Automatyczne skanery podatności aplikacji internetowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Automatyczne skanery podatności aplikacji internetowych"

Transkrypt

1 BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 32, 2012 Automatyczne skanery podatności aplikacji internetowych Paulina TURLEWICZ Instytut Teleinformatyki i Automatyki WAT ul. Gen. S. Kaliskiego 2, Warszawa STRESZCZENIE: W artykule przedstawiono narzędzia, zarówno komercyjne jak i darmowe, przydatne w utrzymywaniu wymaganego poziomu zabezpieczenia informacji automatyczne skanery podatności aplikacji internetowych. W załączniku zamieszczono zmodyfikowaną listę Web Application Security Scanner Evaluation Criteria, opracowaną przez organizację Web Application Security Consortium (WASC). SŁOWA KLUCZOWE: skanery podatności aplikacji internetowych, kryteria WASC, ACTA. 1. Wstęp Wydarzenia, jakie miały miejsce w końcu stycznia bieżącego roku zwróciły uwagę opinii publicznej na problem bezpieczeństwa informacji, a przede wszystkim na problem braku wystarczających zabezpieczeń, aby uchronić przed atakami aplikacje i strony internetowe najważniejszych instytucji rządowych w Polsce. W ramach protestów przeciwko podpisaniu (a po jego podpisaniu również przeciwko ratyfikacji) międzynarodowego porozumienia ACTA zaatakowane zostały strony internetowe najważniejszych instytucji państwowych i wojskowych 1, między innymi: sejmu, policji, premiera RP, Ministerstwa Obrony Narodowej, Agencji Bezpieczeństwa Wewnętrznego, 1 Na podstawie wiadomości zamieszczonych pod adresami: dostęp

2 Paulina Turlewicz Biura Ochrony Rządu. Większość przeprowadzonych ataków miała charakter odmowy dostępu do usługi (DoS), jednak stwierdzono również włamania na strony internetowe (uzyskanie nieuprawnionego dostępu, podmiany zawartości stron) oraz groźby ujawnienia baz danych zawierających m. in. nazwy użytkownika i hasła skrzynek poczty elektronicznej pracowników administracji państwowej. Ataków tych można było chociaż częściowo uniknąć, gdyby aplikacje internetowe i serwery, na których się one znajdowały oraz zawarte tam bazy danych i oprogramowanie zostały dobrze zabezpieczone, a korzystający z nich urzędnicy przeszkoleni, zgodnie z uznanym praktykami dotyczącymi bezpieczeństwa informacji. Jednym z typów narzędzi, które mogą być zastosowane do wykrywania podatności na ataki na zasób wymieniony w poprzednim akapicie, są automatyczne skanery podatności aplikacji internetowych, opisane w dalszej części tego artykułu. 2. Koncepcja działania automatycznych skanerów podatności aplikacji internetowych Podatnością aplikacji internetowej nazywamy luki lub błędy występujące w tej aplikacji, które mogą być wykorzystane do spowodowania szkód w systemie informatycznym lub działalności użytkownika [1]. Podatności mogą zostać wykryte przez testera (lub wykryte i wykorzystane przez atakującego) zarówno w sposób ręczny jak i automatyczny. Istnieje wiele narzędzi skupiających się na pojedynczych podatnościach aplikacji lub ich grupach. Umożliwiają one działanie częściowo lub całkowicie automatyczne a także automatyczne wykorzystywanie wykrytych podatności zgodnie z wolą testera. Najważniejszą cechą odróżniającą automatyczne skanery podatności aplikacji internetowych od innych narzędzi tego typu (tj. na przykład takich, które umożliwiają ręczne badanie i wykorzystywanie pojedynczych podatności aplikacji, serwerów proxy czy fuzzerów) jest możliwość przetestowania dużej liczby funkcji w relatywnie krótkim czasie. Oprócz tego, w przypadku aplikacji typowych (o działaniu opartym o formularze), narzędzia te dają możliwość zidentyfikowania wielu różnego rodzaju istotnych podatności [3] oraz automatyzują wiele działań takich jak crawling 2, odkrywanie zawartości czy skanowanie pod kątem znanych podatności. Po przeprowadzeniu mapowania 2 Crawling: automatyczne zebranie informacji o zasobach aplikacji webowej poprzez wyszukiwanie adresów URL w kodzie HTML oraz zapisywanie plików na które wskazują [2]. 86 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

3 Przegląd automatycznych skanerów podatności aplikacji internetowych zawartości aplikacji (co pozwala na znalezienie wszystkich możliwych wejść do aplikacji i jej zawartości dostępnej tylko dla określonych grup użytkowników, formularzy, stron logowania itp.), skaner przeprowadza jej badania pod kątem znanych podatności, poddając ją zestawowi testów zdefiniowanych w jego konfiguracji. Ponieważ aplikacje internetowe komunikują się z przeglądarką internetową użytkownika za pomocą wywołań GET i POST protokołów HTTP i HTTPS, skaner przeprowadza testy dla każdego parametru w takim wywołaniu dla każdego zapytania przesyłanego między nim a aplikacją. Następnie analizowane są odpowiedzi aplikacji pod kątem sygnatur znanych podatności. Sygnatury te są publikowane przez międzynarodowe organizacje zajmujące się bezpieczeństwem teleinformatycznym w postaci listy znanych podatności (np. Common Weakness Enumeration). Po przeprowadzeniu wszystkich testów skaner generuje raport opisujący każdą z wykrytych podatności. Raport taki zazwyczaj zawiera konkretne przykłady zapytań i odpowiedzi aplikacji dla każdej wykrytej podatności, dzięki czemu można ręcznie sprawdzić i potwierdzić występowanie błędu. 3. Dyskusja pożądanych cech opisywanych narzędzi oraz sposób ich oceny W pracy [4] szukano najlepszego spośród wybranych skanerów podatności aplikacji internetowych spełniających wymagania CAG v.2.3. w zakresie Critical Control 7 3. Cechami pożądanymi narzędzi były między innymi: wysoka wykrywalność podatności faktycznie występujących w aplikacji, wygoda korzystania z narzędzia oraz najlepsze możliwości w zakresie konfiguracji uwzględniające: uwierzytelnianie, zarządzanie sesją, sterowanie, konfigurację crawlingu, zakres testowania oraz raportowanie. Cechy narzędzi, na jakie zwrócono szczególną uwagę przy opracowywaniu ocen i porównaniu, mogą się oczywiście różnić w zależności od celu, w jakim taką ocenę się tworzy. W przypadku pracy [4], gdzie opisane darmowe narzędzia, które mogłyby być wykorzystane przez polskie organizacje, skupiono się m. in. na: dostępności polskiej wersji językowej w interfejsie graficznym, łatwości obsługi narzędzia, 3 CAG Consensus Audit Guidelines dokument zawierający 20 przedsięwzięć pozwalających według jego autorów na szybkie zabezpieczenie systemu i sieci komputerowej organizacji przed cyberatakami; dokument, obecnie w wersji 3.1. dostępny jest na stronie instytutu SANS pod adresem: (dostęp ) Critical Control 7 punkt dokumentu CAG v.2.3. dotyczący bezpieczeństwa aplikacji, w tym aplikacji internetowych; Biuletyn Instytutu Automatyki i Robotyki, 32/

4 Paulina Turlewicz rozpowszechnianiu na licencji pozwalającej na darmowe wykorzystanie komercyjne. Poza wymienionymi ograniczeniami, wynikającymi z rodzaju podmiotu je stosującego, wiele z pozostałych analizowanych cech narzędzia miało charakter uniwersalny. W tym zakresie wykorzystano utworzoną przez organizację Web Application Security Consortium (WASC) listę Web Application Security Scanner Evaluation Criteria [5]. Lista Web Application Security Scanner Evaluation Criteria (WASSEC) została utworzona w 2009 roku i jak można przeczytać w materiałach OWASP 4 wypełnia ona lukę powstałą w wyniku braku jednoznacznych wymagań co do działania automatycznych skanerów bezpieczeństwa aplikacji internetowych. Każde z wymagań jest opisane, wiele z nich uzupełniają przykłady ich zastosowań. Lista ta jest oczywiście jedynie propozycją, utworzoną głównie z myślą o twórcach narzędzi tego typu. Nie ma w niej zawartych propozycji ocen ani wag dla poszczególnych kryteriów. Pod względem oceny narzędzi oraz dyskusji ich pożądanych cech jest jednak o tyle istotna, że przedstawia wszystkie możliwe aspekty działania i konfiguracji takich narzędzi od obsługiwanych protokołów transportowych, wsparcia dla proxy, przez różne typy i metody uwierzytelniania, zarządzania sesją, możliwości konfiguracji crawlingu i parsowania, konfiguracji i zakresu testowania, sterowania skanowaniem i narzędziem aż do szczegółowych wymagań dotyczących tworzenia raportów i wsparcia ze strony producenta. Szablon listy cech narzędzi (zmodyfikowana lista WASC), opracowanej na potrzeby pracy [4], został dołączony jako Załącznik 1 niniejszego artykułu. W szablonie tym, do listy kryteriów oceny narzędzi przyporządkowane zostały wartości wyrażone w skali procentowej. W ten sposób sumując oceny (w przypadku występowania danej cechy w narzędziu) można było otrzymać wartość będącą oceną możliwości konfiguracji takiego narzędzia (wartości sumowały się do 100%). Następnie, po ustaleniu oceny wykrycia istniejących podatności, również sumującej się do 100% i obliczeniu średniej ważonej dla obu tych wartości z odpowiednio przyjętymi wagami (w opisywanej pracy były to 0,6 dla oceny konfiguracji oraz 0,4 dla oceny wykrycia istniejących podatności) można było obliczyć ocenę wypadkową dla takiego narzędzia. Ocena ta stanowi podstawę porównania z innymi narzędziami ocenionymi w ten sam sposób. 4 Materiały do prezentacji organizacji OWASP na temat WASSEC dostępne na stronie internetowej https://www.owasp.org/index.php/web_application_security_scanner_evaluation_cr iteria (dostęp ). 88 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

5 Przegląd automatycznych skanerów podatności aplikacji internetowych 4. Opis wybranych narzędzi W tym punkcie opisano sześć automatycznych skanerów podatności aplikacji internetowych: Burp Suite Pro, Core Impact Pro, Metasploit Pro, W3af, Skipfish oraz Websecurify. Pierwsze trzy z nich to pełne wersje najpopularniejszych narzędzi tego typu o płatnej licecji. W podpunktach zawarty jest opis ich funkcji i zakresu działania. Trzy pozostałe narzędzia to narzędzia darmowe, o licencji pozwalającej na wykorzystanie komercyjne, w doborze których preferowano możliwość wyboru interfejsu graficznego oraz polskiej wersji językowej 5. Proces doboru tych konkretnych narzędzi spośród innych spełniających te same funkcje został szczegółowo opisany w punkcie 4.1. pracy [4]. W przypadku narzędzi darmowych, podrozdziały im odpowiadające podzielono na część ogólnego opisu narzędzia oraz część zawierającą schemat oraz opis konfiguracji (przykładowe wpisy konfiguracyjne odpowiadające testom aplikacji badanej w pracy [4] zostały oznaczone pogrubioną kursywą). W przypadku narzędzi, w których możliwe było ręczne ustawienie parametrów testów, starano się dobrać je tak, aby przeprowadzonych zostało jak najwięcej testów wyróżnionych w zaleceniach WASSEC w kategorii Testowanie/Możliwości (punkt 6b Załącznika 1 niniejszego artykułu) Burp Suite Pro Narzędzie Burp Suite jest zintegrowaną platformą testową umożliwiającą ataki na aplikacje internetowe. Narzędzie pozwala na: przechwytywanie, powtarzanie, analizę oraz wstrzykiwanie żądań do aplikacji (atak typu XSS). W darmowej wersji Burp Suite Free Edition dostępne są następujące elementy narzędzia 6 : Serwer proxy przechwytuje żądania i odpowiedzi, umożliwia ich modyfikacje przed przesłaniem do serwera lub przeglądarki, a także zapisywanie, przeszukiwanie oraz przesyłanie do pozostałych elementów; Intruder tzw. fuzzer, umożliwia automatyczne, iteracyjne przesyłanie zmodyfikowanych żądań do aplikacji webowej oraz analizę odpowiedzi (w wersji darmowej element ten jest udostępniany w ograniczonej czasowo wersji demonstracyjnej); Sequencer umożliwia pobranie identyfikatorów sesji i analizę ich losowości; Comparer umożliwia porównanie dwóch żądań lub odpowiedzi HTTP; 5 Elementy te zostały poddane testom i ocenie wyniki znajdują się w [4]. 6 Lista i opis narzędzi darmowej wersji programu Burp Suite za [2], (str. 60). Biuletyn Instytutu Automatyki i Robotyki, 32/

6 Paulina Turlewicz Decoder umożliwia kodowanie, dekodowanie oraz tworzenie skrótów podanego tekstu; Repeater umożliwia modyfikacje i powtarzanie zapisanych żądań; Spider umożliwia automatyczne zebranie informacji o zasobach aplikacji webowej poprzez wyszukiwanie adresów URL w kodzie HTML oraz zapisywanie plików, na które te adresy wskazują. Narzędzie napisane jest w Javie, jest więc niezależne od systemu operacyjnego na jakim jest uruchamiane. Komunikuje się z użytkownikiem poprzez interfejs graficzny i jest dostępne w angielskiej wersji językowej. Aby móc z niego skorzystać, niezbędne jest zainstalowanie środowiska JRE. Ważną cechą Burp Suite jest obszerna i szczegółowa dokumentacja na stronie internetowej producenta. Burp Suite Pro jest rozszerzoną, płatną wersją narzędzia Burp Suite Free Edition. Oprócz elementów dostępnych dla wersji darmowej zawiera ona dodatkowo: Pełną wersję elementu Intruder. Scanner w pełni zautomatyzowany skaner do testowania podatności aplikacji internetowych, umożliwiający skanowanie aktywne, pasywne i zdefiniowane przez użytkownika. Save and Restore element dający możliwość zapisywania i wznawiania od określonego momentu stanu poszczególnych narzędzi, co jest przydatne przy niektórych scenariuszach testów. Search element dający możliwość wyszukiwania określonych fraz w kodzie źródłowym. Target Analyzer element umożliwiający określenie ile dynamicznych i statycznych adresów URL posiada cel ataku i ile parametrów każdy z tych adresów może zawierać. Content Discovery element, który umożliwia odkrywanie zawartości strony internetowej, której nie znaleziono poprzez bezpośrednie odwołania poprzez zgadywanie popularnych nazw i rozszerzeń plików. Task Scheduler element ten umożliwia zautomatyzowane rozpoczynanie i zatrzymywanie określonych działań aplikacji w zdefiniowanym czasie. Wcześniejsze, częstsze aktualizacje programu (w porównaniu z wersją darmową). 90 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

7 Przegląd automatycznych skanerów podatności aplikacji internetowych 4.2. Core Impact Pro Narzędzie Core Impact Pro jest kolejnym przykładem płatnego, zautomatyzowanego skanera służącego do testów penetracyjnych systemów operacyjnych, aplikacji internetowych oraz stacji roboczych. Narzędzie składa się z wielu (spełniających różne funkcje) modułów napisanych w języku Python. Jak można przeczytać na stronie internetowej producenta 7, narzędzie oferuje następujące funkcje: Możliwość przeprowadzania szybkich testów penetracyjnych przy użyciu kreatora. Możliwość wprowadzania ręcznych ustawień dla określonych podatności. Obsługę harmonogramów, które automatycznie rozpoczynają zaplanowane testy. Obsługę makr. Obsługę modułów, które można dostosować do wymagań użytkownika oraz samodzielnie tworzyć i dołączać. Razem z narzędziem dostarczona jest pełna dokumentacja i opis jego poszczególnych funkcji. Program Core Impact Pro dostępny jest w języku angielskim i ma graficzny interfejs użytkownika. Na stronie producenta zamieszczona jest wersja demonstracyjna (do pobrania po wcześniejszej rejestracji) dostępna pod adresem Metasploit Pro Metsploit Pro jest płatnym, rozszerzonym narzędziem powstałym na bazie darmowego projektu Metasploit dostępnym na licencji open source. Obecnie Metasploit Pro jest wykonany w języku Ruby. W odróżnieniu od darmowej wersji, Metasploit Pro oferuje graficzny interfejs użytkownika oraz wiele narzędzi przydatnych do testowania bezpieczeństwa aplikacji internetowych. Dodatkowo, jak można przeczytać na stronie producenta 8, w porównaniu z darmową wersją, wersja Pro zawiera między innymi takie funkcje jak: Możliwość przeprowadzania ataków socjotechnicznych. Możliwość skanowania aplikacji internetowych. Badanie siły haseł. Zbieranie dowodów. Tworzenie dzienników zdarzeń i raportów Biuletyn Instytutu Automatyki i Robotyki, 32/

8 Paulina Turlewicz Możliwość pracy zespołowej. Unikanie IDS/IPS. VPN pivoting. Podobnie jak pozostałe płatne programy ma on dokumentację dostępną na stronie internetowej producenta oraz system pomocy. Aplikacja jest dostępna w języku angielskim. Warto nadmienić, że producent pozwala na korzystanie z 7-dniowej wersji demonstracyjnej (dostępnej do pobrania pod adresem W3af Opis narzędzia Narzędzie w3af jest kompletnym środowiskiem służącym do przeprowadzania audytów bezpieczeństwa (w tym testowania) aplikacji internetowych. Jego działanie oparte jest o zestawy sygnatur, które pozwalają na przeprowadzanie różnych testów i wykrycie podatności badanej aplikacji. Do scenariusza testu można wybrać jeden z predefiniowanych profili audytu, między innymi OWASP Top 10, fast scan lub bruteforce Zalecany sposób konfiguracji Na rys. 1 jest przedstawiony algorytm zalecanej konfiguracji narzędzia w3af 9. Pogrubioną kursywą podane są przykładowe wpisy konfiguracyjne. Najważniejszym elementem konfiguracji tego narzędzia jest wybór pluginów odpowiadających za przeprowadzane testy (próby ataków). Aby spełnić warunki opisane we wstępie rozdziału 4 zastosowano następującą konfigurację pluginów: 1. Wybranie stanu Active przy kategorii Audit (powoduje automatyczne wybranie wszystkich rodzajów testów z tej kategorii); 2. Wybranie stanu Active przy pluginach kategorii Grep: collectcookies, collectcards, fileuploads, findcomments, formautocomplete; 3. Wybranie stanu Active przy pluginach kategorii Output: console, gtkoutput, htmlfile (z wartością filename: hack-it-yourself-auction.html). 9 Za [4] rozdz Biuletyn Instytutu Automatyki i Robotyki, 32/2012

9 Przegląd automatycznych skanerów podatności aplikacji internetowych START Uruchomienie graficznego interfejsu programu w3af z menu: Applications -> Backtrack -> Vunerability Assesment -> Web Application Assesment -> Web Vunerability Scanners -> w3af gui Utworzenie nowego profilu skanowania poprzez wybranie w menu Profiles -> New oraz wpisanie danych: Name: my_profile Desciption: opis Wpisanie w pole Target adresu aplikacji, która będzie poddana testom: Wpisanie konfiguracji połączeń dla testu w menu Configuration -> HTTP Config zakładka General: timeout 60 zakładka Basic HTTP Configuration: basicauthuser: przyklad, basicauthpass: przyklad1234, basicauthdomain: Wybranie pluginów odpowiadających za przeprowadzane próby ataków Kliknięcie przycisku Start w celu rozpoczęcia badania Obserwacja przebiegu testu w oknie Log Czy koniec testu? NIE TAK Zapoznanie się z raportem wynikowym KONIEC Rys. 1. Zalecana konfiguracja narzędzia w3af Biuletyn Instytutu Automatyki i Robotyki, 32/

10 Paulina Turlewicz 4.5. Skipfish Opis narzędzia Skipfish jest narzędziem opracowanym przez polskiego programistę i wydanym przez Google. Jest to narzędzie w pełni zautomatyzowane, które pozwala na skanowanie aplikacji internetowych pod względem bezpieczeństwa. Do jego najczęściej wymienianych zalet zalicza się łatwość obsługi i szybkość. Narzędzie jest napisane w języku C. Działanie narzędzia polega na tworzeniu interaktywnej mapy badanej strony internetowej poprzez podążanie za adresami URL lub przeprowadzanie ataków słownikowych. Narzędzie dostępne jest w języku angielskim. Na stronie projektu 10 zamieszczona jest jego dokumentacja oraz kod źródłowy Zalecany sposób konfiguracji Na podstawie [4] algorytm korzystania z tego narzędzia i jego zalecanej konfiguracji jest przedstawiony na rys. 2. Aby uruchomić test, standardowo wystarczy podać nazwę lub adres hosta oraz ścieżkę docelową, do której są zapisywane dane wyjściowe. Dodatkowo, należy utworzyć odpowiedni plik biblioteki, którego zawartość decyduje o przebiegu testu. W podfolderze dictionaries foldera narzędzia ( /skipfish/dictionaries) w pliku README-FIRST znajduje się szczegółowy opis jego działania w zależności od dołączonych do niego plików słowników i przypisaniu im odpowiednich atrybutów. Działanie narzędzia (w zależności od użytego słownika) różni się złożonością zapytań i dokładnością, co ma wpływ na czas skanowania i ilość przetwarzanych danych wejściowych oraz wyjściowych. Do przeprowadzenia badania zgodnego z przedstawioną konfiguracją należy wybrać ścieżkę oznaczoną jako 3 z 4 standardowych z użyciem pliku complete.wl. Plik należy skopiować i zmienić jego nazwę, ponieważ standardowo jest nadpisywany odkrytymi danymi (informacjami o zawartości aplikacji lub strony internetowej) w celu ich dalszego przetwarzania Biuletyn Instytutu Automatyki i Robotyki, 32/2012

11 Przegląd automatycznych skanerów podatności aplikacji internetowych START Uruchomienie konsoli programu skipsifsh z menu Applications -> Backtrack -> Vunerability Assesment -> Web Application Assesment -> Web Vunerability Scanners -> skipfish Utworzenie folderu, w którym będą zapisane dane skanowania i raport wynikowy, komendą: mkdir /root/desktop/skipfish-report Skopiowanie słownika wybranego na podstawie opisu w dokumentacji: cp dictionaries/complete.wl dictionary.wl Uruchomienie skanera z atrybutami zgodnymi z pożądanym działaniem aplikacji opisanym w dokumentacji:./skipfish W dictionary.wl Y A przyklad:przyklad1234 d 5 o /root/desktop/skipfish-report Obserwacja przebiegu testu w oknie konsoli Czy koniec testu? NIE TAK Zapoznanie się z raportem wynikowym KONIEC Rys. 2. Zalecana konfiguracja narzędzia Skipfish Biuletyn Instytutu Automatyki i Robotyki, 32/

12 Paulina Turlewicz START Kliknięcie na ikonę aplikacji WebSecurify znajdującą się z lewej strony paska adresu przeglądarki Google Chrome Wpisanie adresu aplikacji internetowej, która będzie poddana testom: Przeczytanie i zaakceptowanie ostrzeżenia o niebezpieczeństwie dla aplikacji związanym z przeprowadzaniem skanowania, poprzez zaznaczenie pola: I understand the risk. Dwukrotne kliknięcie na pasek postępu skanowania w celu otwarcia zakładki do bieżącej obserwacji wyników Obserwacja przebiegu testu w otwartej zakładce Czy koniec testu? NIE TAK Zapoznanie się z raportem wynikowym KONIEC Rys. 3. Zalecana konfiguracja narzędzia Websecurify Atrybuty użyte w badanej konfiguracji:./skipfish W dictionary.wl Y A przyklad:przyklad1234 d 5 o /root/desktop/skipfish-raport -W wybór pliku słownika, 96 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

13 Przegląd automatycznych skanerów podatności aplikacji internetowych -Y wyłączenie fuzzingu rozszerzeń plików w siłowej metodzie odkrywania ścieżek, -A dane autoryzacji, -d maksymalna głębokość crawlingu, -o ścieżka zapisywania danych wyjściowych Websecurify Opis narzędzia Websecurify jest wieloplatformowym narzędziem służącym do zautomatyzowanego testowania bezpieczeństwa aplikacji internetowych. Charakteryzuje się przede wszystkim prostotą obsługi, intuicyjnym interfejsem użytkownika i szybkością działania. Jest dostępne dla większości systemów operacyjnych (Windows, Mac OS, Linux) włączając w to urządzenia mobilne (iphone, Android). Posiada rozbudowane wsparcie i jest rozszerzalne za pośrednictwem wielu języków programowania, w tym JavaScript, Python, C, C++, Java. Narzędzie jest dostępne pod adresem Zalecany sposób konfiguracji Na rys. 3 został przedstawiony algorytm korzystania z narzędzia Websecurify w formie dodatku do przeglądarki internetowej Google Chrome. Algorytm został opracowany na podstawie [4]. 5. Podsumowanie Przeprowadzone na potrzeby [4] testy trzech darmowych narzędzi opisanych w podpunktach 4.4, 4.5 i 4.6 dały wyniki, które przedstawia tab. 1 (najwyższa wartość oznacza wynik najlepszy). Tab. 1. Przedstawienie wyników badania Narzędzie W3af Skipfish WebSecurify Ocena możliwości konfiguracji i przeprowadzania testów 52,6 45,75 29,45 Ocena wykrycia istniejących podatności aplikacji Wynik końcowy 63,56 63,45 56,67 Biuletyn Instytutu Automatyki i Robotyki, 32/

14 Paulina Turlewicz Omówione w poprzednich punktach automatyczne skanery podatności aplikacji internetowych stanowią jedynie niewielką część zbioru narzędzi, które mogą wspomagać ochronę informacji. Aby przeciwdziałać wykorzystaniu błędów w aplikacjach internetowych, można starać się je usunąć podczas wytwarzania oprogramowania, w szczególności na etapie testowania. W tym celu można wykorzystać narzędza testujące kod źródłowy aplikacji, pozwalające na wykrywanie błędów programistycznych. Można także wykorzystać fuzzery do badania reakcji aplikacji na nieprzewidziane przez programistów, losowe dane wejściowe. Aby nie dopuścić do wykorzystania podatności, których nie udało się usunąć, można skorzystać z narzędzi umożliwiających blokowanie ataków (na przykład firewalli warstwy aplikacyjnej lub systemów IDS/IPS). Wspomniany w punkcie 3 Consensus Audit Guidelines (CAG) to darmowy i ogólnie dostępny zestaw zaleceń wspomagających ochronę informacji. Uzupełnieniem zaleceń są propozycje narzędzi wspomagających ochronę informacji w zakresie zbioru zaleceń numer 7 CAG v taki zestaw zaprezentowano w niniejszym artykule Przedstawiona propozycja może być wykorzystana przez organizacje, które nie mają możliwości zakupu drogich narzędzi do zapewnienia takiej ochrony. W [4] zamieszczono także przetłumaczony na język polski rozdział 7 tego dokumentu oraz ankietę audytową, która wspomaga zarządzanie bezpieczeństwem aplikacji. Literatura: 1. LIDERMAN K., Podręcznik administratora bezpieczeństwa teleinformatycznego, Mikom, Warszawa MICHALSKI S., Narzędzie do automatyzacji niskopoziomowych testów bezpieczeństwa aplikacji webowych, Praca magisterska, WAT, Warszawa STUTTARD D., PINTO M., The Web Application Hacker s Handbook. Discovering and Exploiting Security Flaws, Wiley Publishing Inc., TURLEWICZ P., Plan badań i badania zgodności wybranego środowiska z wytycznymi CAG w zakresie Critical Control 7, Praca dyplomowa, WAT, Warszawa Web Application Security Scanner Evaluation Criteria, 20Scanner%20Evaluation%20Criteria, (dostęp ). 98 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

15 Przegląd automatycznych skanerów podatności aplikacji internetowych Automated web application vulnerability scanners ABSTRACT: The paper describes tools, both commercial and free, useful in maintaining the required level of information security protection - automated web application vulnerability scanners. The appendix contains the modified Web Application Security Scanner Evaluation Criteria list, the project of Web Application Security Consortium (WASC). KEY WORDS: web application, vulnerability scanner, WASC criteria, ACTA. Praca wpłynęła do redakcji: Biuletyn Instytutu Automatyki i Robotyki, 32/

16 Paulina Turlewicz Załącznik 1. Lista kryteriów oceny narzędzi testowych. Lista kryteriów oceny narzędzi testowych I. Kryteria wstępne: [w sumie 30%]. 1. Dostępność pełnej dokumentacji narzędzia 8%; 2. Licencja umożliwiająca wykorzystanie komercyjne 8%; 3. Ocena obsługi narzędzia: a) Brak problemów z instalacją i pierwszym uruchomieniem narzędzia 4%; b) Obecność polskiej wersji językowej 4%; c) Ogólna, subiektywna ocena pracy z narzędziem 6%. II. Kryteria oceny możliwości narzędzia: [w sumie 70%]. 1. Wspierane protokoły [razem 5%]; a) Protokoły transportowe: HTTP 1.1/1.0 1%; SSL/TLS 0,5%; HTTP Keep-Alive 0,5%; HTTP Compression 0,25%; HTTP User Agent Configuration 0,25%. b) Wsparcie dla Proxy: HTTP 1.1/1.0 proxy 1%; Socks 4/Socks 5 proxy 1%; Wsparcie plików PAC 0,5%. 2. Uwierzytelnianie [razem 5%]; Wsparcie dla szablonów uwierzytelniania: a) Basic 1%; b) Digest 0,5%; c) HTTP Negotiate (NTLM i Kerberos) 0,5%; d) HTML Form-Based: Automated 0,5%; Scripted 0,5%; Non-Automated 0,5%. e) Single Sign-On 0,5%; f) Client SSL Certificates 0,5%; g) Własne implementacje w ramach extensible HTTP authentication framework 0,5%. 100 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

17 Przegląd automatycznych skanerów podatności aplikacji internetowych 3. Zarządzanie sesją [razem 5%]. a) Możliwości: Umiejętność rozpoznania rozpoczęcia nowej sesji 0,75%; Odświeżanie tokenów 0,75%; Wykrywanie faktu wygaśnięcia sesji 0,75%; Umiejętność rozpoczęcia sesji od nowa i pobrania nowego tokenu 0,75%. b) Wsparcie tokenów: Ciasteczka HTTP 0,25%; Parametry HTTP 0,25%; Ścieżka URL http 0,25%. c) Konfiguracja wykrycia tokena sesji: Automatyczne wykrycie tokena sesji i odświeżenie wartości 0,25%; Ręczna konfiguracja tokena sesji 0,25%. d) Polityka odświeżania tokenów sesji: Ustalona wartość tokena sesji 0,25%; Wartość tokena dostarczona przez proces logowania 0,25%; Dynamiczna wartość tokena 0,25%. 4. Crawling [razem 5%]. a) Konfiguracja Możliwość zdefiniowania początkowej ścieżki URL 0,5%; Możliwość zdefiniowania dodatkowych hostów (lub adresów IP) 0,25%. Możliwość zdefiniowania wyjątków dla: określonych hostów (lub adresów IP) 0,25%; określonych adresów URL lub wzorców URL (wyrażenia regularne) 0,25%; określonych rozszerzeń plików 0,25%; określonych parametrów 0,25%. Możliwość ograniczenia zbędnych zapytań 0,25%; Wspieranie współbieżnych sesji 0,25%; Możliwość określenia opóźnienia zapytań 0,5%; Możliwość zdefiniowania głębokości pełzania 0,5%; Możliwość uczenia crawlerów 0,25%. b) Funkcjonalności: Identyfikacja nowo odkrytych nazw hostów 0,25%; Biuletyn Instytutu Automatyki i Robotyki, 32/

18 Paulina Turlewicz Wsparcie zautomatyzowanego wysyłania formularzy 0,25%; Wykrywanie stron błędów i niestandardowych odpowiedzi 404 0,25%. Wsparcie przekierowań Podążanie za przekierowaniami HTTP/Meta Refresh/JavaScript 0,25%; Identyfikacja i akceptowanie ciasteczek 0,25%; Wsparcie dla aplikacji AJAX 0,25%. 5. Parsowanie [razem 5%]. a) Rodzaje treści internetowych: HTML 0,3%; Obiekty ActiveX /Flash/Aplety Javy 0,3%; JavaScript 0,1%; XML 0,1%; Zwykły tekst 0,1%; Arkusze CSS 0,1%. b) Wsparcie dla kodowania znaków: ISO ,25%; UTF-7 0,25%; UTF-8 0,25%; UTF-16 0,25%. c) Tolerancja parsera 1%; d) Dostosowanie parsera 1%; e) Ekstrakcja zawartości dynamicznej 1%. 6. Testowanie [razem 35%]. a) Konfiguracja: Możliwość podania nazw hostów lub adresów IP 1,75%; Obsługa wzorców URL 1%; Możliwość podania rozszerzeń plików wyłączonych z testowania 1%; Możliwość określenia parametrów wejściowych 1%; Możliwość zdefiniowania wartości ciasteczek, dla których strona nie będzie testowana 1%; Możliwość wykluczenia z testowania stron o określonych nagłówkach http 1%. b) Możliwości: Uwierzytelnianie: 102 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

19 Przegląd automatycznych skanerów podatności aplikacji internetowych Metoda siłowa: o Brak blokowania konta 0,5%; o Inne wiadomości przy błędzie logowania dla poprawnych i niepoprawnych nazw użytkowników 0,5%. Niedostateczne uwierzytelnianie 1%; Niedoskonały mechanizm odzyskiwania haseł 1%; Brak protokołu SSL na stronach logowania 1%; Niewyłączenie autouzupełniania dla pól haseł 1%. Autoryzacja: Poświadczenia / Przewidywanie sesji: o Sekwencyjne tokeny sesji 0,5%; o Nielosowe tokeny sesji 0,5%. Niedostateczna autoryzacja: o Możliwość siłowego przeglądania adresów URL przeznaczonych dla zalogowanych użytkowników bez logowania 0,2%; o Możliwość siłowego przeglądania adresów URL przeznaczonych dla użytkowników o wysokich przywilejach przez użytkowników o niższych przywilejach 0,2%; o HTTP Verb Tampering 0,2%. Niedostateczne wygaśnięcie sesji 1%. Błędy sesji: o Błąd podczas generowania nowego ID sesji po zalogowaniu 0,5%; o Liberalne zarządzanie sesją 0,5%. Podatności sesji: o Token sesji przekazywany w adresie URL 0,2%; o Ciasteczko sesji z nieustawionym atrybutem Secure 0,2%; o Ciasteczko sesji z nieustawionym atrybutem HTTPOnly 0,2%; o Ciasteczko sesji o niewystarczająco losowej wartości 0,2%; o Strona nie wymuszająca połączenia SSL 0,2%; o Strona korzystająca z połączenia SSL ale odwołująca się do niebezpiecznych obiektów 0,2%; o Strona obsługująca słabe szyfry SSL 0,2%. Biuletyn Instytutu Automatyki i Robotyki, 32/

20 Paulina Turlewicz Ataki od strony klienta: Podszywanie (spoofing) zawartości 0,5%; Cross-Site Scripting 1%; Cross-Frame Scripting 0,5%; HTML Injection 0,5%; Cross-Site Request Forgery 0,5%. Ataki związane z Flash em: o Cross-Site Flashing 0,5%; o Cross-Site Scripting poprzez Flash a 0,5%; o Pishing/Przekierowanie URL poprzez Flash a 0,25%; o Otwarta polityka Cross-Domain 0,25%. Wykonywanie poleceń: Format String Attack 0,5%; LDAP Injection 0,5%; OS Command Injection 0,5%; SQL Injection/Blind SQL Injection 1%; SSI Injection 0,5%; XPath Injection 0,5%; HTTP Header Injection / Response Splitting 0,5%; Załączanie odległych plików 0,5%; Załączanie lokalnych plików 0,5%; Potencjalnie złośliwe wgrywanie plików 0,5%. Ujawnienie informacji: Indeksowanie katalogu 0,5%; Wycieki informacji: o Informacje wrażliwe w komentarzach kodu 0,3%; o Szczegółowe wiadomości błędów aplikacji 0,3%; o Nazwy plików kopii zapasowych (home.old, home.bak itp.) 0,3%; o Ujawnienie kodu źródłowego załączonych plików 0,3%. Path Traversal 0,5%; Przewidywalna lokalizacja zasobów 0,5%; Włączone niebezpieczne metody HTTP 0,5%; Włączone WebDAV 0,5%; Domyślne nazwy plików serwera internetowego 0,5%; Strony testowe i diagnostyczne (test.asp, phpinfo.htm itp.) 0,5%; Włączone rozszerzenia Front Page 0,4%; 104 Biuletyn Instytutu Automatyki i Robotyki, 32/2012

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? dr inż. Jakub Botwicz CISSP, ECSA, GWAPT 19.11.2014 jakub.botwicz@gmail.com Copyright The Foundation Permission is granted to copy, distribute

Bardziej szczegółowo

Portal Security - ModSec Enterprise

Portal Security - ModSec Enterprise Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych Szkolenie przeznaczone jest dla osób chcących poszerzyć swoje umiejętności o tworzenie rozwiązań internetowych w PHP. Zajęcia zostały przygotowane w taki sposób, aby po ich ukończeniu można było rozpocząć

Bardziej szczegółowo

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja Produkcja by CTI Proces instalacji, ważne informacje oraz konfiguracja Spis treści 1. Ważne informacje przed instalacją...3 2. Instalacja programu...4 3. Nawiązanie połączenia z serwerem SQL oraz z programem

Bardziej szczegółowo

Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester

Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester Fuzzing Piotr Łaskawiec J2EE Developer/Pentester 14.01.2010 Metrosoft (www.metrosoft.com) piotr.laskawiec@gmail.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller Dokumentacja systemu NTP rekrut Autor: Sławomir Miller 1 Spis treści: 1. Wstęp 1.1 Wprowadzenie 1.2 Zakres dokumentu 2. Instalacja 2.1 Wymagania systemowe 2.2 Początek 2.3 Prawa dostępu 2.4 Etapy instalacji

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Data wydania: 2013-06-12. Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego

Data wydania: 2013-06-12. Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego Wersja 1.0 Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Kapitał Ludzki Tytuł dokumentu: Dokumentacja dla administratora strony

Bardziej szczegółowo

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja Produkcja by CTI Proces instalacji, ważne informacje oraz konfiguracja Spis treści 1. Ważne informacje przed instalacją... 3 2. Instalacja programu... 4 3. Nawiązanie połączenia z serwerem SQL oraz z programem

Bardziej szczegółowo

I. Informacje ogólne. Jednym z takich systemów jest Mambo.

I. Informacje ogólne. Jednym z takich systemów jest Mambo. MAMBO (CMS) I. Informacje ogólne CMS, Content Management System ("system zarządzania treścią") jest to jedna lub zestaw aplikacji internetowych pozwalających na łatwe utworzenie oraz późniejszą aktualizację

Bardziej szczegółowo

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW Dokument dostęny do pobrania Z początkiem bieżącego roku akademickiego 2011/2012 zotał uruchomiony nowy system zdalnego dostępu do sieci

Bardziej szczegółowo

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego 2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 23 czerwca 2014 Spis treści 3 Spis treści...5

Bardziej szczegółowo

Jednolite zarządzanie użytkownikami systemów Windows i Linux

Jednolite zarządzanie użytkownikami systemów Windows i Linux Uniwersytet Mikołaja Kopernika Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Paweł Gliwiński Nr albumu: 168470 Praca magisterska na kierunku Informatyka Jednolite

Bardziej szczegółowo

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl Pojawianie się nowych podatności I. Identyfikacja podatności II.

Bardziej szczegółowo

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji - wersja dokumentu 1.3-19.08.2014 Spis treści 1 Wstęp... 4 1.1 Cel dokumentu... 4 1.2 Powiązane dokumenty...

Bardziej szczegółowo

Oracle Application Express -

Oracle Application Express - Oracle Application Express - Wprowadzenie Wprowadzenie Oracle Application Express (dawniej: HTML DB) to narzędzie do szybkiego tworzenia aplikacji Web owych korzystających z bazy danych Oracle. Od użytkownika

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

Projektowani Systemów Inf.

Projektowani Systemów Inf. Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych

Bardziej szczegółowo

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

INFORMATYKA Pytania ogólne na egzamin dyplomowy

INFORMATYKA Pytania ogólne na egzamin dyplomowy INFORMATYKA Pytania ogólne na egzamin dyplomowy 1. Wyjaśnić pojęcia problem, algorytm. 2. Podać definicję złożoności czasowej. 3. Podać definicję złożoności pamięciowej. 4. Typy danych w języku C. 5. Instrukcja

Bardziej szczegółowo

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 3 Inżynieria oprogramowania Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System

Bardziej szczegółowo

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe Lp. Parametry wymagane przez Zamawiającego (nazwa oferowanego oprogramowania) Parametry oferowane przez Wykonawcę (TAK- parametry zgodne z wymaganymi

Bardziej szczegółowo

Instalacja systemu zarządzania treścią (CMS): Joomla

Instalacja systemu zarządzania treścią (CMS): Joomla Instalacja systemu zarządzania treścią (CMS): Joomla Na stronie http://www.cba.pl/ zarejestruj nowe konto klikając na przycisk:, następnie wybierz nazwę domeny (Rys. 1a) oraz wypełnij obowiązkowe pola

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED Podręcznik użytkownika Katowice 2010 Producent programu: KAMSOFT S.A. ul. 1 Maja 133 40-235 Katowice Telefon: (0-32) 209-07-05 Fax:

Bardziej szczegółowo

Przewodnik Google Cloud Print

Przewodnik Google Cloud Print Przewodnik Google Cloud Print Wersja A POL Definicje oznaczeń W tym podręczniku użytkownika zastosowano następujący styl uwag: Uwagi informują o tym, jak należy reagować w danej sytuacji, lub zawierają

Bardziej szczegółowo

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Konspekt pracy inżynierskiej

Konspekt pracy inżynierskiej Konspekt pracy inżynierskiej Wydział Elektryczny Informatyka, Semestr VI Promotor: dr inż. Tomasz Bilski 1. Proponowany tytuł pracy inżynierskiej: Komunikator Gandu na platformę mobilną Android. 2. Cel

Bardziej szczegółowo

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora

Bardziej szczegółowo

Wybrane problemy bezpieczeństwa w systemach IT.

Wybrane problemy bezpieczeństwa w systemach IT. Wybrane problemy bezpieczeństwa w systemach IT. Kraków 21.04.2012r. Michał Sajdak, CISSP www.securitum.pl O prelegencie Michał Sajdak Na co dzień prowadzę: Szkolenia www.securitum.pl/oferta/szkolenia/

Bardziej szczegółowo

Zdalny dostęp SSL. Przewodnik Klienta

Zdalny dostęp SSL. Przewodnik Klienta Zdalny dostęp SSL Przewodnik Klienta Spis treści 1. WSTĘP... 3 2. DOSTĘP DO SSL VPN Z KOMPUTERA Z SYSTEMEM WINDOWS... 3 2.1. INSTALACJA CERTYFIKATÓW SIGNET... 3 2.2. INSTALACJA TOKENA W SYSTEMIE WINDOWS

Bardziej szczegółowo

System DiLO. Opis interfejsu dostępowego v. 2.0

System DiLO. Opis interfejsu dostępowego v. 2.0 System DiLO Opis interfejsu dostępowego v. 2.0 Warszawa 2015 1 Wprowadzone zmiany Wersja Opis 1.0 Wersja bazowa 1.1 Dodanie możliwości przejścia z wydania karty w POZ (WK-POZ) do zabiegu operacyjnego (ZAB-OPER)

Bardziej szczegółowo

Przewodnik Google Cloud Print

Przewodnik Google Cloud Print Przewodnik Google Cloud Print Wersja 0 POL Definicje oznaczeń W tym podręczniku użytkownika zastosowano następującą ikonę: Informacje dotyczą tego, jak należy reagować w danej sytuacji, lub zawierają wskazówki

Bardziej szczegółowo

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk ul. Rudolfa Weigla 12, 53-114 Wrocław tel. / fax. (4871) 37-09-997, http://www.iitd.pan.wroc.pl NIP: 896-000-56-96;

Bardziej szczegółowo

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP 2012-10-24. The OWASP Foundation http://www.owasp.org

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP 2012-10-24. The OWASP Foundation http://www.owasp.org Bezpieczeństwo aplikacji Czy musi być aż tak źle? 2012-10-24 Wojciech Dworakowski Poland Chapter Leader SecuRing Copyright The Foundation Permission is granted to copy, distribute and/or modify this document

Bardziej szczegółowo

Zakres wymagań dotyczących Dokumentacji Systemu

Zakres wymagań dotyczących Dokumentacji Systemu Załącznik nr 2 do Umowy nr CUI/.../.../.../2014 z dnia r. Zakres wymagań dotyczących Dokumentacji Systemu 1. Uwagi i wymagania ogólne 1. Dokumentacja musi zostać dostarczona w wersji elektronicznej edytowalnej

Bardziej szczegółowo

Tester oprogramowania 2014/15 Tematy prac dyplomowych

Tester oprogramowania 2014/15 Tematy prac dyplomowych Tester oprogramowania 2014/15 Tematy prac dyplomowych 1. Projekt i wykonanie automatycznych testów funkcjonalnych wg filozofii BDD za pomocą dowolnego narzędzia Jak w praktyce stosować Behaviour Driven

Bardziej szczegółowo

Specyfikacja techniczna. mprofi Interfejs API

Specyfikacja techniczna. mprofi Interfejs API Warszawa 09.04.2015. Specyfikacja techniczna mprofi Interfejs API wersja 1.0.2 1 Specyfikacja techniczna mprofi Interfejs API wersja 1.0.2 WERSJA DATA STATUTS AUTOR 1.0.0 10.03.2015 UTWORZENIE DOKUMENTU

Bardziej szczegółowo

Część I Rozpoczęcie pracy z usługami Reporting Services

Część I Rozpoczęcie pracy z usługami Reporting Services Spis treści Podziękowania... xi Wprowadzenie... xiii Część I Rozpoczęcie pracy z usługami Reporting Services 1 Wprowadzenie do usług Reporting Services... 3 Platforma raportowania... 3 Cykl życia raportu...

Bardziej szczegółowo

egroupware czy phpgroupware jest też mniej stabilny.

egroupware czy phpgroupware jest też mniej stabilny. Opengroupware to projekt udostępniający kompletny serwer aplikacji oparty na systemie Linux. Dostępny na licencji GNU GPL, strona domowa: http://www.opengroupware.org/ Jego cechy to wysoka stabilność,

Bardziej szczegółowo

Podręcznik użytkownika Publikujący aplikacji Wykaz2

Podręcznik użytkownika Publikujący aplikacji Wykaz2 Podręcznik użytkownika Publikujący aplikacji Wykaz2 TiMSI Sp z o o ul Czapli 63, 02-781 Warszawa tel : +48 22 644 86 76, fax: +48 22 644 78 52 NIP: 951-19-39-800 Sąd Rejonowy dla mst Warszawy w Warszawie,

Bardziej szczegółowo

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH. Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH. Spis treści 1. Konfiguracja poczty Exchange dla klienta pocztowego Outlook 2007 protokół Exchange

Bardziej szczegółowo

Rozpoczęcie pracy z programem.

Rozpoczęcie pracy z programem. Rozpoczęcie pracy z programem. Po zainstalowaniu programu należy przygotować program do wykonywania kopii zapasowej baz danych. W tym celu należy uruchomić z menu start Panel sterowania a następnie wybrać

Bardziej szczegółowo

Aktualizacja firmware w urządzeniu za pośrednictwem FTP

Aktualizacja firmware w urządzeniu za pośrednictwem FTP Aktualizacja firmware w urządzeniu za pośrednictwem FTP Wstęp W niektórych przypadkach aktualizacja firmware urządzenia za pośrednictwem FTP jest korzystniejsza od standardowej aktualizacji z poziomu hosta.

Bardziej szczegółowo

Do wersji 7.91.0 Warszawa, 09-21-2013

Do wersji 7.91.0 Warszawa, 09-21-2013 Moduł Zarządzania Biurem instrukcja użytkownika Do wersji 7.91.0 Warszawa, 09-21-2013 Spis treści 1. Instalacja oprogramowania... 3 2. Rejestracja klienta w Portalu dla Biur Rachunkowych... 4 3. Pierwsze

Bardziej szczegółowo

Instrukcja obsługi Modułu Payu dla Moodle 2.x

Instrukcja obsługi Modułu Payu dla Moodle 2.x Instrukcja obsługi Modułu Payu dla Moodle 2.x Wersja z 10 lutego 2015r. Spis treści 1. Wymagania............................................ 1 2. Instalacja.............................................

Bardziej szczegółowo

Zaawansowane aplikacje internetowe - laboratorium

Zaawansowane aplikacje internetowe - laboratorium Zaawansowane aplikacje internetowe - laboratorium Web Services (część 3). Do wykonania ćwiczeń potrzebne jest zintegrowane środowisko programistyczne Microsoft Visual Studio 2005. Ponadto wymagany jest

Bardziej szczegółowo

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym 1 Wprowadzenie do środowiska Oracle APEX, obszary robocze, użytkownicy Wprowadzenie Plan Administracja obszarem roboczym 2 Wprowadzenie Co to jest APEX? Co to jest APEX? Architektura Środowisko Oracle

Bardziej szczegółowo

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone Typy przetwarzania Przetwarzanie zcentralizowane Systemy typu mainfame Przetwarzanie rozproszone Architektura klient serwer Architektura jednowarstwowa Architektura dwuwarstwowa Architektura trójwarstwowa

Bardziej szczegółowo

PLATFORMA ACTIVE FORMS. Kreator Formularzy Internetowych ze wsparciem dla RWD

PLATFORMA ACTIVE FORMS. Kreator Formularzy Internetowych ze wsparciem dla RWD PLATFORMA ACTIVE FORMS Kreator Formularzy Internetowych ze wsparciem dla RWD ACTIVE FORMS 2 Spis treści WPROWADZENIE 3 Dowolnie złożone formularze 3 Niski czas i koszt zbudowania formularza 4 TOP 10 WŁAŚCIWOŚCI

Bardziej szczegółowo

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi Stosowanie ciasteczek (cookies) Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi przeglądanie strony i składanie zamówień. Dlatego w trosce

Bardziej szczegółowo

Microsoft Exchange Server 2013

Microsoft Exchange Server 2013 William R. Stanek Vademecum Administratora Microsoft Exchange Server 2013 Konfiguracja i klienci systemu Przekład: Leszek Biolik APN Promise 2013 Spis treści Wstęp..........................................

Bardziej szczegółowo

Trojan bankowy Emotet w wersji DGA

Trojan bankowy Emotet w wersji DGA Trojan bankowy Emotet w wersji DGA Warszawa 17/11/2014 CERT Orange Polska Strona 1 z 7 Trojan bankowy Emotet został zauważony kilka miesięcy temu. Od tej pory zdaje się być cyklicznie wykorzystywany w

Bardziej szczegółowo

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce www.brinet.pl www.draytek.pl

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce www.brinet.pl www.draytek.pl 1. Firmware Upgrade Utility 1.1. Metoda 1 (standardowa) 1.2. Metoda 2 (niestandardowa) 2. Serwer FTP 2.1. Lokalny serwer FTP 2.2. Zdalny serwer FTP 3. Upgrade przez Web Procedury aktualizacji zostały oparte

Bardziej szczegółowo

Agenda. Quo vadis, security? Artur Maj, Prevenity

Agenda. Quo vadis, security? Artur Maj, Prevenity Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo

Bardziej szczegółowo

Pomoc dla http://host.nask.pl/ 31.12.2012 r.

Pomoc dla http://host.nask.pl/ 31.12.2012 r. Pomoc dla http://host.nask.pl/ 31.12.2012 r. Spis treści Kontakt... 2 Logowanie do konta pocztowego przez WWW... 3 Logowanie do panelu administracyjnego... 4 Konfiguracja klienta pocztowego... 7 Umieszczanie

Bardziej szczegółowo

z testów penetracyjnych

z testów penetracyjnych SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki Borys Łącki testy penetracyjne, audyty, szkolenia,

Bardziej szczegółowo

Instalacja aplikacji dostępowej KSOmniPharm dla KS-ZSA

Instalacja aplikacji dostępowej KSOmniPharm dla KS-ZSA Instalacja aplikacji dostępowej KSOmniPharm dla KS-ZSA 1 / 22 Table of contents Aplikacja dostępowa KS-OmniPharm... 3 1. Instalacja aplikacji dostępowej... 4 1.1 Problemy z aplikacją dostępową... 11 2.

Bardziej szczegółowo

Polityka Prywatności i Cookies

Polityka Prywatności i Cookies Polityka Prywatności i Cookies I. Podstawa Prawna: 1.Prawo telekomunikacyjne Art. 173. I. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu

Bardziej szczegółowo

Sieciowa instalacja Sekafi 3 SQL

Sieciowa instalacja Sekafi 3 SQL Sieciowa instalacja Sekafi 3 SQL Niniejsza instrukcja opisuje instalację Sekafi 3 SQL w wersji sieciowej, z zewnętrznym serwerem bazy danych. Jeśli wymagana jest praca jednostanowiskowa, należy postępować

Bardziej szczegółowo

Multi-projekt z przedmiotów Inżynieria oprogramowania, Współczesne bazy danych i Programowanie w języku Java

Multi-projekt z przedmiotów Inżynieria oprogramowania, Współczesne bazy danych i Programowanie w języku Java Multi-projekt z przedmiotów Inżynieria oprogramowania, Współczesne bazy danych i Programowanie w języku Java Spis treści 1 Terminarz...3 2 Specyfikacja wymagań - założenia projektowe...4 2.1 Informacje

Bardziej szczegółowo

Internetowy serwis Era mail Aplikacja sieci Web

Internetowy serwis Era mail Aplikacja sieci Web Internetowy serwis Era mail Aplikacja sieci Web (www.login.eramail.pl) INSTRUKCJA OBSŁUGI Spis treści Internetowy serwis Era mail dostępny przez komputer z podłączeniem do Internetu (aplikacja sieci Web)

Bardziej szczegółowo

Monitorowanie i zarządzanie urządzeniami sieciowymi przy pomocy narzędzi Net-SNMP

Monitorowanie i zarządzanie urządzeniami sieciowymi przy pomocy narzędzi Net-SNMP Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Szymon Klimuk Nr albumu: 187408 Praca magisterska na kierunku Informatyka Monitorowanie

Bardziej szczegółowo

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.

Bardziej szczegółowo

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Złożona i rozbudowana architektura: błędy w kodzie błędy w konfiguracji błędy w założeniach

Bardziej szczegółowo

Dla Użytkowników RICOH Smart Device Connector: Konfigurowanie urządzenia

Dla Użytkowników RICOH Smart Device Connector: Konfigurowanie urządzenia Dla Użytkowników RICOH Smart Device Connector: Konfigurowanie urządzenia SPIS TREŚCI 1. Dla wszystkich użytkowników Wstęp... 3 Jak korzystać z tego podręcznika... 3 Znaki towarowe... 4 Czym jest RICOH

Bardziej szczegółowo

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce)

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce) emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce) Zastosowanie Rozszerzenie to przeznaczone jest dla właścicieli sklepów internetowych opartych

Bardziej szczegółowo

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej Ochrona przed spyware Antyspam Ochrona antywiruso wa Antyphishing Filtrowanie zawartości i

Bardziej szczegółowo

Opcje Fiery1.3 pomoc (serwer)

Opcje Fiery1.3 pomoc (serwer) 2015 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 28 stycznia 2015 Spis treści 3 Spis treści...5

Bardziej szczegółowo

Nadzorowanie stanu serwerów i ich wykorzystania przez użytkowników

Nadzorowanie stanu serwerów i ich wykorzystania przez użytkowników Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Tomasz Kapelak Nr albumu: 187404 Praca magisterska na kierunku Informatyka

Bardziej szczegółowo

Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów

Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów Jak zainstalować avast! Free Antivirus 7.x? Następujące wymagania systemowe są zalecane dla instalacji i uruchomienia na komputerze

Bardziej szczegółowo

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa Instalacja roli kontrolera domeny, Aby zainstalować rolę kontrolera domeny, należy uruchomić Zarządzenie tym serwerem, po czym wybrać przycisk

Bardziej szczegółowo

Elektroniczne Dzienniki Urzędowe

Elektroniczne Dzienniki Urzędowe Elektroniczne Dzienniki Urzędowe Moduł Komunikacyjny 2009-2013 ABC PRO Sp. z o.o. Wszelkie prawa zastrzeżone. Dokument przeznaczony jest dla podmiotów wydających akty prawne. Zawiera opis przesyłania do

Bardziej szczegółowo

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional)

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional) Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional) KROK NR 1: Uruchamiamy program Outlook Express. Jesteśmy proszeni o nazwę tożsamości.

Bardziej szczegółowo

Instalowanie certyfikatów celem obsługi pracy urządzenia SIMOCODE pro V PN z poziomu przeglądarki internetowej w systemie Android

Instalowanie certyfikatów celem obsługi pracy urządzenia SIMOCODE pro V PN z poziomu przeglądarki internetowej w systemie Android Instalowanie certyfikatów celem obsługi pracy urządzenia SIMOCODE pro V PN z poziomu przeglądarki internetowej w systemie Android Wstęp Dostępna od grudnia 2013 roku jednostka podstawowa SIMOCODE pro V

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

PODRĘCZNIK UŻYTKOWNIKA programu Pilot

PODRĘCZNIK UŻYTKOWNIKA programu Pilot TRX Krzysztof Kryński Cyfrowe rejestratory rozmów seria KSRC PODRĘCZNIK UŻYTKOWNIKA programu Pilot Wersja 2.1 Maj 2013 Dotyczy programu Pilot w wersji 1.6.3 TRX ul. Garibaldiego 4 04-078 Warszawa Tel.

Bardziej szczegółowo

Exchange 2013. Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2013. wersja 1.0

Exchange 2013. Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2013. wersja 1.0 Exchange 2013 Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2013 wersja 1.0 Spis treści 1. GENEROWANIE ŻĄDANIA WYSTAWIENIA CERTYFIKATU (NA PRZYKŁADZIE CERTYFIKATU TYPU WILDCARD I DOMENY

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Podręcznik użytkownika

Podręcznik użytkownika Podręcznik użytkownika Moduł kliencki Kodak Asset Management Software Stan i ustawienia zasobów... 1 Menu Stan zasobów... 2 Menu Ustawienia zasobów... 3 Obsługa alertów... 7 Komunikaty zarządzania zasobami...

Bardziej szczegółowo

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006 IO - Plan wdrożenia M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak 5 czerwca 2006 1 Spis treści 1 Wprowadzenie 3 1.1 Cel.......................................... 3 1.2 Zakres........................................

Bardziej szczegółowo

Dokumentacja Administratora portalu. aplikacji. Wirtualna szkoła

Dokumentacja Administratora portalu. aplikacji. Wirtualna szkoła Dokumentacja Administratora portalu aplikacji Wirtualna szkoła aktualna na dzień 20.12.2012 Wykonawca: Young Digital Planet SA 2012 Strona 2 z 15 Spis Treści Wirtualna szkoła SYSTEM ZARZĄDZANIA NAUCZANIEM...

Bardziej szczegółowo

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? 27.06.11 FAQ Systemu EKOS 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? Procedura rejestracji ocen wymaga podpisywania protokołów (w postaci wypełnionych formularzy InfoPath Forms

Bardziej szczegółowo

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem). 1. Konfiguracja serwera VPN 1.1. LDAP/AD 1.2. Ustawienia ogólne 1.3. Konto SSL 2. Konfiguracja klienta VPN 3. Status połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji została oparta na

Bardziej szczegółowo

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki 2011. Promotor dr inż. Paweł Figat

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki 2011. Promotor dr inż. Paweł Figat Grzegorz Ruciński Warszawska Wyższa Szkoła Informatyki 2011 Promotor dr inż. Paweł Figat Cel i hipoteza pracy Wprowadzenie do tematu Przedstawienie porównywanych rozwiązań Przedstawienie zalet i wad porównywanych

Bardziej szczegółowo

Laboratorium 3.4.2: Zarządzanie serwerem WWW

Laboratorium 3.4.2: Zarządzanie serwerem WWW Laboratorium 3.4.2: Zarządzanie serwerem WWW Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253

Bardziej szczegółowo

Kancelaria Prawna.WEB - POMOC

Kancelaria Prawna.WEB - POMOC Kancelaria Prawna.WEB - POMOC I Kancelaria Prawna.WEB Spis treści Część I Wprowadzenie 1 Część II Wymagania systemowe 1 Część III Instalacja KP.WEB 9 1 Konfiguracja... dostępu do dokumentów 11 Część IV

Bardziej szczegółowo

Aplikacje www laboratorium

Aplikacje www laboratorium Aplikacje www laboratorium Konfigurowanie zabezpieczeń w oparciu o JAAS w serwerze GlassFish Zabezpieczanie aplikacji webowych z wykorzystaniem JASS jest w podstawowych zastosowaniach procesem dwuetapowym.

Bardziej szczegółowo

System zarządzający grami programistycznymi Meridius

System zarządzający grami programistycznymi Meridius System zarządzający grami programistycznymi Meridius Instytut Informatyki, Uniwersytet Wrocławski 20 września 2011 Promotor: prof. Krzysztof Loryś Gry komputerowe a programistyczne Gry komputerowe Z punktu

Bardziej szczegółowo

Symfonia Produkcja Instrukcja instalacji. Wersja 2013

Symfonia Produkcja Instrukcja instalacji. Wersja 2013 Symfonia Produkcja Instrukcja instalacji Wersja 2013 Windows jest znakiem towarowym firmy Microsoft Corporation. Adobe, Acrobat, Acrobat Reader, Acrobat Distiller są zastrzeżonymi znakami towarowymi firmy

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo