FRONT-END SECURITY SZYMON GRZYBOWSKI NSENSE POLSKA S.A.

Wielkość: px
Rozpocząć pokaz od strony:

Download "FRONT-END SECURITY SZYMON GRZYBOWSKI NSENSE POLSKA S.A."

Transkrypt

1 FRONT-END SECURITY SZYMON GRZYBOWSKI NSENSE POLSKA S.A.

2 KIM JESTEM? absolwent PP, systemy rozproszone i sieci komputerowe security consultant przez ostatnie 2 lata bezpieczeństwo aplikacji webowych i mobilnych penetracyjne testy bezpieczeństwa audyty bezpieczeństwa serwerów reverse engineering aplikacji mobilnych

3 AGENDA Cross-site scripting reflected persistent DOM-based Content Security Policy Cross-site request forgery Cross-origin resource sharing

4 DLACZEGO AKURAT TE? (1) XSS Google Bug bounty - 100$-7.500$ Twitter - up to 1400$ PayPal - 100$-750$ Facebook - 500$+

5 DLACZEGO AKURAT TE? (2) CSRF Google - 100$ $ PayPal $ Twitter - up to 1400$ Facebook - 500$+

6 CVEDETAILS.COM 2014 XSS CSRF Info leakage XSS CSRF - 38 Info leakage - 26

7 CROSS-SITE SCRIPTING Definicja Atak na aplikacje wykorzystujące technologie internetowe, polegający na osadzeniu w treści HTML kodu (zazwyczaj JavaScript), wykonywanego w momencie wyświetlenia złośliwej treści ofierze.

8 3 MIEJSCE W OWASP TOP 10

9 W PRAKTYCE?

10 JEDEN Z NAJPOPULARNIEJSZYCH ATAKÓW WEBOWY CENZIC REPORT 2014

11 ALE RÓWNIEŻ MOBILNY (ANDROID)* WebView

12 ALE RÓWNIEŻ MOBILNY (IOS) * UIWebView

13 TYPY XSS

14 REFLECTED w parametrach, nagłówkach... gruyere.appspot.com/ /%3cscript%3eprompt(1)%3c/sc Payload %3Cscript%3Eprompt(1)%3C/script%3E

15 DLACZEGO? (1) gruyere.py def _DoBadUrl(self, path, cookie, specials, params):... self._senderror('invalid request: %s' % (path,), cookie, specials, param... def _SendError(self, message, cookie, specials, params, new_cookie_text=no... self._sendtemplateresponse('/error.gtl', specials, params, new_cookie_te

16 DLACZEGO? (2) error.gtl... [[if:_message]] <div class='message'>{{_message}}</div> [[/if:_message]]...

17 PERSISTENT (1) zapisywany na serwerze GET / /newsnippet2?snippet=%3Cimg+src%3Dx%3Aalert%28alt %29+onerror%3Deval%28src%29+alt%3D%22akai 2015%22%3E HTTP/1.1 Host: google gruyere.appspot.com

18 PERSISTENT (2) Payload <img src=x:alert(alt) onerror=eval(src) alt="akai 2015">

19 DOM-BASED aka type-0 XSS podatność front-end wykonanie złośliwego kodu wynika z dynamicznych zmian w DOM

20 DEMO var payload = window.location.hash.substr(1); window.location.assign(payload);

21 WEKTOR ATAKU najczęstszy wektor ataku to parametry URL po # /address/location.hash/assign#javascript:alert(5) ale nie tylko firing range.appspot.com/redirect/ parameter?url=data:text/html;base64,phnjcmlwdd5hbg VydCgxMTEpPC9zY3JpcHQ%2b

22 DLACZEGO TAKI GROŹNY? narzędzia istnieją, ale słabo sobie radzą coraz większa popularność Rich JavaScript Applications zawartość po #nie jest wysyłana do serwera, brak logów

23 ALE TRZY TYPY TO NIE WSZYSTKO

24 MNÓSTWO SPOSOBÓW WSTRZYKIWANIA CSS-based SVG-based XHTML-based UTF-7 po wstrzyknięciu tagu META ładowane z local/session storage przez niezabezpieczone API

25 <img/src="xyz.jpg"alt="xyz"> ORAZ OBEJŚĆ FILTRÓW (1) bez białych znaków

26 ORAZ OBEJŚĆ FILTRÓW (2) mało znane tagi <isindex type=image src=1 onerror=alert(1)>

27 ORAZ OBEJŚĆ FILTRÓW (3) proste kodowanie data:text/html;base64,phnjcmlwdd5hbgvydcgwktwvc2nyaxb0pg==

28 ORAZ OBEJŚĆ FILTRÓW (4) lub bardziej wyszukane korzystające z właściwości JS $=~[];$={ :++$,$$$$:(![]+"")[$], $:++$,$_$_:(![]+"")[$],_$_:++$, $_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$ :++$, $_$:++$,$$ :({}+"")[$],$$_:++$,$$$:++$,$ :++$,$ $:++$};$.$_=($. $_=$+"")[$.$_$]+($._$=$.$_[$. $])+($.$$=($.$+"")[$. $])+((!$)+"") [$._$$]+($. =$.$_[$.$$_])+($.$=(!""+"")[$. $])+($._=(!""+"")[$._$_] )+$.$_[$.$_$]+$. +$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$. +$._+$.$+$. $$;$.$=($. )[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$. $$$_+"\\"+$. $+$.$$_+$._$_+$. +"(\\\"\\"+$. $+$. $+$. +$.$$$_+(![]+"")[$._$_]+(![]+"")[$._$_]+$._$+",\\"+$.$ +$. +"\\"+$. $+$. $+$._$_+$.$_$_+"\\"+$. $+$.$$_+$.$$_+$.$_$_+"\\"+$. $+$._$_+$. _$$+$.$$ +"\\"+$. $+$.$$_+$._$_+"\\"+$. $+$.$_$+$. $+"\\"+$. $+$. $$_+$. +$. +"\\\"\\"+$.$ +$. +")"+"\"")())();

29 OBRONA dobre i sprawdzone frameworki i bilbioteki walidacja wejścia i filtrowanie wyjścia konfiguracja: serwerów aplikacyjnych, filtrów, bibliotek, frameworków świadomość, które komponenty są niebezpieczne

30 PRZYKŁADY.NET - AntiXSS lub System.Web.Security.AntiXss od 4.5 Uwaga: e.g Html.Raw(...) w Razor Python/Django - domyślnie auto escaping, Uwaga: ale przypadki szczególne Django AngularJS - domyślnie encoduje lub można użyć $ngsanitize Uwaga: ale przypadki szczególne AngularJS NodeJS - e.g. Caja-HTML-Sanitizer Java spring MVC - konfiguracja w web.xmllub atrybut

31 ĆWICZENIA Google Gruyere Google Public Firing Range HTML5 Security

32 CONTEN SECURITY POLICY (CSP) Definicja Mechanizm instruujący przeglądarkę kliencką jakie zasoby i skąd mogą być pobrane lub wykonywane. Działa na zasadzie black/white listy.

33 dodatkowe nagłówki HTTP głównie Content Security Policy w Firefox i Chrome ale również CO NOWEGO? X Content Security Policy X WebKit CSP Firefox do 23, Chrome do 25, a w IE 10 (częściowa implementacja)

34 PRZYKŁAD - HTTP RESPONSE Content Security Policy: default src 'self' connect src 'none'; Content Security Policy: connect src script src

35 PRZYKŁAD - TAGI META lub w tagach meta <meta http equiv="content Security Policy" content="script src 'self'">

36 W PRAKTYCE? dodatkowa warstwa podczas ochrony przed XSS kontrola nad ładowanymi zasobami blokowanie zewnętrznych skryptów, w tym inline jeśli dobrze skonfigurowane i wspierane, może w znaczny sposób zwiększyć bezpieczeństwo

37 default src script src object src style src img src media src frame src font src connect src form action sandbox script nonce plugin types reflected xss report uri GRANULARNOŚĆ

38 <!doctype html> <html ng app ng csp> </html> PRZYKŁAD - ANGULARJS

39 PRZYKŁAD - ASP.NET MVC public class ContentSecurityPolicyFilterAttribute : ActionFilterAttribute { public override void OnActionExecuting(ActionExecutingContext filterco { var response = filtercontext.httpcontext.response; response.addheader("content Security Policy", "script src 'self'") response.addheader("x WebKit CSP", "script src 'self'"); response.addheader("x Content Security Policy", "script src 'self' base.onactionexecuting(filtercontext); } }

40 PRZYKŁAD - RUBY ::SecureHeaders::Configuration.configure do config... config.csp = { :default_src => "https: self", :frame_src => "https: :img_src => " :report_uri => '//example.com/uri directive' } end class ApplicationController < ActionController::Base ensure_security_headers end

41 RÓWNIEŻ INNE TECHNOLOGIE nodejs RoR Django etc.

42 PROBLEMY kompatybilność Android 4.4+, IE10/11 inne nagłówki Opera Mini nie wspiera CSP 1.1 vs CSP 1.0 koszty utrzymania bezpiecznej polityki

43 CROSS-SITE REQUEST FORGERY (CSRF) Definicja Atak, w którym przeglądarka nieświadomej ofiary, wykonuje akcję w jej imieniu w atakowanej aplikacji.

44 8 MIEJSCE W OWASP TOP 10

45 SCHEMAT ATAKU złośliwa strona zwiera formularz (lub wiele) atakujący przekonuje ofiarę do odwiedzenia złośliwej strony ofiara będąc zalogowana w podatnej aplikacji odwiedza złośliwą stroną przeglądarka wykonuje zapytanie do serwera serwer często nie rozróżnia skąd pochodzi zapytanie zapytanie zmienia stan ( , hasło, dodaje komentarz, robi transfer pieniędzy)

46 DEMO

47 CSRF <form name="f" action=" method="post"> <input type="hidden" name="submitted" value="1" /> <input type="hidden" name="accountto" value=" " /> <input type="hidden" name="amount" value="6" /> <input type="hidden" name="submit" value="transfer" /> <input type="submit" value="submit request" /> </form>

48 OBRONA (1) nagłówek HTTP ale: GET /index.html HTTP/1.1 Host: example.com Referer: w niektórych przypadkach można zespoofować czasami nagłówki są wycinane, żeby dane nie wyciekały sprawdzanie tylko początku domeny (e.g. example.com.attacker.com)

49 OBRONA (2) nagłówek HTTP Origin tokeny anti-csrf wbudowane we frameworki, których jednak często nikt nie używa...

50 OBRONA - PRZYKŁADY

51 .NET MVC (1) View (Html.BeginForm("", "api/values", FormMethod.Post)) <button id="..." name="...">...</button> } lub w Razor

52 [ValidateAntiForgeryToken] public ViewResult DoAction() {... }.NET MVC (2) Controller code

53 ANGULARJS framework szuka cookie ustawionego przez serwer o nazwie XSRF TOKEN do wszystkich requestów wykonywanych w JavaScript dodaje haeder X XSRF TOKEN serwer sam musi zadbać o generowanie i walidowanie tokenów

54 RUBY ON RAILS W kontrolerze class ApplicationController < ActionController::Base protect_from_forgery with: :exception skip_before_action :verify_authenticity_token, if: :json_request? protected def json_request? request.format.json? end end RoR CSRF

55 TOKENY OK, ALE? jeśli istnieje XSS, to prawie zawsze można obejść token wielkorotnie token może być ponownie użyty po dłuższym czasie aplikacje mogą sprawdzać czy token jest ważny, a nie czy jest ważny dla danego użytkownika

56 O CZYM PAMIĘTAĆ? w CSRF można wykorzystać zarówno requesty typu GET, jak i POST, a czasem da się również wysłać JSON'a nagłówki Refereri Originnie są wystarczające wielopoziomowe kreatory również są podatne na te ataki

57 CROSS-ORIGIN RESOURCE SHARING (CORS - HTML5) Definicja Mechanizm pozwalający na współdzielenie zasobów pomiędzy serwerami w różnych domenach.

58 PORÓWNANIE DO CROSSDOMAIN.XML (Flash/Silverlight) Cross Origin Requests pozwala na lepszą granularność, gdyż każda odpowiedź z serwera musi zawierać określony nagłówek interpretowany przez przeglądarkę.

59 ALE? To developerzy są odpowiedzialni, jakie zasoby są dostępne dla innych domena, a jakie nie.

60 CO NOWEGO I CO TO ZNACZY? nowe nagłówki HTTP Access Control Allow Origin: Access Control Allow Methods: POST, GET, OPTIONS Access Control Allow Headers: X REQUIRED HEADER Access Control Allow Credentials: true XMLHttpRequestpomiędzy różnymi domenami możliwy (luźniejsze podejście do Same-origin policy)

61 CORS W AKCJI?

62 NAJPOPULARNIEJSZY PROBLEM... HTTP/ OK... Access Control Allow Methods: POST, GET, OPTIONS Access Control Allow Origin: *... wszystkie domeny mogą żądać zasobów ze zdalnego serwera eksfiltracja danych z sieci wewnętrznych

63 PODSTAWOWY ATAK? 1. W sieci wewnętrznej znajduje się aplikacja używająca Access Control Allow Origin: * 2. Atakujący nie ma dostępu do tej aplikacji. 3. Ofiara odwiedza złośliwą stroną atakującego. 4. JavaScript na stronie żąda zasobów z serwera wewnętrznego. 5. Przeglądarka ofiary wykonuje zapytania cross-origin do wewnętrzych zasobów i przesyła dane do serwera atakującego.

64 BARDZIEJ SKOMPLIKOWANY? 1. W sieci wewnętrznej znajduje się aplikacja internal.example.com 2. Aplikacja ta ufa aplikacji external.example.com i definiuje Access Control Allow Origin: external.example.com Access Control Allow Credentials: true 3. Aplikacja external.example.com jest podatna na atak XSS. 4. Ofiara odwiedza link ze wstrzykniętym XSS na stronie external.example.com 5. Atakujący w XSS exfiltruje dane, używając zapytań crossorigin, w kontekście uwierzytelnionej ofiary.

65 DEMO

66 WNIOSKI? Nie klikajcie we wszystkie linki do JSFiddle :-)

67 CZY TO WSZYSTKIE ATAKI FRONT-END?

68 PODSUMOWANIE to tylko część znanych ataków ale dla wielu z nich istnieją mechanizmy obrony podstawa to aktualne frameworki/biblioteki aktualne CMSy i sprawdzone rozszerzenia bezpieczna konfiguracja i security guidelines dla różnych technologii

69 JAK JESZCZE SIĘ BRONIĆ? przede wszystkim świadomość ataków i odpowiedzialność programisów testy bezpieczeństwa warsztaty bezpiecznego programowania dobra znajomość poszczególnych technologii, konkretnych ustawień i środowisk produkcyjnych współpraca, pomiędzy programistami, dev-ops i działami bezpieczeństwa

70 DODATKOWO

71 OGŁOSZENIE (1) interesujesz się tematyką bezpieczeństwa? potrafisz programować obiektowo? znasz podstawowe elementy sieciowe (stos TCP/IP, protokół HTTP)?

72 ZGŁOŚ SIĘ DO NSENSE poszukujemy programistów i konsultantów PISZ DO Leszek Tasiemski (lta@nsense.net) Dominik Sadowczyk (dsa@nsense.net)

73 OGŁOSZENIE (2) chcesz wziąć udział w warsztatach bezpieczeństwa? dowiedzieć się jak hackować aplikacje internetowe lub mobilne? obejrzeć lub przygotować prezentację związaną z bezpieczeństwem? być może połączoną z warsztatami? porozmawiać z ludzmi, pracującymi w branży bezpieczeństwa?

74 WARSZTATY W NSENSE start czerwiec/lipiec 2015 wstępna tematyka zajęć ~ kwiecień 2015 tylko dla studentów WIĘCEJ INFORMACJI DLA ZAINTERESOWANYCH SGR@NSENSE.NET

75 END

Content Security Policy jako ochrona przed skutkami ataków XSS. owasp@niebezpiecznik.pl

Content Security Policy jako ochrona przed skutkami ataków XSS. owasp@niebezpiecznik.pl Content Security Policy jako ochrona przed skutkami ataków XSS owasp@niebezpiecznik.pl niebezpiecznik.pl testujemy serwisy internetowe, ludzi i sieci komputerowe pod kątem odporności na ataki (nie tylko

Bardziej szczegółowo

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF

Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF O mnie 12 lat doświadczenia w systemach WEB Java/JEE (ISC) 2 CISSP CTO w J-LABS GET / HTTP/1.1 Host: bank.pl User-Agent: Mozilla/5.0

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

Kurs rozszerzony języka Python

Kurs rozszerzony języka Python Środowisko Django, cz. 3 19 stycznia 2018 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu 4 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu

Bardziej szczegółowo

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka

Bardziej szczegółowo

Przygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia)

Przygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia) Program szkolenia: Przygotowanie do nowoczesnego programowania po stronie przeglądarki (HTML5, CSS3, JS, wzorce, architektura, narzędzia) Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania:

Bardziej szczegółowo

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora

Bardziej szczegółowo

Drobne błędy w portalach WWW

Drobne błędy w portalach WWW Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting

Bardziej szczegółowo

Aspekty bezpieczeństwa aplikacji internetowych

Aspekty bezpieczeństwa aplikacji internetowych Aspekty bezpieczeństwa aplikacji internetowych Kamil Witecki (kamil@witecki.net.pl) Wojciech Wodo (wojciech.wodo@gmail.com) 21 kwietnia 2010 Kto, co, dlaczego? Popularne typy ataków Kim jesteśmy i dlaczego

Bardziej szczegółowo

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar) Tworzenie witryn internetowych PHP/Java (mgr inż. Marek Downar) Rodzaje zawartości Zawartość statyczna Treść statyczna (np. nagłówek, stopka) Layout, pliki multimedialne, obrazki, elementy typograficzne,

Bardziej szczegółowo

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC Akademia MetaPack Uniwersytet Zielonogórski Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC Krzysztof Blacha Microsoft Certified Professional Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC Agenda:

Bardziej szczegółowo

Full Stack JavaScript z Angular i Nest. Dni: 5. Opis: Adresaci szkolenia

Full Stack JavaScript z Angular i Nest. Dni: 5. Opis: Adresaci szkolenia Kod szkolenia: Tytuł szkolenia: DED/FSJS Full Stack JavaScript z Angular i Nest Dni: 5 Opis: Adresaci szkolenia Kurs przeznaczony jest dla programistów posiadających podstawową wiedzę w zakresie JavaScript,

Bardziej szczegółowo

W odpowiedzi na ataki XSS mechanizm Content-Security-Policy

W odpowiedzi na ataki XSS mechanizm Content-Security-Policy Michał Leszczyński W odpowiedzi na ataki XSS mechanizm Content-Security-Policy Definitywnie dwoma największymi bolączkami webdeveloperów w kwestiach związanych z bezpieczeństwem są podatności SQL Injection

Bardziej szczegółowo

WYKŁAD 1 ANGULARJS CZĘŚĆ 1

WYKŁAD 1 ANGULARJS CZĘŚĆ 1 WYKŁAD 1 ANGULARJS CZĘŚĆ 1 DEFINICJA ANGULARJS Framework JavaScript na licencji open-source wykorzystywany do tworzenia aplikacji SPA (single page applications) w oparciu o wzorzec projektowy Model-View-Controler.

Bardziej szczegółowo

Front-end: solidne podstawy. Wszystko, co warto wiedzieć o HTML, CSS, JavaScript i Bootstrap.

Front-end: solidne podstawy. Wszystko, co warto wiedzieć o HTML, CSS, JavaScript i Bootstrap. Kod szkolenia: Tytuł szkolenia: FRONT-END Front-end: solidne podstawy. Wszystko, co warto wiedzieć o HTML, CSS, JavaScript i Bootstrap. Dni: 5 Opis: Adresaci szkolenia Kurs przeznaczony jest zarówno dla

Bardziej szczegółowo

Program szkolenia: REST i Microservices w PHP

Program szkolenia: REST i Microservices w PHP Program szkolenia: REST i Microservices w PHP Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: REST i Microservices w PHP PHP-rest PHP developerzy 4 dni 50% wykłady / 50% warsztaty

Bardziej szczegółowo

Jak okiełznać frontend w Django? Piotr Maliński www.python.rk.edu.pl

Jak okiełznać frontend w Django? Piotr Maliński www.python.rk.edu.pl Jak okiełznać frontend w Django? Piotr Maliński www.python.rk.edu.pl Problemy frontendu Trudne testowanie i debugowanie Różne przeglądarki Różne ustawienia przeglądarek Urządzenia dotykowe Przekazywanie

Bardziej szczegółowo

Poznaj ASP.NET MVC. Kamil Cieślak Microsoft Student Partner 2013-03-11

Poznaj ASP.NET MVC. Kamil Cieślak Microsoft Student Partner 2013-03-11 Poznaj ASP.NET MVC Kamil Cieślak Microsoft Student Partner 2013-03-11 Agenda Czym jest ASP.NET MVC? Wzorzec MVC ASP.NET MVC vs inne frameworki Bazy danych w ASP.NET MVC Jak zacząć? 2 Czym jest ASP.NET

Bardziej szczegółowo

Architektura MVC w ASP.NET. Autor wykładu: Marek Wojciechowski

Architektura MVC w ASP.NET. Autor wykładu: Marek Wojciechowski Architektura MVC w ASP.NET Autor wykładu: Marek Wojciechowski Modele programistyczne ASP.NET Web Forms Komponentowy interfejs użytkownika (kontrolki) Programowanie wizualno-zdarzeniowe Klasyczna składnia

Bardziej szczegółowo

Bezpieczeństwo systemów komputerowych

Bezpieczeństwo systemów komputerowych Bezpieczeństwo systemów komputerowych Zagrożenia dla aplikacji internetowych Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 15 grudnia 2015 Lista zagadnień Wstrzykiwanie

Bardziej szczegółowo

Cookie Policy. 1. Informacje ogólne.

Cookie Policy. 1. Informacje ogólne. Cookie Policy 1. Informacje ogólne. 1. Operatorem Serwisu jest Artur Kowalski http://inzynieria.pro 2. Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniu w następujący sposób:

Bardziej szczegółowo

Realizacja Aplikacji Internetowych 2013 laboratorium cz. 2 K.M. Ocetkiewicz

Realizacja Aplikacji Internetowych 2013 laboratorium cz. 2 K.M. Ocetkiewicz Realizacja Aplikacji Internetowych 2013 laboratorium cz. 2 K.M. Ocetkiewicz Walidacja po stronie klienta: - w MVC 3 i 4 domyślnie jest włączona także walidacja po stronie klienta - wykorzystuje ona JavaScript

Bardziej szczegółowo

Szczegółowy opis zamówienia:

Szczegółowy opis zamówienia: Szczegółowy opis zamówienia: Rok 2016 budowa stron w html5 (8h v + 4h ćw) 8 szt. html5 - zaawans. (7h v + 5h ćw) 8 szt. programowania w java script (9h v + 7h ćw) 8 szt. java script zaawans (8h v + 4h

Bardziej szczegółowo

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy Dokumentacja techniczna Młodzieżowe Pośrednictwo Pracy Spis Treści 1. Widok ogólny architektury MPP... 3 2. Warstwy systemu... 5 3. Struktura systemu/komponentów... 7 3.1 Aplikacje... 7 3.2 Biblioteki...

Bardziej szczegółowo

Program szkolenia: Bezpieczny kod - podstawy

Program szkolenia: Bezpieczny kod - podstawy Program szkolenia: Bezpieczny kod - podstawy Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Bezpieczny kod - podstawy Arch-Sec-intro Bezpieczeństwo developerzy 3 dni 75% wykłady

Bardziej szczegółowo

Angular, cz. II. Tworzenie serwisów Web 2.0. dr inż. Robert Perliński rperlinski@icis.pcz.pl

Angular, cz. II. Tworzenie serwisów Web 2.0. dr inż. Robert Perliński rperlinski@icis.pcz.pl ngular, cz. II 1/24 Angular, cz. II Tworzenie serwisów Web 2.0 dr inż. Robert Perliński rperlinski@icis.pcz.pl Politechnika Częstochowska Instytut Informatyki Teoretycznej i Stosowanej 10 kwietnia 2015

Bardziej szczegółowo

Aplikacje webowe z wykorzystaniem Node.js oraz Express

Aplikacje webowe z wykorzystaniem Node.js oraz Express Aplikacje webowe z wykorzystaniem Node.js oraz Express Adresaci szkolenia: Kurs przeznaczony jest dla programistów pragnących tworzyć skalowalne aplikacje z wykorzystaniem Node.js. Parametry szkolenia:

Bardziej szczegółowo

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa, Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa, 2008-01-08 1 Agenda 1. Teza 2. Bezpieczeństwo aplikacji internetowych Usługi bezpieczeństwa

Bardziej szczegółowo

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia

Bardziej szczegółowo

Szybko, prosto i tanio - ale czy na pewno?

Szybko, prosto i tanio - ale czy na pewno? Szybko, prosto i tanio - ale czy na pewno? Krzysztof Ścira Adrian Gadzina Kilka słów o nas Krzysztof Ścira Absolwent studiów pierwszego stopnia i jednocześnie student studiów 2 stopnia na AGH Zawodowo

Bardziej szczegółowo

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty Wprowadzenie do kryptografii i bezpieczeństwa Po raz czwarty WWW i e-mail WWW HTTPS & SSL doesn't mean "trust this." It means "this is private." You may be having a private conversation with Satan. Hanselman

Bardziej szczegółowo

Programowanie w Internecie

Programowanie w Internecie mariusz@math.uwb.edu.pl http://math.uwb.edu.pl/~mariusz Uniwersytet w Białymstoku 2018/2019 Co to jest Internet? Warunki zaliczenia Zaliczenie na podstawie opracowanej samodzielnie aplikacji WWW Zastosowane

Bardziej szczegółowo

Aplikacje WWW. Krzysztof Ciebiera. 3 kwietnia 2014

Aplikacje WWW. Krzysztof Ciebiera. 3 kwietnia 2014 Aplikacje WWW Krzysztof Ciebiera 3 kwietnia 2014 Bezpieczeństwo Clickjacking CSRF Cross site scripting (XSS) Migracje ContentType Tłumaczenia Testowanie - RequestFactory Clickjacking Użytkownik odwiedza

Bardziej szczegółowo

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Najgroźniejsze ataki na serwer WWW Najgroźniejsze ataki na serwer WWW Cross-site scripting (XSS) SQL injection Denial

Bardziej szczegółowo

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ), PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ), Program 351203 Opracowanie: Grzegorz Majda Tematyka zajęć 2. Przygotowanie środowiska pracy

Bardziej szczegółowo

ANGULARJS TWORZENIE APLIKACJI INTERNETOWYCH

ANGULARJS TWORZENIE APLIKACJI INTERNETOWYCH ANGULARJS TWORZENIE APLIKACJI INTERNETOWYCH szkolenie dla webdeveloperów ze znajomością przynajmniej podstaw HTML i JavaScript INFORMACJE PODSTAWOWE AngularJS to framework JavaScript stworzony przez inżynierów

Bardziej szczegółowo

Czym jest AJAX. AJAX wprowadzenie. Obiekt XMLHttpRequest (XHR) Niezbędne narzędzia. Standardowy XHR. XHR z obsługą baz danych

Czym jest AJAX. AJAX wprowadzenie. Obiekt XMLHttpRequest (XHR) Niezbędne narzędzia. Standardowy XHR. XHR z obsługą baz danych Czym jest AJAX AJAX wprowadzenie Beata Pańczyk na podstawie: 1. Lis Marcin, Ajax, Helion, 2007 2. Hadlock Kris, Ajax dla twórców aplikacji internetowych, Helion, 2007 AJAX (Asynchronous JavaScript and

Bardziej szczegółowo

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie ponad Top 10 Misja: Poprawa stanu bezpieczeństwa aplikacji

Bardziej szczegółowo

Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0

Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0 Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0 2009.03.13 / Pingwinaria Borys Łącki 1 2 2007: ilość ruchu WWW przekroczyła ilość ruchu P2P 3 Internet Warstwa WWW (filtry wejścia/wyjścia)

Bardziej szczegółowo

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL III TI 4 godziny tygodniowo (4x30 tygodni =120 godzin ),

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL III TI 4 godziny tygodniowo (4x30 tygodni =120 godzin ), PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH KL III TI 4 godziny tygodniowo (4x30 tygodni =120 godzin ), Program 351203 Opracowanie: Grzegorz Majda Tematyka zajęć 1. Wprowadzenie do aplikacji internetowych

Bardziej szczegółowo

Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS

Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS O mnie 12 lat doświadczenia w systemach WEB Developer, Technical Leader, Project Manager Java/JEE (ISC)2 CISSP CTO w J-LABS Dygresja Dygresja

Bardziej szczegółowo

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org Narzędzia dla developerów ESAPI & AppSensor 2011-11-23 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org +48506184550 Copyright The Foundation Permission is granted to

Bardziej szczegółowo

Portal Security - ModSec Enterprise

Portal Security - ModSec Enterprise Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia

Bardziej szczegółowo

Raport z Testów Penetracyjnych XXXXX

Raport z Testów Penetracyjnych XXXXX Raport z Testów Penetracyjnych XXXXX Strona 1 z 35 Testowana aplikacja Testowane role XXXXXX http://xxxxx administrator, użytkownik Data wykonania testów 30.10.2017 13.12.2017 Miejsce wykonania testów

Bardziej szczegółowo

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób:

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób: Informacje ogólne. Operatorem Serwisu www.gops.gmina.swidnica.pl jest Gminny Ośrodek Pomocy Społecznej w Świdnicy, ul. B.Głowackiego 4, 58-100 Świdnica NIP: 884-18-46-403 REGON:005811915 Serwis realizuje

Bardziej szczegółowo

Ewolucja projektowania aplikacji w PHP na bazie frameworka Symfony 2

Ewolucja projektowania aplikacji w PHP na bazie frameworka Symfony 2 Ewolucja projektowania aplikacji w PHP na bazie frameworka Symfony 2 Statyczne strony HTML Wczytanie statycznej strony HTML sprowadza się do odebrania żądania przez serwer, odnalezienia właściwego pliku

Bardziej szczegółowo

Kurs ASP.NET ASP.NET CORE APLIKACJE WEBOWE

Kurs ASP.NET ASP.NET CORE APLIKACJE WEBOWE Kurs ASP.NET ASP.NET CORE APLIKACJE WEBOWE Cena szkolenia Cena szkolenia wynosi 100 zł za 60 min. Ilość godzin szkolenia jest zależna od postępów w nauce uczestnika kursu oraz ilości czasu, którą będzie

Bardziej szczegółowo

PRZEGLĄDARKA I JEJ OTOCZENIE

PRZEGLĄDARKA I JEJ OTOCZENIE PRZEGLĄDARKA I JEJ OTOCZENIE Krystyna Dziubich Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska Co następuje po wywołaniu adresu domenowego? Cache przeglądarki a Content Delivery Network

Bardziej szczegółowo

Kurs języka Ruby. Ruby on Rails ActionPack

Kurs języka Ruby. Ruby on Rails ActionPack Kurs języka Ruby Ruby on Rails ActionPack Co to jest RoR: Środowisko do szybkiego tworzenia aplikacji webowych Garść informacji Stworzony przez Davida Heinemeiera Hanssona DRY Don't Repeat Yourself Mnóstwo

Bardziej szczegółowo

HTML, CSS i JavaScript / Laura Lemay, Rafe Colburn, Jennifer Kyrnin. Gliwice, cop Spis treści

HTML, CSS i JavaScript / Laura Lemay, Rafe Colburn, Jennifer Kyrnin. Gliwice, cop Spis treści HTML, CSS i JavaScript / Laura Lemay, Rafe Colburn, Jennifer Kyrnin. Gliwice, cop. 2017 Spis treści O autorach 11 Wprowadzenie 13 CZĘŚĆ I ROZPOCZĘCIE PRACY Lekcja 1. Co oznacza publikowanie treści w sieci

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

LUKI BEZPIECZEŃSTWA W APLIKACJACH INTERNETOWYCH. Waldemar Korłub. Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska

LUKI BEZPIECZEŃSTWA W APLIKACJACH INTERNETOWYCH. Waldemar Korłub. Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska LUKI BEZPIECZEŃSTWA Waldemar Korłub W APLIKACJACH INTERNETOWYCH Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska OWASP Top 10 2 OWASP: Open Web Application Security Project www.owasp.org

Bardziej szczegółowo

Bezpieczeństwo aplikacji internetowych

Bezpieczeństwo aplikacji internetowych Bezpieczeństwo internetowych Marek Zachara http://marek.zachara.name 1/23 Aplikacje internetowe znajdują się pod ciągłym 'ostrzałem' Jest to wynikiem skali: ponad 3 mld użytkowników sieci 900 mln 'hostnames'

Bardziej szczegółowo

Wprowadzenie. 1. Terminal WebRTC. LABORATORIUM 5: WebRTC komunikacja między terminalami.

Wprowadzenie. 1. Terminal WebRTC. LABORATORIUM 5: WebRTC komunikacja między terminalami. LABORATORIUM 5: WebRTC komunikacja między terminalami. Wprowadzenie Technika WebRTC (złożenie angielskiego słowa Web oraz akronimu RTC, pochodzącego od angielskiego Real-Time Communications, komunikacja

Bardziej szczegółowo

Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego

Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego Rzeszów, 2012-04-03 Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego 1. Obsługiwane przeglądarki internetowe...2 2. Uwagi odnośnie serwerów proxy...2 3.

Bardziej szczegółowo

Programowanie. Dodatek - uzupełnienie wiadomości. mgr inż. Krzysztof Szwarc. Sosnowiec,

Programowanie. Dodatek - uzupełnienie wiadomości. mgr inż. Krzysztof Szwarc. Sosnowiec, Programowanie Dodatek - uzupełnienie wiadomości mgr inż. Krzysztof Szwarc krzysztof@szwarc.net.pl Sosnowiec, 2017 1 / 45 mgr inż. Krzysztof Szwarc Programowanie Informacje ogólne 2 / 45 mgr inż. Krzysztof

Bardziej szczegółowo

Polityka prywatności serwisu www.aran.com.pl

Polityka prywatności serwisu www.aran.com.pl Przedsiębiorstwo BudowlanoHandlowe Z.Niziński Polityka prywatności serwisu www.aran.com.pl 1. Informacje ogólne. Operatorem Serwisu [adres serwisu, np. www.blink.pl] jest [pełne dane rejestrowe] Serwis

Bardziej szczegółowo

Aplikacje webowe. mgr inż. Aleksander Smywiński-Pohl. Elektroniczne Przetwarzanie Informacji

Aplikacje webowe. mgr inż. Aleksander Smywiński-Pohl. Elektroniczne Przetwarzanie Informacji Elektroniczne Przetwarzanie Informacji Plan prezentacji URL Komunikacja HTTP Formularze CGI JavaScript Frameworki webowe REST Plan prezentacji URL Komunikacja HTTP Formularze CGI JavaScript Frameworki

Bardziej szczegółowo

ASP.NET MVC. Autor wykładu: Marek Wojciechowski

ASP.NET MVC. Autor wykładu: Marek Wojciechowski ASP.NET MVC Autor wykładu: Marek Wojciechowski Modele programistyczne ASP.NET Web Forms Komponentowy interfejs użytkownika (kontrolki) Programowanie wizualno-zdarzeniowe Klasyczna składnia ASP.NET ASP.NET

Bardziej szczegółowo

Aplikacje internetowe - laboratorium

Aplikacje internetowe - laboratorium Aplikacje internetowe - laboratorium PHP Celem ćwiczenia jest przygotowanie prostej aplikacji internetowej opartej o język PHP. Aplikacja ilustruje takie mechanizmy jak: obsługa formularzy oraz obsługa

Bardziej szczegółowo

Aplikacje WWW - laboratorium

Aplikacje WWW - laboratorium Aplikacje WWW - laboratorium PHP. Celem ćwiczenia jest przygotowanie prostej aplikacji internetowej wykorzystującej technologię PHP. Aplikacja pokazuje takie aspekty, obsługa formularzy oraz zmiennych

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy

Bardziej szczegółowo

Budowa nowoczesnej aplikacji SPA z wykorzystaniem biblioteki Ember.js

Budowa nowoczesnej aplikacji SPA z wykorzystaniem biblioteki Ember.js Akademia MetaPack Uniwersytet Zielonogórski Budowa nowoczesnej aplikacji SPA z wykorzystaniem biblioteki Ember.js Daniel Habowski Budowa aplikacji SPA z wykorzystaniem biblioteki Ember.js Agenda: 1. Standardowa

Bardziej szczegółowo

Ruby i Ruby on Rails. Mateusz Drożdżyński

Ruby i Ruby on Rails. Mateusz Drożdżyński Ruby i Ruby on Rails Mateusz Drożdżyński Co to Ruby? Dynamiczny, obiektowy język programowania, stworzony przez Yukihiro Matsumoto Pojawił się w tym samym roku co Java (1995) Przejrzysta, prosta i intuicyjna

Bardziej szczegółowo

Zdalny dostęp do zasobów elektronicznych BGiOINT dla pracowników Politechniki Wrocławskiej

Zdalny dostęp do zasobów elektronicznych BGiOINT dla pracowników Politechniki Wrocławskiej Wrocław, 2010-09-23 Zdalny dostęp do zasobów elektronicznych BGiOINT dla pracowników Politechniki Wrocławskiej 1 Obsługiwane przeglądarki internetowe 2 2 Uwagi odnośnie serwerów proxy 2 3 Konfiguracja

Bardziej szczegółowo

Programowanie w Sieci Internet JSP ciąg dalszy. Kraków, 9 stycznia 2015 r. mgr Piotr Rytko Wydział Matematyki i Informatyki

Programowanie w Sieci Internet JSP ciąg dalszy. Kraków, 9 stycznia 2015 r. mgr Piotr Rytko Wydział Matematyki i Informatyki Programowanie w Sieci Internet JSP ciąg dalszy Kraków, 9 stycznia 2015 r. mgr Piotr Rytko Wydział Matematyki i Informatyki Co dziś będziemy robić JSP tags, Używanie tagów, Custom tags, JSP objests, Obiekty

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Cemarol Sp. z o.o. 1. Operatorem Serwisu www.powiat-lebork.com jest Cemarol sp. z o.o. z siedzibą w Kobylnicy (76-251), Kobylnica, ul. Główna

Bardziej szczegółowo

OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)

Bardziej szczegółowo

Programowanie internetowe

Programowanie internetowe Programowanie internetowe Wykład 1 HTML mgr inż. Michał Wojtera email: mwojtera@dmcs.pl Plan wykładu Organizacja zajęć Zakres przedmiotu Literatura Zawartość wykładu Wprowadzenie AMP / LAMP Podstawy HTML

Bardziej szczegółowo

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp

Bardziej szczegółowo

Sieci komputerowe i bazy danych

Sieci komputerowe i bazy danych Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie Sieci komputerowe i bazy danych Sprawozdanie 5 Badanie protokołów pocztowych Szymon Dziewic Inżynieria Mechatroniczna Rok: III Grupa: L1 Zajęcia

Bardziej szczegółowo

Format HTML. Wybrane działy Informatyki Stosowanej. Definicja i przeznaczenie Struktura dokumentu Znaczniki Formularze i komponenty

Format HTML. Wybrane działy Informatyki Stosowanej. Definicja i przeznaczenie Struktura dokumentu Znaczniki Formularze i komponenty Wybrane działy Informatyki Stosowanej Format HTML Definicja i przeznaczenie Struktura dokumentu Znaczniki Formularze i komponenty dr hab. inż. Andrzej Czerepicki 2019 Definicja HTML HyperText Markup Language

Bardziej szczegółowo

SYSTEM PROXY. Zdalny dostęp do zasobów elektronicznych BGiOINT Politechniki Wrocławskiej

SYSTEM PROXY. Zdalny dostęp do zasobów elektronicznych BGiOINT Politechniki Wrocławskiej SYSTEM PROXY Zdalny dostęp do zasobów elektronicznych BGiOINT Politechniki Wrocławskiej 1. Przeglądarki internetowe obsługujące system proxy 2 2. Uwagi na temat serwerów proxy 2 3. Konfiguracja przeglądarki

Bardziej szczegółowo

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk ul. Rudolfa Weigla 12, 53-114 Wrocław tel. / fax. (4871) 37-09-997, http://www.iitd.pan.wroc.pl NIP: 896-000-56-96;

Bardziej szczegółowo

Referat z przedmiotu Technologie Internetowe SPIS TREŚCI

Referat z przedmiotu Technologie Internetowe SPIS TREŚCI SPIS TREŚCI 1.Dwie metody przekazu danych do serwera 2 2.Metoda GET przykład 3 3.Metoda POST przykład 4 4.Kiedy GET a kiedy POST 5 5.Szablony po co je stosować 7 6.Realizacja szablonu własną funkcją 8

Bardziej szczegółowo

Od assemblera do html5

Od assemblera do html5 Od assemblera do html5 czyli jak się dziś kradnie pieniądze Tomasz keidii Bukowski @~# id IRT @ Cert Polska malware hunter / devops member of DragonSector Jak działaj internet jakaś między-sieć przeglądarka

Bardziej szczegółowo

Open(Source) Web Application Security Project

Open(Source) Web Application Security Project Open(Source) Web Application Security Project 2014-05-14 Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document

Bardziej szczegółowo

Wybrane działy Informatyki Stosowanej

Wybrane działy Informatyki Stosowanej Wybrane działy Informatyki Stosowanej Aplikacje WWW. Statyczne oraz dynamiczne strony WWW. Skrypty po stronie klienta. Dr inż. Andrzej Czerepicki a.czerepicki@wt.pw.edu.pl http://www2.wt.pw.edu.pl/~a.czerepicki

Bardziej szczegółowo

Języki programowania wysokiego poziomu WWW

Języki programowania wysokiego poziomu WWW Języki programowania wysokiego poziomu WWW Zawartość Protokół HTTP Języki HTML i XHTML Struktura dokumentu html: DTD i rodzaje html; xhtml Nagłówek html - kodowanie znaków, język Ciało html Sposób formatowania

Bardziej szczegółowo

Serwery aplikacji. dr Radosław Matusik. radmat

Serwery aplikacji. dr Radosław Matusik.   radmat www.math.uni.lodz.pl/ radmat Ciasteczka trwałe i sesyjne Ciasteczka trwałe - pozostają na komputerze użytkownika po zamknięciu strony, z której zostały pobrane / przeglądarki. Ciasteczka sesyjne - są związane

Bardziej szczegółowo

ASP.NET MVC. Grzegorz Caban grzegorz.caban@gmail.com. 20 stycznia 2009

ASP.NET MVC. Grzegorz Caban grzegorz.caban@gmail.com. 20 stycznia 2009 ASP.NET MVC Grzegorz Caban grzegorz.caban@gmail.com 20 stycznia 2009 Agenda Przyczyna powstania Co to jest ASP.NET MVC Architektura Hello World w ASP.NET MVC ASP.NET MVC vs ASP.NET WebForm Przyszłość framework'a

Bardziej szczegółowo

Dokument hipertekstowy

Dokument hipertekstowy Dokument hipertekstowy Laboratorium 3 Struktura semantyczna i formularze mgr inż. Krzysztof Wróbel Katedra Lingwistyki Komputerowej Design stackoverflow.com Design coursesweb.net Design accessibleculture.org

Bardziej szczegółowo

Program szkolenia: JavaScript Craftsmanship

Program szkolenia: JavaScript Craftsmanship Program szkolenia: JavaScript Craftsmanship Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: JavaScript Craftsmanship Craft-practices-js-craft Craftsmanship developerzy architekci

Bardziej szczegółowo

Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki

Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki Co dziś będziemy robić Uwierzytelnianie użytkowników, Obiekt session, Silniki

Bardziej szczegółowo

POLITYKA PRYWATNOŚCI Opisuje zasady przetwarzania przez nas informacji na Twój temat, w tym danych osobowych oraz ciasteczek, czyli tzw. cookies.

POLITYKA PRYWATNOŚCI Opisuje zasady przetwarzania przez nas informacji na Twój temat, w tym danych osobowych oraz ciasteczek, czyli tzw. cookies. Opisuje zasady przetwarzania przez nas informacji na Twój temat, w tym danych osobowych oraz ciasteczek, czyli tzw. cookies. 1 Informacje ogólne 1. Niniejsza polityka dotyczy serwisu WWW, funkcjonującego

Bardziej szczegółowo

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP 2010.03.17. The OWASP Foundation http://www.owasp.

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP 2010.03.17. The OWASP Foundation http://www.owasp. Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. Przemysław Skowron OWASP Poland Leader OWASP 2010.03.17 Alior Bank S.A. przemyslaw.skowron@gmail.com Copyright The OWASP Foundation

Bardziej szczegółowo

Produktywne tworzenie aplikacji webowych z wykorzystaniem Groovy i

Produktywne tworzenie aplikacji webowych z wykorzystaniem Groovy i Program szkolenia: Produktywne tworzenie aplikacji webowych z wykorzystaniem Groovy i Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Produktywne tworzenie aplikacji webowych z

Bardziej szczegółowo

Dworakowski. Wojciech. Zagrożenia i metody ataku. Aplikacje internetowe -

Dworakowski. Wojciech. Zagrożenia i metody ataku. Aplikacje internetowe - Aplikacje internetowe - Zagrożenia i metody ataku Wojciech Dworakowski Agenda Aplikacja internetowa Trywialne zagrożenia Ukryte parametry Brak obsługi błędów Manipulacje parametrami doklejanie parametrów

Bardziej szczegółowo

ASP.NET MVC. Podstawy. Zaawansowane programowanie internetowe Instrukcja nr 3

ASP.NET MVC. Podstawy. Zaawansowane programowanie internetowe Instrukcja nr 3 3 ASP.NET MVC Podstawy 1 1. Cel zajęć Celem zajęć jest zapoznanie się z podstawami ASP.NET MVC 2.0 Framework. 2. Zadanie Proszę zbudować prostą aplikację WWW przy zastosowaniu framework a ASP.NET MVC 2.0

Bardziej szczegółowo

Microsoft.NET: ASP.NET MVC + Entity Framework (Code First)

Microsoft.NET: ASP.NET MVC + Entity Framework (Code First) Microsoft.NET: ASP.NET MVC + Entity Framework (Code First) Do realizacji projektu potrzebne jest zintegrowane środowisko programistyczne Microsoft Visual Studio 2012. W ramach projektu budowana jest prosta

Bardziej szczegółowo

Ćwiczenie: JavaScript Cookies (3x45 minut)

Ćwiczenie: JavaScript Cookies (3x45 minut) Ćwiczenie: JavaScript Cookies (3x45 minut) Cookies niewielkie porcje danych tekstowych, które mogą być przesyłane między serwerem a przeglądarką. Przeglądarka przechowuje te dane przez określony czas.

Bardziej szczegółowo

Dokumentacja REST API v 3.0. Kraków, 7 marca FreshMail, ul. Fabryczna 20a, Kraków tel , freshmail.

Dokumentacja REST API v 3.0. Kraków, 7 marca FreshMail, ul. Fabryczna 20a, Kraków tel , freshmail. Dokumentacja REST API v 3.0 Kraków, 7 marca 2012 FreshMail, ul. Fabryczna 20a, 31-553 Kraków tel. +48 12 617 61 40, info@freshmail.pl, freshmail.pl Wersja dokumentu: 1.0 Autorzy: Tadeusz Kania ,

Bardziej szczegółowo