petruczynik, Marek Zawadzki support-mic@man.poznan.pl 1 Plan prezentacji: 1. Wstęp

Bardziej szczegółowo

Agenda. Quo vadis, security? Artur Maj, Prevenity

Agenda. Quo vadis, security? Artur Maj, Prevenity Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS

Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS Kim jesteśmy? PCSS i MIC Paweł Berus, Zespół Bezpieczeństwa PCSS Konferencja IT Academic Day Poznań, 10.11.2011 1 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe (1993) Operator sieci PIONIER oraz POZMAN

Bardziej szczegółowo

Kontrola dostępu w ASP.NET

Kontrola dostępu w ASP.NET Ćwiczenie 13 Temat: Kontrola dostępu w ASP.NET Cel ćwiczenia: W ramach ćwiczenia student zapozna się mechanizmami kontroli dostępu obecnymi w ASP.NET. Nauczy się konfigurować uprawnienia poszczególnych

Bardziej szczegółowo

Smarty PHP. Leksykon kieszonkowy

Smarty PHP. Leksykon kieszonkowy IDZ DO PRZYK ADOWY ROZDZIA SPIS TREœCI KATALOG KSI EK KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG Smarty PHP. Leksykon kieszonkowy Autor: Daniel Bargie³ ISBN: 83-246-0676-9 Format: B6, stron: 112 TWÓJ KOSZYK

Bardziej szczegółowo

ActiveXperts SMS Messaging Server

ActiveXperts SMS Messaging Server ActiveXperts SMS Messaging Server ActiveXperts SMS Messaging Server to oprogramowanie typu framework dedykowane wysyłaniu, odbieraniu oraz przetwarzaniu wiadomości SMS i e-mail, a także tworzeniu własnych

Bardziej szczegółowo

Bazy danych i usługi sieciowe

Bazy danych i usługi sieciowe Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje

Bardziej szczegółowo

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 3 Inżynieria oprogramowania Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System

Bardziej szczegółowo

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.

Bardziej szczegółowo

Portal Security - ModSec Enterprise

Portal Security - ModSec Enterprise Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia

Bardziej szczegółowo

Przypisywanie bibliotek w architekturze SAS

Przypisywanie bibliotek w architekturze SAS SAS Institute TECHNICAL SUPPORT Przypisywanie bibliotek w architekturze SAS Platforma SAS pozwala na zdefiniowanie wspólnych zasobów w metadanych oraz ustalanie praw dostępu dla użytkowników i grup. Ze

Bardziej szczegółowo

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS Audyty bezpieczeństwa dla samorządów i firm Gerard Frankowski, Zespół Bezpieczeństwa PCSS 1 Plan prezentacji Wprowadzenie Dlaczego korzystanie z infrastruktur teleinformatycznych jest niebezpieczne? Czy

Bardziej szczegółowo

Wybrane ataki na urządzenia sieciowe Secure 2013. Michał Sajdak, Securitum sekurak.pl

Wybrane ataki na urządzenia sieciowe Secure 2013. Michał Sajdak, Securitum sekurak.pl Wybrane ataki na urządzenia sieciowe Secure 2013 Michał Sajdak, Securitum sekurak.pl O mnie Realizuję testy penetracyjne / szkolę z bezpieczeństwa IT securitum.pl Założyciel portalu sekurak.pl 2 Agenda

Bardziej szczegółowo

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs. www.poczta.greenlemon.pl

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs. www.poczta.greenlemon.pl Instrukcja do panelu administracyjnego do zarządzania kontem FTP WebAs www.poczta.greenlemon.pl Opracowanie: Agencja Mediów Interaktywnych GREEN LEMON Spis treści 1.Wstęp 2.Konfiguracja 3.Konto FTP 4.Domeny

Bardziej szczegółowo

Aplikacje WWW - laboratorium

Aplikacje WWW - laboratorium Aplikacje WWW - laboratorium PHP + bazy danych Celem ćwiczenia jest przygotowanie prostej aplikacji internetowej wykorzystującej technologię PHP. Aplikacja pokazuje takie aspekty, współpraca PHP z bazami

Bardziej szczegółowo

Praca Magisterska "System zdalnego składania ofert kupna i sprzedaży za pośrednictwem Internetu" AUTOR PROMOTOR

Praca Magisterska System zdalnego składania ofert kupna i sprzedaży za pośrednictwem Internetu AUTOR PROMOTOR System Oferta Praca Magisterska Niniejszy system powstał w ramach pracy magisterskiej "System zdalnego składania ofert kupna i sprzedaży za pośrednictwem Internetu". Politechnika Poznańska Wydział Informatyki

Bardziej szczegółowo

www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK) PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK) agenda I. opis systemu II. wykrywanie nowych ataków III. ataki aktualne robak PHP IV. open proxy znajdź

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Jak bezpieczne są Twoje dane w Internecie?

Jak bezpieczne są Twoje dane w Internecie? Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki Plan prezentacji

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Kancelaria Prawna.WEB - POMOC

Kancelaria Prawna.WEB - POMOC Kancelaria Prawna.WEB - POMOC I Kancelaria Prawna.WEB Spis treści Część I Wprowadzenie 1 Część II Wymagania systemowe 1 Część III Instalacja KP.WEB 9 1 Konfiguracja... dostępu do dokumentów 11 Część IV

Bardziej szczegółowo

12. Wirtualne sieci prywatne (VPN)

12. Wirtualne sieci prywatne (VPN) 12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia

Bardziej szczegółowo

E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL.

E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL. E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL. Autor: Larry Ullman Poznaj zasady wirtualnego handlu i zarabiaj prawdziwe pieniądze Jak stworzyć doskonałą witrynę sklepu internetowego? Jak

Bardziej szczegółowo

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh WorkingDoc CostControl WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh Agenda Omówienie rozwiązania Cechy i zalety WDCC vs. WDCC Lite Rozwiązanie techniczne Administracja/Raporty

Bardziej szczegółowo

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO UWAGA!!! Wskazówki dotyczą wybranych klientów pocztowych Zespół Systemów Sieciowych Spis treści 1. Konfiguracja klienta pocztowego Outlook Express 3 2. Konfiguracja

Bardziej szczegółowo

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia Bezpieczeństwo systemów komputerowych Java i JavaScript mgr Katarzyna Trybicka-Francik kasiat@zeus.polsl.gliwice.pl pok. 503 Java i JavaScript używane w celu dodania cech interaktywności do stron WWW mogą

Bardziej szczegółowo

6. Bezpieczeństwo przy współpracy z bazami danych

6. Bezpieczeństwo przy współpracy z bazami danych 6. Bezpieczeństwo przy współpracy z bazami danych 6.1. Idea ataku SQL injection Atak znany jako SQL injection jest możliwy wtedy, gdy użytkownik ma bezpośredni wpływ na postać zapytania wysyłanego do bazy

Bardziej szczegółowo

MS Windows Vista. Spis treści. Autor: Jacek Parzonka, InsERT

MS Windows Vista. Spis treści. Autor: Jacek Parzonka, InsERT MS Windows Vista Autor: Jacek Parzonka, InsERT Spis treści SPIS TREŚCI... 1 WSTĘP... 2 PROBLEMY... 2 UŻYWANIE AUTENTYKACJI WINDOWS DLA MS SQL SERVERA 2005 EXPRESS... 2 Run as administrator... 3 Modyfikacja

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Języki programowania wysokiego poziomu. PHP cz.4. Bazy danych

Języki programowania wysokiego poziomu. PHP cz.4. Bazy danych Języki programowania wysokiego poziomu PHP cz.4. Bazy danych PHP i bazy danych PHP może zostać rozszerzony o mechanizmy dostępu do różnych baz danych: MySQL moduł mysql albo jego nowsza wersja mysqli (moduł

Bardziej szczegółowo

Aplikacje WWW - laboratorium

Aplikacje WWW - laboratorium Aplikacje WWW - laboratorium PHP + bazy danych Celem ćwiczenia jest przygotowanie prostej aplikacji internetowej wykorzystującej technologię PHP. Aplikacja pokazuje takie aspekty, współpraca PHP z bazami

Bardziej szczegółowo

Dostęp do baz danych z serwisu www - PHP. Wydział Fizyki i Informatyki Stosowanej Joanna Paszkowska, 4 rok FK

Dostęp do baz danych z serwisu www - PHP. Wydział Fizyki i Informatyki Stosowanej Joanna Paszkowska, 4 rok FK Dostęp do baz danych z serwisu www - PHP Wydział Fizyki i Informatyki Stosowanej Joanna Paszkowska, 4 rok FK Bazy Danych I, 8 Grudzień 2009 Plan Trochę teorii Uwagi techniczne Ćwiczenia Pytania Trójwarstwowy

Bardziej szczegółowo

CYBEROAM Unified Treatment Management, Next Generation Firewall

CYBEROAM Unified Treatment Management, Next Generation Firewall CYBEROAM Unified Treatment Management, Next Generation Firewall Spis: 1. Cyberoam Technologies/portfolio 2. Funkcjonalności Cyberoam 3. Wyróżniki, przewagi na rynku 4. Interfejs i zarządzanie 5. Program

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Bezpieczeństwo aplikacji PHP hostowanych w środowisku. Windows. Gerard Frankowski, PCSS

Bezpieczeństwo aplikacji PHP hostowanych w środowisku. Windows. Gerard Frankowski, PCSS Bezpieczeństwo aplikacji PHP hostowanych w środowisku Windows Gerard Frankowski, PCSS III Konferencja MIC Nowoczesne technologie bliŝej nas Poznań,, 16.04.2009 1 Agenda Bezpieczeństwo w MIC O O czym dziś

Bardziej szczegółowo

Tworzenie i wykorzystanie usług sieciowych

Tworzenie i wykorzystanie usług sieciowych Ćwiczenie 14 Temat: Tworzenie i wykorzystanie usług sieciowych Cel ćwiczenia: W trakcie ćwiczenia student zapozna się z procedurą tworzenia usługi sieciowej w technologii ASP.NET oraz nauczy się tworzyć

Bardziej szczegółowo

Sposoby tworzenia projektu zawierającego aplet w środowisku NetBeans. Metody zabezpieczenia komputera użytkownika przed działaniem apletu.

Sposoby tworzenia projektu zawierającego aplet w środowisku NetBeans. Metody zabezpieczenia komputera użytkownika przed działaniem apletu. Sposoby tworzenia projektu zawierającego aplet w środowisku NetBeans. Metody zabezpieczenia komputera użytkownika przed działaniem apletu. Dr inż. Zofia Kruczkiewicz Dwa sposoby tworzenia apletów Dwa sposoby

Bardziej szczegółowo

Załącznik nr 2. Przewodnik instalacyjny systemu e-broker Technologiczny v.1.0. Część 4 - Narzędzia informatyczne przeznaczone dla ośrodków innowacji

Załącznik nr 2. Przewodnik instalacyjny systemu e-broker Technologiczny v.1.0. Część 4 - Narzędzia informatyczne przeznaczone dla ośrodków innowacji Załącznik nr 2 Przewodnik instalacyjny systemu e-broker Technologiczny v.1.0 Część 4 - Narzędzia informatyczne przeznaczone dla ośrodków innowacji Produkt finalny projektu innowacyjnego testującego pn.:

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

IIS 7.0 - Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft

IIS 7.0 - Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft IIS 7.0 - Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft 1 Wstęp Bezpieczny hosting Komponenty serwera IIS + ASP.NET - dobrana

Bardziej szczegółowo

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym 1 Wprowadzenie do środowiska Oracle APEX, obszary robocze, użytkownicy Wprowadzenie Plan Administracja obszarem roboczym 2 Wprowadzenie Co to jest APEX? Co to jest APEX? Architektura Środowisko Oracle

Bardziej szczegółowo

Bazy danych. Wykład IV SQL - wprowadzenie. Copyrights by Arkadiusz Rzucidło 1

Bazy danych. Wykład IV SQL - wprowadzenie. Copyrights by Arkadiusz Rzucidło 1 Bazy danych Wykład IV SQL - wprowadzenie Copyrights by Arkadiusz Rzucidło 1 Czym jest SQL Język zapytań deklaratywny dostęp do danych Składnia łatwa i naturalna Standardowe narzędzie dostępu do wielu różnych

Bardziej szczegółowo

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO ZAPYTANIE O INFORMACJĘ DOTYCZY OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE BIURO OBSŁUGI KLIENTA DLA PKO LEASING SA SA PKO ŁÓDŹ, MARZEC 2014 PYTAJĄCY PKO Leasing SA ul. Śmigłego Rydza 20, 93 281 Łódź tel.

Bardziej szczegółowo

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC Akademia MetaPack Uniwersytet Zielonogórski Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC Krzysztof Blacha Microsoft Certified Professional Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC Agenda:

Bardziej szczegółowo

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl Niniejsze zasady dotyczą wszystkich Użytkowników strony internetowej funkcjonującej w domenie http://www.pawlowskisport.pl,

Bardziej szczegółowo

Bazy danych dla producenta mebli tapicerowanych. Bartosz Janiak Marcin Sikora Wrocław 9.06.2015 r.

Bazy danych dla producenta mebli tapicerowanych. Bartosz Janiak Marcin Sikora Wrocław 9.06.2015 r. Bazy danych dla producenta mebli tapicerowanych Bartosz Janiak Marcin Sikora Wrocław 9.06.2015 r. Założenia Stworzyć system bazodanowy dla małej firmy produkującej meble tapicerowane. Projekt ma umożliwić

Bardziej szczegółowo

Internetowe bazy danych

Internetowe bazy danych Wyższa Szkoła Technologii Teleinformatycznych w Świdnicy Internetowe bazy danych wykład 6 dr inż. Jacek Mazurkiewicz e-mail: Jacek.Mazurkiewicz@pwr.wroc.pl Kontrola dostępu

Bardziej szczegółowo

Bezpieczeństwo heterogenicznej. Zespół Bezpieczeństwa PCSS

Bezpieczeństwo heterogenicznej. Zespół Bezpieczeństwa PCSS Bezpieczeństwo heterogenicznej platformy hostingowej Gerard Frankowski, Marcin Jerzak Zespół Bezpieczeństwa PCSS Poznań, 19.07.2011 MIC Summer School 1 Agenda Wprowadzenie Przykładowe zagrożenia dla aplikacji

Bardziej szczegółowo

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008) NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI asix (na przykładzie systemu operacyjnego Windows 2008) Pomoc techniczna Dok. Nr PLP0018 Wersja: 2011-08-26 ASKOM i asix to zastrzeżony znak firmy ASKOM Sp. z

Bardziej szczegółowo

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller Dokumentacja systemu NTP rekrut Autor: Sławomir Miller 1 Spis treści: 1. Wstęp 1.1 Wprowadzenie 1.2 Zakres dokumentu 2. Instalacja 2.1 Wymagania systemowe 2.2 Początek 2.3 Prawa dostępu 2.4 Etapy instalacji

Bardziej szczegółowo

SQL 4 Structured Query Lenguage

SQL 4 Structured Query Lenguage Wykład 5 SQL 4 Structured Query Lenguage Instrukcje sterowania danymi Bazy Danych - A. Dawid 2011 1 CREATE USER Tworzy nowego użytkownika Składnia CREATE USER specyfikacja użytkownika [, specyfikacja użytkownika]...

Bardziej szczegółowo

WYDRA BY CTI. WYSYŁANIE DOKUMENTÓW ROZLICZENIOWYCH I ARCHIWIZACJA Instrukcja do programu

WYDRA BY CTI. WYSYŁANIE DOKUMENTÓW ROZLICZENIOWYCH I ARCHIWIZACJA Instrukcja do programu WYDRA BY CTI WYSYŁANIE DOKUMENTÓW ROZLICZENIOWYCH I ARCHIWIZACJA Instrukcja do programu 1 Spis treści 1. Opis ogólny...3 2. Wymagania oraz konfiguracja...4 2.1. Wymagania...4 2.2. Instalacja...4 2.3. Konfiguracja...4

Bardziej szczegółowo

Procedury techniczne modułu Forte Kontroling. Pakiety DTS

Procedury techniczne modułu Forte Kontroling. Pakiety DTS Procedury techniczne modułu Forte Kontroling Pakiety DTS Pakiety DTS Strona 2 z 7 Pakiety DTS przeznaczone są do wykorzystywania podczas importu danych z modułu Forte Finanse i Księgowość do modułu Forte

Bardziej szczegółowo

Usługi sieciowe systemu Linux

Usługi sieciowe systemu Linux Usługi sieciowe systemu Linux 1. Serwer WWW Najpopularniejszym serwerem WWW jest Apache, dostępny dla wielu platform i rozprowadzany w pakietach httpd. Serwer Apache bardzo często jest wykorzystywany do

Bardziej szczegółowo

4 Web Forms i ASP.NET...149 Web Forms...150 Programowanie Web Forms...150 Możliwości Web Forms...151 Przetwarzanie Web Forms...152

4 Web Forms i ASP.NET...149 Web Forms...150 Programowanie Web Forms...150 Możliwości Web Forms...151 Przetwarzanie Web Forms...152 Wstęp...xv 1 Rozpoczynamy...1 Co to jest ASP.NET?...3 W jaki sposób ASP.NET pasuje do.net Framework...4 Co to jest.net Framework?...4 Czym są Active Server Pages (ASP)?...5 Ustawienia dla ASP.NET...7 Systemy

Bardziej szczegółowo

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@

Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@ Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@ 24 marzec, 2014 Wstęp Tydzień temu do wielu skrzynek pocztowych w Polsce trafił email z linkiem do pliku podszywającego się pod nową aktualizację

Bardziej szczegółowo