Automatyczne skanery podatności aplikacji internetowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Automatyczne skanery podatności aplikacji internetowych"

Transkrypt

1 BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 32, 2012 Automatyczne skanery podatności aplikacji internetowych Paulina TURLEWICZ Instytut Teleinformatyki i Automatyki WAT ul. Gen. S. Kaliskiego 2, Warszawa STRESZCZENIE: W artykule przedstawiono narzędzia, zarówno komercyjne jak i darmowe, przydatne w utrzymywaniu wymaganego poziomu zabezpieczenia informacji automatyczne skanery podatności aplikacji internetowych. W załączniku zamieszczono zmodyfikowaną listę Web Application Security Scanner Evaluation Criteria, opracowaną przez organizację Web Application Security Consortium (WASC). SŁOWA KLUCZOWE: skanery podatności aplikacji internetowych, kryteria WASC, ACTA. 1. Wstęp Wydarzenia, jakie miały miejsce w końcu stycznia bieżącego roku zwróciły uwagę opinii publicznej na problem bezpieczeństwa informacji, a przede wszystkim na problem braku wystarczających zabezpieczeń, aby uchronić przed atakami aplikacje i strony internetowe najważniejszych instytucji rządowych w Polsce. W ramach protestów przeciwko podpisaniu (a po jego podpisaniu również przeciwko ratyfikacji) międzynarodowego porozumienia ACTA zaatakowane zostały strony internetowe najważniejszych instytucji państwowych i wojskowych 1, między innymi: sejmu, policji, premiera RP, Ministerstwa Obrony Narodowej, Agencji Bezpieczeństwa Wewnętrznego, 1 Na podstawie wiadomości zamieszczonych pod adresami: dostęp

2 Paulina Turlewicz Biura Ochrony Rządu. Większość przeprowadzonych ataków miała charakter odmowy dostępu do usługi (DoS), jednak stwierdzono również włamania na strony internetowe (uzyskanie nieuprawnionego dostępu, podmiany zawartości stron) oraz groźby ujawnienia baz danych zawierających m. in. nazwy użytkownika i hasła skrzynek poczty elektronicznej pracowników administracji państwowej. Ataków tych można było chociaż częściowo uniknąć, gdyby aplikacje internetowe i serwery, na których się one znajdowały oraz zawarte tam bazy danych i oprogramowanie zostały dobrze zabezpieczone, a korzystający z nich urzędnicy przeszkoleni, zgodnie z uznanym praktykami dotyczącymi bezpieczeństwa informacji. Jednym z typów narzędzi, które mogą być zastosowane do wykrywania podatności na ataki na zasób wymieniony w poprzednim akapicie, są automatyczne skanery podatności aplikacji internetowych, opisane w dalszej części tego artykułu. 2. Koncepcja działania automatycznych skanerów podatności aplikacji internetowych Podatnością aplikacji internetowej nazywamy luki lub błędy występujące w tej aplikacji, które mogą być wykorzystane do spowodowania szkód w systemie informatycznym lub działalności użytkownika [1]. Podatności mogą zostać wykryte przez testera (lub wykryte i wykorzystane przez atakującego) zarówno w sposób ręczny jak i automatyczny. Istnieje wiele narzędzi skupiających się na pojedynczych podatnościach aplikacji lub ich grupach. Umożliwiają one działanie częściowo lub całkowicie automatyczne a także automatyczne wykorzystywanie wykrytych podatności zgodnie z wolą testera. Najważniejszą cechą odróżniającą automatyczne skanery podatności aplikacji internetowych od innych narzędzi tego typu (tj. na przykład takich, które umożliwiają ręczne badanie i wykorzystywanie pojedynczych podatności aplikacji, serwerów proxy czy fuzzerów) jest możliwość przetestowania dużej liczby funkcji w relatywnie krótkim czasie. Oprócz tego, w przypadku aplikacji typowych (o działaniu opartym o formularze), narzędzia te dają możliwość zidentyfikowania wielu różnego rodzaju istotnych podatności [3] oraz automatyzują wiele działań takich jak crawling 2, odkrywanie zawartości czy skanowanie pod kątem znanych podatności. Po przeprowadzeniu mapowania 2 Crawling: automatyczne zebranie informacji o zasobach aplikacji webowej poprzez wyszukiwanie adresów URL w kodzie HTML oraz zapisywanie plików na które wskazują [2]. 86 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

3 Przegląd automatycznych skanerów podatności aplikacji internetowych zawartości aplikacji (co pozwala na znalezienie wszystkich możliwych wejść do aplikacji i jej zawartości dostępnej tylko dla określonych grup użytkowników, formularzy, stron logowania itp.), skaner przeprowadza jej badania pod kątem znanych podatności, poddając ją zestawowi testów zdefiniowanych w jego konfiguracji. Ponieważ aplikacje internetowe komunikują się z przeglądarką internetową użytkownika za pomocą wywołań GET i POST protokołów HTTP i HTTPS, skaner przeprowadza testy dla każdego parametru w takim wywołaniu dla każdego zapytania przesyłanego między nim a aplikacją. Następnie analizowane są odpowiedzi aplikacji pod kątem sygnatur znanych podatności. Sygnatury te są publikowane przez międzynarodowe organizacje zajmujące się bezpieczeństwem teleinformatycznym w postaci listy znanych podatności (np. Common Weakness Enumeration). Po przeprowadzeniu wszystkich testów skaner generuje raport opisujący każdą z wykrytych podatności. Raport taki zazwyczaj zawiera konkretne przykłady zapytań i odpowiedzi aplikacji dla każdej wykrytej podatności, dzięki czemu można ręcznie sprawdzić i potwierdzić występowanie błędu. 3. Dyskusja pożądanych cech opisywanych narzędzi oraz sposób ich oceny W pracy [4] szukano najlepszego spośród wybranych skanerów podatności aplikacji internetowych spełniających wymagania CAG v.2.3. w zakresie Critical Control 7 3. Cechami pożądanymi narzędzi były między innymi: wysoka wykrywalność podatności faktycznie występujących w aplikacji, wygoda korzystania z narzędzia oraz najlepsze możliwości w zakresie konfiguracji uwzględniające: uwierzytelnianie, zarządzanie sesją, sterowanie, konfigurację crawlingu, zakres testowania oraz raportowanie. Cechy narzędzi, na jakie zwrócono szczególną uwagę przy opracowywaniu ocen i porównaniu, mogą się oczywiście różnić w zależności od celu, w jakim taką ocenę się tworzy. W przypadku pracy [4], gdzie opisane darmowe narzędzia, które mogłyby być wykorzystane przez polskie organizacje, skupiono się m. in. na: dostępności polskiej wersji językowej w interfejsie graficznym, łatwości obsługi narzędzia, 3 CAG Consensus Audit Guidelines dokument zawierający 20 przedsięwzięć pozwalających według jego autorów na szybkie zabezpieczenie systemu i sieci komputerowej organizacji przed cyberatakami; dokument, obecnie w wersji 3.1. dostępny jest na stronie instytutu SANS pod adresem: (dostęp ) Critical Control 7 punkt dokumentu CAG v.2.3. dotyczący bezpieczeństwa aplikacji, w tym aplikacji internetowych; Biuletyn Instytutu Automatyki i Robotyki, 32/

4 Paulina Turlewicz rozpowszechnianiu na licencji pozwalającej na darmowe wykorzystanie komercyjne. Poza wymienionymi ograniczeniami, wynikającymi z rodzaju podmiotu je stosującego, wiele z pozostałych analizowanych cech narzędzia miało charakter uniwersalny. W tym zakresie wykorzystano utworzoną przez organizację Web Application Security Consortium (WASC) listę Web Application Security Scanner Evaluation Criteria [5]. Lista Web Application Security Scanner Evaluation Criteria (WASSEC) została utworzona w 2009 roku i jak można przeczytać w materiałach OWASP 4 wypełnia ona lukę powstałą w wyniku braku jednoznacznych wymagań co do działania automatycznych skanerów bezpieczeństwa aplikacji internetowych. Każde z wymagań jest opisane, wiele z nich uzupełniają przykłady ich zastosowań. Lista ta jest oczywiście jedynie propozycją, utworzoną głównie z myślą o twórcach narzędzi tego typu. Nie ma w niej zawartych propozycji ocen ani wag dla poszczególnych kryteriów. Pod względem oceny narzędzi oraz dyskusji ich pożądanych cech jest jednak o tyle istotna, że przedstawia wszystkie możliwe aspekty działania i konfiguracji takich narzędzi od obsługiwanych protokołów transportowych, wsparcia dla proxy, przez różne typy i metody uwierzytelniania, zarządzania sesją, możliwości konfiguracji crawlingu i parsowania, konfiguracji i zakresu testowania, sterowania skanowaniem i narzędziem aż do szczegółowych wymagań dotyczących tworzenia raportów i wsparcia ze strony producenta. Szablon listy cech narzędzi (zmodyfikowana lista WASC), opracowanej na potrzeby pracy [4], został dołączony jako Załącznik 1 niniejszego artykułu. W szablonie tym, do listy kryteriów oceny narzędzi przyporządkowane zostały wartości wyrażone w skali procentowej. W ten sposób sumując oceny (w przypadku występowania danej cechy w narzędziu) można było otrzymać wartość będącą oceną możliwości konfiguracji takiego narzędzia (wartości sumowały się do 100%). Następnie, po ustaleniu oceny wykrycia istniejących podatności, również sumującej się do 100% i obliczeniu średniej ważonej dla obu tych wartości z odpowiednio przyjętymi wagami (w opisywanej pracy były to 0,6 dla oceny konfiguracji oraz 0,4 dla oceny wykrycia istniejących podatności) można było obliczyć ocenę wypadkową dla takiego narzędzia. Ocena ta stanowi podstawę porównania z innymi narzędziami ocenionymi w ten sam sposób. 4 Materiały do prezentacji organizacji OWASP na temat WASSEC dostępne na stronie internetowej https://www.owasp.org/index.php/web_application_security_scanner_evaluation_cr iteria (dostęp ). 88 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

5 Przegląd automatycznych skanerów podatności aplikacji internetowych 4. Opis wybranych narzędzi W tym punkcie opisano sześć automatycznych skanerów podatności aplikacji internetowych: Burp Suite Pro, Core Impact Pro, Metasploit Pro, W3af, Skipfish oraz Websecurify. Pierwsze trzy z nich to pełne wersje najpopularniejszych narzędzi tego typu o płatnej licecji. W podpunktach zawarty jest opis ich funkcji i zakresu działania. Trzy pozostałe narzędzia to narzędzia darmowe, o licencji pozwalającej na wykorzystanie komercyjne, w doborze których preferowano możliwość wyboru interfejsu graficznego oraz polskiej wersji językowej 5. Proces doboru tych konkretnych narzędzi spośród innych spełniających te same funkcje został szczegółowo opisany w punkcie 4.1. pracy [4]. W przypadku narzędzi darmowych, podrozdziały im odpowiadające podzielono na część ogólnego opisu narzędzia oraz część zawierającą schemat oraz opis konfiguracji (przykładowe wpisy konfiguracyjne odpowiadające testom aplikacji badanej w pracy [4] zostały oznaczone pogrubioną kursywą). W przypadku narzędzi, w których możliwe było ręczne ustawienie parametrów testów, starano się dobrać je tak, aby przeprowadzonych zostało jak najwięcej testów wyróżnionych w zaleceniach WASSEC w kategorii Testowanie/Możliwości (punkt 6b Załącznika 1 niniejszego artykułu) Burp Suite Pro Narzędzie Burp Suite jest zintegrowaną platformą testową umożliwiającą ataki na aplikacje internetowe. Narzędzie pozwala na: przechwytywanie, powtarzanie, analizę oraz wstrzykiwanie żądań do aplikacji (atak typu XSS). W darmowej wersji Burp Suite Free Edition dostępne są następujące elementy narzędzia 6 : Serwer proxy przechwytuje żądania i odpowiedzi, umożliwia ich modyfikacje przed przesłaniem do serwera lub przeglądarki, a także zapisywanie, przeszukiwanie oraz przesyłanie do pozostałych elementów; Intruder tzw. fuzzer, umożliwia automatyczne, iteracyjne przesyłanie zmodyfikowanych żądań do aplikacji webowej oraz analizę odpowiedzi (w wersji darmowej element ten jest udostępniany w ograniczonej czasowo wersji demonstracyjnej); Sequencer umożliwia pobranie identyfikatorów sesji i analizę ich losowości; Comparer umożliwia porównanie dwóch żądań lub odpowiedzi HTTP; 5 Elementy te zostały poddane testom i ocenie wyniki znajdują się w [4]. 6 Lista i opis narzędzi darmowej wersji programu Burp Suite za [2], (str. 60). Biuletyn Instytutu Automatyki i Robotyki, 32/

6 Paulina Turlewicz Decoder umożliwia kodowanie, dekodowanie oraz tworzenie skrótów podanego tekstu; Repeater umożliwia modyfikacje i powtarzanie zapisanych żądań; Spider umożliwia automatyczne zebranie informacji o zasobach aplikacji webowej poprzez wyszukiwanie adresów URL w kodzie HTML oraz zapisywanie plików, na które te adresy wskazują. Narzędzie napisane jest w Javie, jest więc niezależne od systemu operacyjnego na jakim jest uruchamiane. Komunikuje się z użytkownikiem poprzez interfejs graficzny i jest dostępne w angielskiej wersji językowej. Aby móc z niego skorzystać, niezbędne jest zainstalowanie środowiska JRE. Ważną cechą Burp Suite jest obszerna i szczegółowa dokumentacja na stronie internetowej producenta. Burp Suite Pro jest rozszerzoną, płatną wersją narzędzia Burp Suite Free Edition. Oprócz elementów dostępnych dla wersji darmowej zawiera ona dodatkowo: Pełną wersję elementu Intruder. Scanner w pełni zautomatyzowany skaner do testowania podatności aplikacji internetowych, umożliwiający skanowanie aktywne, pasywne i zdefiniowane przez użytkownika. Save and Restore element dający możliwość zapisywania i wznawiania od określonego momentu stanu poszczególnych narzędzi, co jest przydatne przy niektórych scenariuszach testów. Search element dający możliwość wyszukiwania określonych fraz w kodzie źródłowym. Target Analyzer element umożliwiający określenie ile dynamicznych i statycznych adresów URL posiada cel ataku i ile parametrów każdy z tych adresów może zawierać. Content Discovery element, który umożliwia odkrywanie zawartości strony internetowej, której nie znaleziono poprzez bezpośrednie odwołania poprzez zgadywanie popularnych nazw i rozszerzeń plików. Task Scheduler element ten umożliwia zautomatyzowane rozpoczynanie i zatrzymywanie określonych działań aplikacji w zdefiniowanym czasie. Wcześniejsze, częstsze aktualizacje programu (w porównaniu z wersją darmową). 90 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

7 Przegląd automatycznych skanerów podatności aplikacji internetowych 4.2. Core Impact Pro Narzędzie Core Impact Pro jest kolejnym przykładem płatnego, zautomatyzowanego skanera służącego do testów penetracyjnych systemów operacyjnych, aplikacji internetowych oraz stacji roboczych. Narzędzie składa się z wielu (spełniających różne funkcje) modułów napisanych w języku Python. Jak można przeczytać na stronie internetowej producenta 7, narzędzie oferuje następujące funkcje: Możliwość przeprowadzania szybkich testów penetracyjnych przy użyciu kreatora. Możliwość wprowadzania ręcznych ustawień dla określonych podatności. Obsługę harmonogramów, które automatycznie rozpoczynają zaplanowane testy. Obsługę makr. Obsługę modułów, które można dostosować do wymagań użytkownika oraz samodzielnie tworzyć i dołączać. Razem z narzędziem dostarczona jest pełna dokumentacja i opis jego poszczególnych funkcji. Program Core Impact Pro dostępny jest w języku angielskim i ma graficzny interfejs użytkownika. Na stronie producenta zamieszczona jest wersja demonstracyjna (do pobrania po wcześniejszej rejestracji) dostępna pod adresem Metasploit Pro Metsploit Pro jest płatnym, rozszerzonym narzędziem powstałym na bazie darmowego projektu Metasploit dostępnym na licencji open source. Obecnie Metasploit Pro jest wykonany w języku Ruby. W odróżnieniu od darmowej wersji, Metasploit Pro oferuje graficzny interfejs użytkownika oraz wiele narzędzi przydatnych do testowania bezpieczeństwa aplikacji internetowych. Dodatkowo, jak można przeczytać na stronie producenta 8, w porównaniu z darmową wersją, wersja Pro zawiera między innymi takie funkcje jak: Możliwość przeprowadzania ataków socjotechnicznych. Możliwość skanowania aplikacji internetowych. Badanie siły haseł. Zbieranie dowodów. Tworzenie dzienników zdarzeń i raportów Biuletyn Instytutu Automatyki i Robotyki, 32/

8 Paulina Turlewicz Możliwość pracy zespołowej. Unikanie IDS/IPS. VPN pivoting. Podobnie jak pozostałe płatne programy ma on dokumentację dostępną na stronie internetowej producenta oraz system pomocy. Aplikacja jest dostępna w języku angielskim. Warto nadmienić, że producent pozwala na korzystanie z 7-dniowej wersji demonstracyjnej (dostępnej do pobrania pod adresem W3af Opis narzędzia Narzędzie w3af jest kompletnym środowiskiem służącym do przeprowadzania audytów bezpieczeństwa (w tym testowania) aplikacji internetowych. Jego działanie oparte jest o zestawy sygnatur, które pozwalają na przeprowadzanie różnych testów i wykrycie podatności badanej aplikacji. Do scenariusza testu można wybrać jeden z predefiniowanych profili audytu, między innymi OWASP Top 10, fast scan lub bruteforce Zalecany sposób konfiguracji Na rys. 1 jest przedstawiony algorytm zalecanej konfiguracji narzędzia w3af 9. Pogrubioną kursywą podane są przykładowe wpisy konfiguracyjne. Najważniejszym elementem konfiguracji tego narzędzia jest wybór pluginów odpowiadających za przeprowadzane testy (próby ataków). Aby spełnić warunki opisane we wstępie rozdziału 4 zastosowano następującą konfigurację pluginów: 1. Wybranie stanu Active przy kategorii Audit (powoduje automatyczne wybranie wszystkich rodzajów testów z tej kategorii); 2. Wybranie stanu Active przy pluginach kategorii Grep: collectcookies, collectcards, fileuploads, findcomments, formautocomplete; 3. Wybranie stanu Active przy pluginach kategorii Output: console, gtkoutput, htmlfile (z wartością filename: hack-it-yourself-auction.html). 9 Za [4] rozdz Biuletyn Instytutu Automatyki i Robotyki, 32/2012

9 Przegląd automatycznych skanerów podatności aplikacji internetowych START Uruchomienie graficznego interfejsu programu w3af z menu: Applications -> Backtrack -> Vunerability Assesment -> Web Application Assesment -> Web Vunerability Scanners -> w3af gui Utworzenie nowego profilu skanowania poprzez wybranie w menu Profiles -> New oraz wpisanie danych: Name: my_profile Desciption: opis Wpisanie w pole Target adresu aplikacji, która będzie poddana testom: Wpisanie konfiguracji połączeń dla testu w menu Configuration -> HTTP Config zakładka General: timeout 60 zakładka Basic HTTP Configuration: basicauthuser: przyklad, basicauthpass: przyklad1234, basicauthdomain: Wybranie pluginów odpowiadających za przeprowadzane próby ataków Kliknięcie przycisku Start w celu rozpoczęcia badania Obserwacja przebiegu testu w oknie Log Czy koniec testu? NIE TAK Zapoznanie się z raportem wynikowym KONIEC Rys. 1. Zalecana konfiguracja narzędzia w3af Biuletyn Instytutu Automatyki i Robotyki, 32/

10 Paulina Turlewicz 4.5. Skipfish Opis narzędzia Skipfish jest narzędziem opracowanym przez polskiego programistę i wydanym przez Google. Jest to narzędzie w pełni zautomatyzowane, które pozwala na skanowanie aplikacji internetowych pod względem bezpieczeństwa. Do jego najczęściej wymienianych zalet zalicza się łatwość obsługi i szybkość. Narzędzie jest napisane w języku C. Działanie narzędzia polega na tworzeniu interaktywnej mapy badanej strony internetowej poprzez podążanie za adresami URL lub przeprowadzanie ataków słownikowych. Narzędzie dostępne jest w języku angielskim. Na stronie projektu 10 zamieszczona jest jego dokumentacja oraz kod źródłowy Zalecany sposób konfiguracji Na podstawie [4] algorytm korzystania z tego narzędzia i jego zalecanej konfiguracji jest przedstawiony na rys. 2. Aby uruchomić test, standardowo wystarczy podać nazwę lub adres hosta oraz ścieżkę docelową, do której są zapisywane dane wyjściowe. Dodatkowo, należy utworzyć odpowiedni plik biblioteki, którego zawartość decyduje o przebiegu testu. W podfolderze dictionaries foldera narzędzia ( /skipfish/dictionaries) w pliku README-FIRST znajduje się szczegółowy opis jego działania w zależności od dołączonych do niego plików słowników i przypisaniu im odpowiednich atrybutów. Działanie narzędzia (w zależności od użytego słownika) różni się złożonością zapytań i dokładnością, co ma wpływ na czas skanowania i ilość przetwarzanych danych wejściowych oraz wyjściowych. Do przeprowadzenia badania zgodnego z przedstawioną konfiguracją należy wybrać ścieżkę oznaczoną jako 3 z 4 standardowych z użyciem pliku complete.wl. Plik należy skopiować i zmienić jego nazwę, ponieważ standardowo jest nadpisywany odkrytymi danymi (informacjami o zawartości aplikacji lub strony internetowej) w celu ich dalszego przetwarzania Biuletyn Instytutu Automatyki i Robotyki, 32/2012

11 Przegląd automatycznych skanerów podatności aplikacji internetowych START Uruchomienie konsoli programu skipsifsh z menu Applications -> Backtrack -> Vunerability Assesment -> Web Application Assesment -> Web Vunerability Scanners -> skipfish Utworzenie folderu, w którym będą zapisane dane skanowania i raport wynikowy, komendą: mkdir /root/desktop/skipfish-report Skopiowanie słownika wybranego na podstawie opisu w dokumentacji: cp dictionaries/complete.wl dictionary.wl Uruchomienie skanera z atrybutami zgodnymi z pożądanym działaniem aplikacji opisanym w dokumentacji:./skipfish W dictionary.wl Y A przyklad:przyklad1234 d 5 o /root/desktop/skipfish-report Obserwacja przebiegu testu w oknie konsoli Czy koniec testu? NIE TAK Zapoznanie się z raportem wynikowym KONIEC Rys. 2. Zalecana konfiguracja narzędzia Skipfish Biuletyn Instytutu Automatyki i Robotyki, 32/

12 Paulina Turlewicz START Kliknięcie na ikonę aplikacji WebSecurify znajdującą się z lewej strony paska adresu przeglądarki Google Chrome Wpisanie adresu aplikacji internetowej, która będzie poddana testom: Przeczytanie i zaakceptowanie ostrzeżenia o niebezpieczeństwie dla aplikacji związanym z przeprowadzaniem skanowania, poprzez zaznaczenie pola: I understand the risk. Dwukrotne kliknięcie na pasek postępu skanowania w celu otwarcia zakładki do bieżącej obserwacji wyników Obserwacja przebiegu testu w otwartej zakładce Czy koniec testu? NIE TAK Zapoznanie się z raportem wynikowym KONIEC Rys. 3. Zalecana konfiguracja narzędzia Websecurify Atrybuty użyte w badanej konfiguracji:./skipfish W dictionary.wl Y A przyklad:przyklad1234 d 5 o /root/desktop/skipfish-raport -W wybór pliku słownika, 96 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

13 Przegląd automatycznych skanerów podatności aplikacji internetowych -Y wyłączenie fuzzingu rozszerzeń plików w siłowej metodzie odkrywania ścieżek, -A dane autoryzacji, -d maksymalna głębokość crawlingu, -o ścieżka zapisywania danych wyjściowych Websecurify Opis narzędzia Websecurify jest wieloplatformowym narzędziem służącym do zautomatyzowanego testowania bezpieczeństwa aplikacji internetowych. Charakteryzuje się przede wszystkim prostotą obsługi, intuicyjnym interfejsem użytkownika i szybkością działania. Jest dostępne dla większości systemów operacyjnych (Windows, Mac OS, Linux) włączając w to urządzenia mobilne (iphone, Android). Posiada rozbudowane wsparcie i jest rozszerzalne za pośrednictwem wielu języków programowania, w tym JavaScript, Python, C, C++, Java. Narzędzie jest dostępne pod adresem Zalecany sposób konfiguracji Na rys. 3 został przedstawiony algorytm korzystania z narzędzia Websecurify w formie dodatku do przeglądarki internetowej Google Chrome. Algorytm został opracowany na podstawie [4]. 5. Podsumowanie Przeprowadzone na potrzeby [4] testy trzech darmowych narzędzi opisanych w podpunktach 4.4, 4.5 i 4.6 dały wyniki, które przedstawia tab. 1 (najwyższa wartość oznacza wynik najlepszy). Tab. 1. Przedstawienie wyników badania Narzędzie W3af Skipfish WebSecurify Ocena możliwości konfiguracji i przeprowadzania testów 52,6 45,75 29,45 Ocena wykrycia istniejących podatności aplikacji Wynik końcowy 63,56 63,45 56,67 Biuletyn Instytutu Automatyki i Robotyki, 32/

14 Paulina Turlewicz Omówione w poprzednich punktach automatyczne skanery podatności aplikacji internetowych stanowią jedynie niewielką część zbioru narzędzi, które mogą wspomagać ochronę informacji. Aby przeciwdziałać wykorzystaniu błędów w aplikacjach internetowych, można starać się je usunąć podczas wytwarzania oprogramowania, w szczególności na etapie testowania. W tym celu można wykorzystać narzędza testujące kod źródłowy aplikacji, pozwalające na wykrywanie błędów programistycznych. Można także wykorzystać fuzzery do badania reakcji aplikacji na nieprzewidziane przez programistów, losowe dane wejściowe. Aby nie dopuścić do wykorzystania podatności, których nie udało się usunąć, można skorzystać z narzędzi umożliwiających blokowanie ataków (na przykład firewalli warstwy aplikacyjnej lub systemów IDS/IPS). Wspomniany w punkcie 3 Consensus Audit Guidelines (CAG) to darmowy i ogólnie dostępny zestaw zaleceń wspomagających ochronę informacji. Uzupełnieniem zaleceń są propozycje narzędzi wspomagających ochronę informacji w zakresie zbioru zaleceń numer 7 CAG v taki zestaw zaprezentowano w niniejszym artykule Przedstawiona propozycja może być wykorzystana przez organizacje, które nie mają możliwości zakupu drogich narzędzi do zapewnienia takiej ochrony. W [4] zamieszczono także przetłumaczony na język polski rozdział 7 tego dokumentu oraz ankietę audytową, która wspomaga zarządzanie bezpieczeństwem aplikacji. Literatura: 1. LIDERMAN K., Podręcznik administratora bezpieczeństwa teleinformatycznego, Mikom, Warszawa MICHALSKI S., Narzędzie do automatyzacji niskopoziomowych testów bezpieczeństwa aplikacji webowych, Praca magisterska, WAT, Warszawa STUTTARD D., PINTO M., The Web Application Hacker s Handbook. Discovering and Exploiting Security Flaws, Wiley Publishing Inc., TURLEWICZ P., Plan badań i badania zgodności wybranego środowiska z wytycznymi CAG w zakresie Critical Control 7, Praca dyplomowa, WAT, Warszawa Web Application Security Scanner Evaluation Criteria, 20Scanner%20Evaluation%20Criteria, (dostęp ). 98 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

15 Przegląd automatycznych skanerów podatności aplikacji internetowych Automated web application vulnerability scanners ABSTRACT: The paper describes tools, both commercial and free, useful in maintaining the required level of information security protection - automated web application vulnerability scanners. The appendix contains the modified Web Application Security Scanner Evaluation Criteria list, the project of Web Application Security Consortium (WASC). KEY WORDS: web application, vulnerability scanner, WASC criteria, ACTA. Praca wpłynęła do redakcji: Biuletyn Instytutu Automatyki i Robotyki, 32/

16 Paulina Turlewicz Załącznik 1. Lista kryteriów oceny narzędzi testowych. Lista kryteriów oceny narzędzi testowych I. Kryteria wstępne: [w sumie 30%]. 1. Dostępność pełnej dokumentacji narzędzia 8%; 2. Licencja umożliwiająca wykorzystanie komercyjne 8%; 3. Ocena obsługi narzędzia: a) Brak problemów z instalacją i pierwszym uruchomieniem narzędzia 4%; b) Obecność polskiej wersji językowej 4%; c) Ogólna, subiektywna ocena pracy z narzędziem 6%. II. Kryteria oceny możliwości narzędzia: [w sumie 70%]. 1. Wspierane protokoły [razem 5%]; a) Protokoły transportowe: HTTP 1.1/1.0 1%; SSL/TLS 0,5%; HTTP Keep-Alive 0,5%; HTTP Compression 0,25%; HTTP User Agent Configuration 0,25%. b) Wsparcie dla Proxy: HTTP 1.1/1.0 proxy 1%; Socks 4/Socks 5 proxy 1%; Wsparcie plików PAC 0,5%. 2. Uwierzytelnianie [razem 5%]; Wsparcie dla szablonów uwierzytelniania: a) Basic 1%; b) Digest 0,5%; c) HTTP Negotiate (NTLM i Kerberos) 0,5%; d) HTML Form-Based: Automated 0,5%; Scripted 0,5%; Non-Automated 0,5%. e) Single Sign-On 0,5%; f) Client SSL Certificates 0,5%; g) Własne implementacje w ramach extensible HTTP authentication framework 0,5%. 100 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

17 Przegląd automatycznych skanerów podatności aplikacji internetowych 3. Zarządzanie sesją [razem 5%]. a) Możliwości: Umiejętność rozpoznania rozpoczęcia nowej sesji 0,75%; Odświeżanie tokenów 0,75%; Wykrywanie faktu wygaśnięcia sesji 0,75%; Umiejętność rozpoczęcia sesji od nowa i pobrania nowego tokenu 0,75%. b) Wsparcie tokenów: Ciasteczka HTTP 0,25%; Parametry HTTP 0,25%; Ścieżka URL http 0,25%. c) Konfiguracja wykrycia tokena sesji: Automatyczne wykrycie tokena sesji i odświeżenie wartości 0,25%; Ręczna konfiguracja tokena sesji 0,25%. d) Polityka odświeżania tokenów sesji: Ustalona wartość tokena sesji 0,25%; Wartość tokena dostarczona przez proces logowania 0,25%; Dynamiczna wartość tokena 0,25%. 4. Crawling [razem 5%]. a) Konfiguracja Możliwość zdefiniowania początkowej ścieżki URL 0,5%; Możliwość zdefiniowania dodatkowych hostów (lub adresów IP) 0,25%. Możliwość zdefiniowania wyjątków dla: określonych hostów (lub adresów IP) 0,25%; określonych adresów URL lub wzorców URL (wyrażenia regularne) 0,25%; określonych rozszerzeń plików 0,25%; określonych parametrów 0,25%. Możliwość ograniczenia zbędnych zapytań 0,25%; Wspieranie współbieżnych sesji 0,25%; Możliwość określenia opóźnienia zapytań 0,5%; Możliwość zdefiniowania głębokości pełzania 0,5%; Możliwość uczenia crawlerów 0,25%. b) Funkcjonalności: Identyfikacja nowo odkrytych nazw hostów 0,25%; Biuletyn Instytutu Automatyki i Robotyki, 32/

18 Paulina Turlewicz Wsparcie zautomatyzowanego wysyłania formularzy 0,25%; Wykrywanie stron błędów i niestandardowych odpowiedzi 404 0,25%. Wsparcie przekierowań Podążanie za przekierowaniami HTTP/Meta Refresh/JavaScript 0,25%; Identyfikacja i akceptowanie ciasteczek 0,25%; Wsparcie dla aplikacji AJAX 0,25%. 5. Parsowanie [razem 5%]. a) Rodzaje treści internetowych: HTML 0,3%; Obiekty ActiveX /Flash/Aplety Javy 0,3%; JavaScript 0,1%; XML 0,1%; Zwykły tekst 0,1%; Arkusze CSS 0,1%. b) Wsparcie dla kodowania znaków: ISO ,25%; UTF-7 0,25%; UTF-8 0,25%; UTF-16 0,25%. c) Tolerancja parsera 1%; d) Dostosowanie parsera 1%; e) Ekstrakcja zawartości dynamicznej 1%. 6. Testowanie [razem 35%]. a) Konfiguracja: Możliwość podania nazw hostów lub adresów IP 1,75%; Obsługa wzorców URL 1%; Możliwość podania rozszerzeń plików wyłączonych z testowania 1%; Możliwość określenia parametrów wejściowych 1%; Możliwość zdefiniowania wartości ciasteczek, dla których strona nie będzie testowana 1%; Możliwość wykluczenia z testowania stron o określonych nagłówkach http 1%. b) Możliwości: Uwierzytelnianie: 102 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

19 Przegląd automatycznych skanerów podatności aplikacji internetowych Metoda siłowa: o Brak blokowania konta 0,5%; o Inne wiadomości przy błędzie logowania dla poprawnych i niepoprawnych nazw użytkowników 0,5%. Niedostateczne uwierzytelnianie 1%; Niedoskonały mechanizm odzyskiwania haseł 1%; Brak protokołu SSL na stronach logowania 1%; Niewyłączenie autouzupełniania dla pól haseł 1%. Autoryzacja: Poświadczenia / Przewidywanie sesji: o Sekwencyjne tokeny sesji 0,5%; o Nielosowe tokeny sesji 0,5%. Niedostateczna autoryzacja: o Możliwość siłowego przeglądania adresów URL przeznaczonych dla zalogowanych użytkowników bez logowania 0,2%; o Możliwość siłowego przeglądania adresów URL przeznaczonych dla użytkowników o wysokich przywilejach przez użytkowników o niższych przywilejach 0,2%; o HTTP Verb Tampering 0,2%. Niedostateczne wygaśnięcie sesji 1%. Błędy sesji: o Błąd podczas generowania nowego ID sesji po zalogowaniu 0,5%; o Liberalne zarządzanie sesją 0,5%. Podatności sesji: o Token sesji przekazywany w adresie URL 0,2%; o Ciasteczko sesji z nieustawionym atrybutem Secure 0,2%; o Ciasteczko sesji z nieustawionym atrybutem HTTPOnly 0,2%; o Ciasteczko sesji o niewystarczająco losowej wartości 0,2%; o Strona nie wymuszająca połączenia SSL 0,2%; o Strona korzystająca z połączenia SSL ale odwołująca się do niebezpiecznych obiektów 0,2%; o Strona obsługująca słabe szyfry SSL 0,2%. Biuletyn Instytutu Automatyki i Robotyki, 32/

20 Paulina Turlewicz Ataki od strony klienta: Podszywanie (spoofing) zawartości 0,5%; Cross-Site Scripting 1%; Cross-Frame Scripting 0,5%; HTML Injection 0,5%; Cross-Site Request Forgery 0,5%. Ataki związane z Flash em: o Cross-Site Flashing 0,5%; o Cross-Site Scripting poprzez Flash a 0,5%; o Pishing/Przekierowanie URL poprzez Flash a 0,25%; o Otwarta polityka Cross-Domain 0,25%. Wykonywanie poleceń: Format String Attack 0,5%; LDAP Injection 0,5%; OS Command Injection 0,5%; SQL Injection/Blind SQL Injection 1%; SSI Injection 0,5%; XPath Injection 0,5%; HTTP Header Injection / Response Splitting 0,5%; Załączanie odległych plików 0,5%; Załączanie lokalnych plików 0,5%; Potencjalnie złośliwe wgrywanie plików 0,5%. Ujawnienie informacji: Indeksowanie katalogu 0,5%; Wycieki informacji: o Informacje wrażliwe w komentarzach kodu 0,3%; o Szczegółowe wiadomości błędów aplikacji 0,3%; o Nazwy plików kopii zapasowych (home.old, home.bak itp.) 0,3%; o Ujawnienie kodu źródłowego załączonych plików 0,3%. Path Traversal 0,5%; Przewidywalna lokalizacja zasobów 0,5%; Włączone niebezpieczne metody HTTP 0,5%; Włączone WebDAV 0,5%; Domyślne nazwy plików serwera internetowego 0,5%; Strony testowe i diagnostyczne (test.asp, phpinfo.htm itp.) 0,5%; Włączone rozszerzenia Front Page 0,4%; 104 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Portal Security - ModSec Enterprise

Portal Security - ModSec Enterprise Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? dr inż. Jakub Botwicz CISSP, ECSA, GWAPT 19.11.2014 jakub.botwicz@gmail.com Copyright The Foundation Permission is granted to copy, distribute

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester

Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester Fuzzing Piotr Łaskawiec J2EE Developer/Pentester 14.01.2010 Metrosoft (www.metrosoft.com) piotr.laskawiec@gmail.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this

Bardziej szczegółowo

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji - wersja dokumentu 1.3-19.08.2014 Spis treści 1 Wstęp... 4 1.1 Cel dokumentu... 4 1.2 Powiązane dokumenty...

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja Produkcja by CTI Proces instalacji, ważne informacje oraz konfiguracja Spis treści 1. Ważne informacje przed instalacją...3 2. Instalacja programu...4 3. Nawiązanie połączenia z serwerem SQL oraz z programem

Bardziej szczegółowo

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych Szkolenie przeznaczone jest dla osób chcących poszerzyć swoje umiejętności o tworzenie rozwiązań internetowych w PHP. Zajęcia zostały przygotowane w taki sposób, aby po ich ukończeniu można było rozpocząć

Bardziej szczegółowo

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik Panda Managed Office Protection. Przewodnik Panda Managed Office Protection Przewodnik Maj 2008 Spis treści 1. Przewodnik po konsoli administracyjnej i monitorującej... 3 1.1. Przegląd konsoli... 3 1.2.

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

I. Informacje ogólne. Jednym z takich systemów jest Mambo.

I. Informacje ogólne. Jednym z takich systemów jest Mambo. MAMBO (CMS) I. Informacje ogólne CMS, Content Management System ("system zarządzania treścią") jest to jedna lub zestaw aplikacji internetowych pozwalających na łatwe utworzenie oraz późniejszą aktualizację

Bardziej szczegółowo

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW Dokument dostęny do pobrania Z początkiem bieżącego roku akademickiego 2011/2012 zotał uruchomiony nowy system zdalnego dostępu do sieci

Bardziej szczegółowo

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego 2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 23 czerwca 2014 Spis treści 3 Spis treści...5

Bardziej szczegółowo

Przewodnik Google Cloud Print

Przewodnik Google Cloud Print Przewodnik Google Cloud Print Wersja A POL Definicje oznaczeń W tym podręczniku użytkownika zastosowano następujący styl uwag: Uwagi informują o tym, jak należy reagować w danej sytuacji, lub zawierają

Bardziej szczegółowo

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl Pojawianie się nowych podatności I. Identyfikacja podatności II.

Bardziej szczegółowo

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

Krótka Historia. Co to jest NetBeans? Historia. NetBeans Platform NetBeans IDE NetBeans Mobility Pack Zintegrowane moduły. Paczki do NetBeans.

Krótka Historia. Co to jest NetBeans? Historia. NetBeans Platform NetBeans IDE NetBeans Mobility Pack Zintegrowane moduły. Paczki do NetBeans. GRZEGORZ FURDYNA Krótka Historia Co to jest NetBeans? Historia Wersje NetBeans Platform NetBeans IDE NetBeans Mobility Pack Zintegrowane moduły NetBeans Profiler Narzędzie do projektowania GUI Edytor NetBeans

Bardziej szczegółowo

Międzyplatformowy interfejs systemu FOLANessus wykonany przy użyciu biblioteki Qt4

Międzyplatformowy interfejs systemu FOLANessus wykonany przy użyciu biblioteki Qt4 Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Agnieszka Holka Nr albumu: 187396 Praca magisterska na kierunku Informatyka

Bardziej szczegółowo

Projektowani Systemów Inf.

Projektowani Systemów Inf. Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych

Bardziej szczegółowo

Przewodnik Google Cloud Print

Przewodnik Google Cloud Print Przewodnik Google Cloud Print Wersja 0 POL Definicje oznaczeń W tym podręczniku użytkownika zastosowano następującą ikonę: Informacje dotyczą tego, jak należy reagować w danej sytuacji, lub zawierają wskazówki

Bardziej szczegółowo

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja Produkcja by CTI Proces instalacji, ważne informacje oraz konfiguracja Spis treści 1. Ważne informacje przed instalacją... 3 2. Instalacja programu... 4 3. Nawiązanie połączenia z serwerem SQL oraz z programem

Bardziej szczegółowo

Podręcznik Użytkownika LSI WRPO

Podręcznik Użytkownika LSI WRPO Podręcznik użytkownika Lokalnego Systemu Informatycznego do obsługi Wielkopolskiego Regionalnego Programu Operacyjnego na lata 2007 2013 w zakresie wypełniania wniosków o dofinansowanie Wersja 1 Podręcznik

Bardziej szczegółowo

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 3 Inżynieria oprogramowania Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System

Bardziej szczegółowo

REFERAT PRACY DYPLOMOWEJ

REFERAT PRACY DYPLOMOWEJ REFERAT PRACY DYPLOMOWEJ Temat pracy: Projekt i implementacja środowiska do automatyzacji przeprowadzania testów aplikacji internetowych w oparciu o metodykę Behavior Driven Development. Autor: Stepowany

Bardziej szczegółowo

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Instalacja SQL Server Express. Logowanie na stronie Microsoftu Instalacja SQL Server Express Logowanie na stronie Microsoftu Wybór wersji do pobrania Pobieranie startuje, przechodzimy do strony z poradami. Wypakowujemy pobrany plik. Otwiera się okno instalacji. Wybieramy

Bardziej szczegółowo

Konspekt pracy inżynierskiej

Konspekt pracy inżynierskiej Konspekt pracy inżynierskiej Wydział Elektryczny Informatyka, Semestr VI Promotor: dr inż. Tomasz Bilski 1. Proponowany tytuł pracy inżynierskiej: Komunikator Gandu na platformę mobilną Android. 2. Cel

Bardziej szczegółowo

1. Zakres modernizacji Active Directory

1. Zakres modernizacji Active Directory załącznik nr 1 do umowy 1. Zakres modernizacji Active Directory 1.1 Opracowanie szczegółowego projektu wdrożenia. Określenie fizycznych lokalizacji serwerów oraz liczby lokacji Active Directory Określenie

Bardziej szczegółowo

Polityka prywatności serwisu www.aran.com.pl

Polityka prywatności serwisu www.aran.com.pl Przedsiębiorstwo BudowlanoHandlowe Z.Niziński Polityka prywatności serwisu www.aran.com.pl 1. Informacje ogólne. Operatorem Serwisu [adres serwisu, np. www.blink.pl] jest [pełne dane rejestrowe] Serwis

Bardziej szczegółowo

INFORMATYKA Pytania ogólne na egzamin dyplomowy

INFORMATYKA Pytania ogólne na egzamin dyplomowy INFORMATYKA Pytania ogólne na egzamin dyplomowy 1. Wyjaśnić pojęcia problem, algorytm. 2. Podać definicję złożoności czasowej. 3. Podać definicję złożoności pamięciowej. 4. Typy danych w języku C. 5. Instrukcja

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Cemarol Sp. z o.o. 1. Operatorem Serwisu www.powiat-lebork.com jest Cemarol sp. z o.o. z siedzibą w Kobylnicy (76-251), Kobylnica, ul. Główna

Bardziej szczegółowo

Data wydania: 2013-06-12. Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego

Data wydania: 2013-06-12. Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego Wersja 1.0 Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Kapitał Ludzki Tytuł dokumentu: Dokumentacja dla administratora strony

Bardziej szczegółowo

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED Podręcznik użytkownika Katowice 2010 Producent programu: KAMSOFT S.A. ul. 1 Maja 133 40-235 Katowice Telefon: (0-32) 209-07-05 Fax:

Bardziej szczegółowo

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl Niniejsze zasady dotyczą wszystkich Użytkowników strony internetowej funkcjonującej w domenie http://www.pawlowskisport.pl,

Bardziej szczegółowo

Sieciowa instalacja Sekafi 3 SQL

Sieciowa instalacja Sekafi 3 SQL Sieciowa instalacja Sekafi 3 SQL Niniejsza instrukcja opisuje instalację Sekafi 3 SQL w wersji sieciowej, z zewnętrznym serwerem bazy danych. Jeśli wymagana jest praca jednostanowiskowa, należy postępować

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym 1 Wprowadzenie do środowiska Oracle APEX, obszary robocze, użytkownicy Wprowadzenie Plan Administracja obszarem roboczym 2 Wprowadzenie Co to jest APEX? Co to jest APEX? Architektura Środowisko Oracle

Bardziej szczegółowo

Monitorowanie i zarządzanie urządzeniami sieciowymi przy pomocy narzędzi Net-SNMP

Monitorowanie i zarządzanie urządzeniami sieciowymi przy pomocy narzędzi Net-SNMP Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Szymon Klimuk Nr albumu: 187408 Praca magisterska na kierunku Informatyka Monitorowanie

Bardziej szczegółowo

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller Dokumentacja systemu NTP rekrut Autor: Sławomir Miller 1 Spis treści: 1. Wstęp 1.1 Wprowadzenie 1.2 Zakres dokumentu 2. Instalacja 2.1 Wymagania systemowe 2.2 Początek 2.3 Prawa dostępu 2.4 Etapy instalacji

Bardziej szczegółowo

S P I S T R E Ś C I. Instrukcja obsługi

S P I S T R E Ś C I. Instrukcja obsługi S P I S T R E Ś C I Instrukcja obsługi 1. Podstawowe informacje o programie.................................................................................... 2 2. Instalacja programu.....................................................................................................

Bardziej szczegółowo

Jednolite zarządzanie użytkownikami systemów Windows i Linux

Jednolite zarządzanie użytkownikami systemów Windows i Linux Uniwersytet Mikołaja Kopernika Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Paweł Gliwiński Nr albumu: 168470 Praca magisterska na kierunku Informatyka Jednolite

Bardziej szczegółowo

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce www.brinet.pl www.draytek.pl

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce www.brinet.pl www.draytek.pl 1. Firmware Upgrade Utility 1.1. Metoda 1 (standardowa) 1.2. Metoda 2 (niestandardowa) 2. Serwer FTP 2.1. Lokalny serwer FTP 2.2. Zdalny serwer FTP 3. Upgrade przez Web Procedury aktualizacji zostały oparte

Bardziej szczegółowo

Zdalny dostęp SSL. Przewodnik Klienta

Zdalny dostęp SSL. Przewodnik Klienta Zdalny dostęp SSL Przewodnik Klienta Spis treści 1. WSTĘP... 3 2. DOSTĘP DO SSL VPN Z KOMPUTERA Z SYSTEMEM WINDOWS... 3 2.1. INSTALACJA CERTYFIKATÓW SIGNET... 3 2.2. INSTALACJA TOKENA W SYSTEMIE WINDOWS

Bardziej szczegółowo

Tworzenie i obsługa wirtualnego laboratorium komputerowego

Tworzenie i obsługa wirtualnego laboratorium komputerowego Uniwersytet Mikołaja Kopernika Wydział Fizyki, Astronomii i Informatyki Stosowanej Michał Ochociński nr albumu: 236401 Praca magisterska na kierunku informatyka stosowana Tworzenie i obsługa wirtualnego

Bardziej szczegółowo

BSX PRINTER INSTRUKCJA UŻYTKOWNIKA. Autor: Karol Wierzchołowski 30 marca 2015

BSX PRINTER INSTRUKCJA UŻYTKOWNIKA. Autor: Karol Wierzchołowski 30 marca 2015 ! BSX PRINTER INSTRUKCJA UŻYTKOWNIKA Autor: Karol Wierzchołowski 30 marca 2015 SPIS TREŚCI WSTĘP... 3 INTERFEJS PROGRAMU... 5 KONFIGURACJA PROGRAMU... 6 DRUKOWANIE PARAGONÓW I FAKTUR... 8 REJESTRACJA PROGRAMU...

Bardziej szczegółowo

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa Instalacja roli kontrolera domeny, Aby zainstalować rolę kontrolera domeny, należy uruchomić Zarządzenie tym serwerem, po czym wybrać przycisk

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.

Bardziej szczegółowo

PROFINETSET narzędzie konfiguracyjne dla sieci PROFINET

PROFINETSET narzędzie konfiguracyjne dla sieci PROFINET PROFINETSET narzędzie konfiguracyjne dla sieci PROFINET 2015 O PROFINETSET PROFINETSET to darmowe narzędzie przeznaczone do podstawowej parametryzacji urządzeń z wykorzystaniem protokołu DCP (Discovery

Bardziej szczegółowo

Zakres wymagań dotyczących Dokumentacji Systemu

Zakres wymagań dotyczących Dokumentacji Systemu Załącznik nr 2 do Umowy nr CUI/.../.../.../2014 z dnia r. Zakres wymagań dotyczących Dokumentacji Systemu 1. Uwagi i wymagania ogólne 1. Dokumentacja musi zostać dostarczona w wersji elektronicznej edytowalnej

Bardziej szczegółowo

Podręcznik użytkownika

Podręcznik użytkownika Podręcznik użytkownika Moduł kliencki Kodak Asset Management Software Stan i ustawienia zasobów... 1 Menu Stan zasobów... 2 Menu Ustawienia zasobów... 3 Obsługa alertów... 7 Komunikaty zarządzania zasobami...

Bardziej szczegółowo

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi Stosowanie ciasteczek (cookies) Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi przeglądanie strony i składanie zamówień. Dlatego w trosce

Bardziej szczegółowo

System zarządzający grami programistycznymi Meridius

System zarządzający grami programistycznymi Meridius System zarządzający grami programistycznymi Meridius Instytut Informatyki, Uniwersytet Wrocławski 20 września 2011 Promotor: prof. Krzysztof Loryś Gry komputerowe a programistyczne Gry komputerowe Z punktu

Bardziej szczegółowo

Pomoc dla http://host.nask.pl/ 31.12.2012 r.

Pomoc dla http://host.nask.pl/ 31.12.2012 r. Pomoc dla http://host.nask.pl/ 31.12.2012 r. Spis treści Kontakt... 2 Logowanie do konta pocztowego przez WWW... 3 Logowanie do panelu administracyjnego... 4 Konfiguracja klienta pocztowego... 7 Umieszczanie

Bardziej szczegółowo

INSTRUKCJA UŻYTKOWNIKA Repozytorium Dokumentów Elektronicznych KS-EDE ISO 9001:2008 Dokument: 2015.0.0.7 Wydanie: 2015-08

INSTRUKCJA UŻYTKOWNIKA Repozytorium Dokumentów Elektronicznych KS-EDE ISO 9001:2008 Dokument: 2015.0.0.7 Wydanie: 2015-08 Spis treści Wstęp... 2 1. System KS-EWD... 2 1.1. Instalacja KS-EWD... 2 2. Aktualizacja plików repozytorium Dokumentów... 4 2.1.1. Instalacja KS-EDE... 7 3. Integracja systemów... 8 4. Konfiguracja ustawień

Bardziej szczegółowo

elektroniczna Platforma Usług Administracji Publicznej

elektroniczna Platforma Usług Administracji Publicznej elektroniczna Platforma Usług Administracji Publicznej Instrukcja użytkownika Instrukcja korzystania z certyfikatu wersja 7.6 Ministerstwo Spraw Wewnętrznych i Administracji ul. Batorego 5, 02-591 Warszawa

Bardziej szczegółowo

Asystent Hotline Instrukcja instalacji

Asystent Hotline Instrukcja instalacji SoftVig Asystent Hotline Instrukcja instalacji Dokumentacja do wersji: Asystent Hotline (ver. 2.8.4737) Data ostatnich zmian: 2013-05-13 SoftVig Systemy Informatyczne Sp. z o.o. pl. Rodła 8, 70-419 Szczecin,

Bardziej szczegółowo

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia

Bardziej szczegółowo

POLITYKA COOKIES. Definicje. Rodzaje wykorzystywanych Cookies

POLITYKA COOKIES. Definicje. Rodzaje wykorzystywanych Cookies POLITYKA COOKIES Niniejsza Polityka Cookies określa zasady przechowywania i dostępu do informacji na urządzeniach Użytkownika za pomocą plików Cookies, służących realizacji usług świadczonych drogą elektroniczną

Bardziej szczegółowo

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP System Windows XP umożliwia udostępnianie plików i dokumentów innym użytkownikom komputera oraz innym użytkownikom

Bardziej szczegółowo

Rozpoczęcie pracy z programem.

Rozpoczęcie pracy z programem. Rozpoczęcie pracy z programem. Po zainstalowaniu programu należy przygotować program do wykonywania kopii zapasowej baz danych. W tym celu należy uruchomić z menu start Panel sterowania a następnie wybrać

Bardziej szczegółowo

procertum CLIDE Client 2.1 wersja 1.0.2

procertum CLIDE Client 2.1 wersja 1.0.2 Instrukcja obsługi kwalifikowany znacznik czasu do użycia z procertum SmartSign 3.2 procertum CLIDE Client 2.1 wersja 1.0.2 Spis treści 1. INSTALACJA OPROGRAMOWANIA... 3 2. URUCHOMIENIE APLIKACJI... 8

Bardziej szczegółowo

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem). 1. Konfiguracja serwera VPN 1.1. LDAP/AD 1.2. Ustawienia ogólne 1.3. Konto SSL 2. Konfiguracja klienta VPN 3. Status połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji została oparta na

Bardziej szczegółowo

Aktualizacja firmware w urządzeniu za pośrednictwem FTP

Aktualizacja firmware w urządzeniu za pośrednictwem FTP Aktualizacja firmware w urządzeniu za pośrednictwem FTP Wstęp W niektórych przypadkach aktualizacja firmware urządzenia za pośrednictwem FTP jest korzystniejsza od standardowej aktualizacji z poziomu hosta.

Bardziej szczegółowo

Tester oprogramowania 2014/15 Tematy prac dyplomowych

Tester oprogramowania 2014/15 Tematy prac dyplomowych Tester oprogramowania 2014/15 Tematy prac dyplomowych 1. Projekt i wykonanie automatycznych testów funkcjonalnych wg filozofii BDD za pomocą dowolnego narzędzia Jak w praktyce stosować Behaviour Driven

Bardziej szczegółowo

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH. Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH. Spis treści 1. Konfiguracja poczty Exchange dla klienta pocztowego Outlook 2007 protokół Exchange

Bardziej szczegółowo

Specyfikacja techniczna. mprofi Interfejs API

Specyfikacja techniczna. mprofi Interfejs API Warszawa 09.04.2015. Specyfikacja techniczna mprofi Interfejs API wersja 1.0.2 1 Specyfikacja techniczna mprofi Interfejs API wersja 1.0.2 WERSJA DATA STATUTS AUTOR 1.0.0 10.03.2015 UTWORZENIE DOKUMENTU

Bardziej szczegółowo

KURIER BY CTI. Instrukcja do programu DATA 16.09.2014. Informatycznej Zygmunt Wilder w Gliwicach WERSJA 2014.1 mgr Katarzyna Wilder DLA DPD

KURIER BY CTI. Instrukcja do programu DATA 16.09.2014. Informatycznej Zygmunt Wilder w Gliwicach WERSJA 2014.1 mgr Katarzyna Wilder DLA DPD KURIER BY CTI DLA DPD Instrukcja do programu DATA 16.09.2014 PRODUCENT Centrum Technologii Informatycznej Zygmunt Wilder w Gliwicach WERSJA 2014.1 AUTOR mgr Katarzyna Wilder 1. Opis Program Kurier DPD

Bardziej szczegółowo

REGULAMIN KORZYSTANIA Z SERWISU INTERNETOWEGO Lloyd Properties sp. z o.o.

REGULAMIN KORZYSTANIA Z SERWISU INTERNETOWEGO Lloyd Properties sp. z o.o. REGULAMIN KORZYSTANIA Z SERWISU INTERNETOWEGO Lloyd Properties sp. z o.o. POSTANOWIENIA OGÓLNE 1. Niniejszy "Regulamin korzystania z serwisu internetowego Lloyd Properties sp. z o.o." (zwany dalej Regulaminem

Bardziej szczegółowo

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce)

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce) emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce) Zastosowanie Rozszerzenie to przeznaczone jest dla właścicieli sklepów internetowych opartych

Bardziej szczegółowo

Zaawansowane aplikacje internetowe - laboratorium

Zaawansowane aplikacje internetowe - laboratorium Zaawansowane aplikacje internetowe - laboratorium Web Services (część 3). Do wykonania ćwiczeń potrzebne jest zintegrowane środowisko programistyczne Microsoft Visual Studio 2005. Ponadto wymagany jest

Bardziej szczegółowo

Internetowy serwis Era mail Aplikacja sieci Web

Internetowy serwis Era mail Aplikacja sieci Web Internetowy serwis Era mail Aplikacja sieci Web (www.login.eramail.pl) INSTRUKCJA OBSŁUGI Spis treści Internetowy serwis Era mail dostępny przez komputer z podłączeniem do Internetu (aplikacja sieci Web)

Bardziej szczegółowo

Przewodnik instalacji i rozpoczynania pracy. Dla DataPage+ 2013

Przewodnik instalacji i rozpoczynania pracy. Dla DataPage+ 2013 Przewodnik instalacji i rozpoczynania pracy Dla DataPage+ 2013 Ostatnia aktualizacja: 25 lipca 2013 Spis treści Instalowanie wymaganych wstępnie komponentów... 1 Przegląd... 1 Krok 1: Uruchamianie Setup.exe

Bardziej szczegółowo

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006 IO - Plan wdrożenia M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak 5 czerwca 2006 1 Spis treści 1 Wprowadzenie 3 1.1 Cel.......................................... 3 1.2 Zakres........................................

Bardziej szczegółowo

Przewodnik Google Cloud Print

Przewodnik Google Cloud Print Przewodnik Google Cloud Print Wersja B POL Definicje oznaczeń W tym podręczniku użytkownika zastosowano następujący styl uwag: Uwagi informują o tym, jak należy reagować w danej sytuacji, lub zawierają

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

egroupware czy phpgroupware jest też mniej stabilny.

egroupware czy phpgroupware jest też mniej stabilny. Opengroupware to projekt udostępniający kompletny serwer aplikacji oparty na systemie Linux. Dostępny na licencji GNU GPL, strona domowa: http://www.opengroupware.org/ Jego cechy to wysoka stabilność,

Bardziej szczegółowo

CitiDirect Online Banking - portal CitiDirect EB

CitiDirect Online Banking - portal CitiDirect EB CitiDirect Online Banking - portal CitiDirect EB Dodatkowa informacja dotycząca konfiguracji zabezpieczeń oprogramowania Java Pomoc Techniczna CitiDirect CitiService Pomoc Techniczna CitiDirect Tel. 0

Bardziej szczegółowo

elektroniczna Platforma Usług Administracji Publicznej

elektroniczna Platforma Usług Administracji Publicznej elektroniczna Platforma Usług Administracji Publicznej Instrukcja użytkownika Instrukcja korzystania z certyfikatu wersja 7.5 Ministerstwo Spraw Wewnętrznych i Administracji ul. Batorego 5, 02-591 Warszawa

Bardziej szczegółowo

Instrukcja instalacji Asystenta Hotline

Instrukcja instalacji Asystenta Hotline SoftVig Systemy Informatyczne Sp. z o.o. Instrukcja instalacji Asystenta Hotline Ver. 3.5 2012-06-19 2 Instrukcja obsługi programu Asystent Hotline Zawartość 1 INSTALACJA PROGRAMU 3 1.1 WARUNKI KONIECZNE

Bardziej szczegółowo

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki 2011. Promotor dr inż. Paweł Figat

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki 2011. Promotor dr inż. Paweł Figat Grzegorz Ruciński Warszawska Wyższa Szkoła Informatyki 2011 Promotor dr inż. Paweł Figat Cel i hipoteza pracy Wprowadzenie do tematu Przedstawienie porównywanych rozwiązań Przedstawienie zalet i wad porównywanych

Bardziej szczegółowo

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka

Bardziej szczegółowo

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe Lp. Parametry wymagane przez Zamawiającego (nazwa oferowanego oprogramowania) Parametry oferowane przez Wykonawcę (TAK- parametry zgodne z wymaganymi

Bardziej szczegółowo

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników 2. Konfiguracja klienta VPN 3. Status połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji została

Bardziej szczegółowo

Oracle Application Express -

Oracle Application Express - Oracle Application Express - Wprowadzenie Wprowadzenie Oracle Application Express (dawniej: HTML DB) to narzędzie do szybkiego tworzenia aplikacji Web owych korzystających z bazy danych Oracle. Od użytkownika

Bardziej szczegółowo

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional)

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional) Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional) KROK NR 1: Uruchamiamy program Outlook Express. Jesteśmy proszeni o nazwę tożsamości.

Bardziej szczegółowo

BACKUP BAZ DANYCH FIREBIRD

BACKUP BAZ DANYCH FIREBIRD BACKUP BAZ DANYCH FIREBIRD SPIS TREŚCI Informacje ogólne... 2 Tworzenie projektu... 2 Krok 1: Informacje podstawowe... 2 Krok 2: Dane... 3 Backup bazy umieszczonej na serwerze... 3 Bezpośredni backup pliku

Bardziej szczegółowo

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp

Bardziej szczegółowo

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer? Kadry Optivum, Płace Optivum Jak przenieść dane na nowy komputer? Aby kontynuować pracę z programem Kadry Optivum lub Płace Optivum (lub z obydwoma programami pracującymi na wspólnej bazie danych) na nowym

Bardziej szczegółowo

Dokumentacja Administratora portalu. aplikacji. Wirtualna szkoła

Dokumentacja Administratora portalu. aplikacji. Wirtualna szkoła Dokumentacja Administratora portalu aplikacji Wirtualna szkoła aktualna na dzień 20.12.2012 Wykonawca: Young Digital Planet SA 2012 Strona 2 z 15 Spis Treści Wirtualna szkoła SYSTEM ZARZĄDZANIA NAUCZANIEM...

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA

OPIS PRZEDMIOTU ZAMÓWIENIA Lubelskie Centrum Transferu Technologii Politechniki Lubelskiej ul. Nadbystrzycka 36, 20-618 Lublin Tel. 81 538 42 70, fax. 81 538 42 67; e-mail: lctt@pollub.pl OPIS PRZEDMIOTU ZAMÓWIENIA Do realizacji

Bardziej szczegółowo

Laboratorium Systemów Operacyjnych

Laboratorium Systemów Operacyjnych Laboratorium Systemów Operacyjnych Użytkownicy, Grupy, Prawa Tworzenie kont użytkowników Lokalne konto pozwala użytkownikowi na uzyskanie dostępu do zasobów lokalnego komputera. Konto domenowe pozwala

Bardziej szczegółowo

emszmal 3: Automatyczne księgowanie przelewów w programie EasyUploader (plugin dostępny w wersji ecommerce)

emszmal 3: Automatyczne księgowanie przelewów w programie EasyUploader (plugin dostępny w wersji ecommerce) emszmal 3: Automatyczne księgowanie przelewów w programie EasyUploader (plugin dostępny w wersji ecommerce) Zastosowanie Rozszerzenie to przeznaczone jest dla użytkowników programu EasyUploader stworzonego

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo