Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań:

Wielkość: px
Rozpocząć pokaz od strony:

Download "Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań:"

Transkrypt

1 Zabezpieczanie aplikacji webowych w ASP.NET Gerard Frankowski Zespół Bezpieczeństwa PCSS Warsztaty Startup-IT Tworzenie serwisów internetowych Poznań,

2 Agenda Kim jesteśmy i co robimy? PCSS i Zespół Bezpieczeństwa Centrum Innowacji Microsoft Podejście defence-in-depth dla aplikacji webowych Bezpieczeństwo aplikacji w ASP.NET Bezpieczny kod: implementacja sesji internetowych Bezpieczny serwer: konfiguracja ASP.NET Podsumowanie, pytania, dyskusja 2

3 Cel prezentacji Podniesienie świadomości na temat zagrożeń związanych z niezabezpieczonymi aplikacjami w ASP.NET i wskazanie metod ochrony Prezentacja jest przeznaczona dla: Programistów aplikacji ASP.NET Administratorów serwerów hostujących aplikacje ASP.NET Specjalistów ds. zabezpieczeń (częściowo) Wiele przytoczonych zasad ma charakter ogólny 3

4 Kim jesteśmy i co robimy? 4

5 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań: Gridy, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów 5

6 Zespół Bezpieczeństwa PCSS Zespół Bezpieczeństwa PCSS istnieje od 1996r. Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia, transfer wiedzy Badania własne Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów WWW (Apache, MS IIS) Bezpieczeństwo sklepów internetowych 6

7 Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług outsourcingowych Partnerzy Microsoft Polska Poznańskie Centrum Superkomputerowo-Sieciowe Politechnika Poznańska Otwarcie: r. 7

8 Wybrane zadania MIC Technologie Interoperacyjność Wirtualizacja Wysokowydajne obliczenia komputerowe (HPC) Wykorzystanie technologii Silverlight Bezpieczne telekonsultacje medyczne Bezpieczeństwo Program szkoleń bezpieczeństwa Badania bezpieczeństwa serwera MS IIS Program audytów bezpieczeństwa dla samorządów i MŚP Usługi Bezpłatny hosting dla uczelni, kół naukowych, organizacji non-profit oraz studentów Hosting portali społecznościowych, np. itcore.pl 8

9 Bezpieczeństwo aplikacji webowych w ASP.NET - wybrane aspekty 9

10 Niektóre podatności aplikacji WWW Błędy w projekcie i kodzie Błędy w projektowaniu funkcjonalności Znaczenie filtrowania danych Ataki XSS (Cross Site Scripting) Ataki SQL Injection Ataki Remote Code Execution I wiele innych (patrz prezentacja Tomka Kuczyńskiego) Sesje internetowe Błędy w konfiguracji serwerów Ataki Information Disclosure Konfiguracja ASP.NET Konfiguracja serwerów WWW, baz danych,... Powyższa lista absolutnie nie wyczerpuje tematu! 10

11 Sesja internetowa Protokół HTTP jest bezstanowy Rozróżnianie tożsamości użytkowników jest kluczowe dla korzystania z e-usług Sesja internetowa Identyfikowany przez session ID zbiór informacji o połączeniu 11

12 Ataki na sesje zagrożenia Ujawnienie informacji o serwerze Poszczególne serwery WWW obsługują sesje w różny sposób Kradzież sesji użytkownika Podszycie się pod ofiarę Kradzież tożsamości ofiary i jej konsekwencje: kradzież danych, zawarcie fałszywej umowy, kradzież środków finansowych, uzyskanie danych będących podstawą do szantażu,... Jeżeli powiodło się przejęcie sesji administratora serwisu, możliwe jest wykonanie dowolnego działania w ramach portalu 12

13 Czy te zagrożenia są realne? Styczeń testy 50 sklepów internetowych przeprowadzone przez Zespół Bezpieczeństwa PCSS Test 1 niedozwolone znaki w nazwie ciasteczka Test 2 próba wymuszenia błędu zapisu pliku sesji Test 3 odpowiedni czas życia ciasteczka Test 4 odpowiedni czas życia sesji Test 5 możliwość wymuszenia identyfikatora sesji Test 6 powiązanie identyfikatora sesji z adresem IP Test 7 stosowanie atrybutu httponly Więcej: 13

14 Rezultaty Test 1 Test 2 Test 3 Test 4 Test 5 Test 6 Test 7 Kolor czerwony i pochodne niebezpiecznie Kolor zielony bezpiecznie 14

15 Jak można przechowywać dane sesji? Przesyłanie metodą GET w adresie URL Wyjątkowo podatne na ataki Wykorzystanie ukrytych pól formularzy Podatne na ataki Komplikuje budowę serwisu Ciasteczka (cookies) Przechowywane na serwerze w bazie danych lub w plikach sesji Przechowywane po stronie klienta za pośrednictwem przeglądarki jako cookie 15

16 Zawartość ciasteczka Nazwa oraz skojarzona z nią wartość Szczególnym z punktu widzenia bezpieczeństwa przypadkiem są cookies zawierające informacje o sesji użytkownika Informacje o sesji w ASP.NET Identyfikator sesji jest 120-bitowym przypadkowym ciągiem znaków, reprezentowanym przez 20-znakowy łańcuch Nazwa ciasteczka brzmi ASP.NET_SessionId Data wygaśnięcia Domena (dokąd przeglądarka może wysłać cookie) Ścieżka (skąd ciasteczko jest widoczne na serwerze) Atrybuty dodatkowe 16

17 Zwykłe ciasteczko w ASP.NET <% %> HttpCookie cookie = new HttpCookie( licznik ); cookie.name cookie.value = licznik ; = yes ; cookie.expires = #01/10/ :00:00#; cookie.domain cookie.path = ; = /licznik_dir ; Response.Cookies.Add(cookie); 17

18 Zagrożenie atakiem Session Fixation Atak polega na nawiązaniu przez napastnika sesji o określonym identyfikatorze Skłonienie ofiary do nawiązania sesji o konkretnym ID Brak unieważniania wykorzystanych ID sesji Platforma Microsoft ASP nie zapewnia bezpośredniego wsparcia dla powtórnej generacji ID sesji Microsoft zamknął zgłoszenie użytkownika we wspomnianym zakresie, uznając je za nie do naprawienia (https://connect.microsoft.com/feedback/viewfeedback.aspx?fe edbackid=143361&wa=wsignin1.0&siteid=210) Niestety, ASP nie pozwala ponadto na bezpośredni dostęp (zapis) do cookie ASP.NET_SessionId 18

19 Session fixation - ochrona Porady Microsoftu dostępne pod adresem: Podejście OWASP: Generacja dodatkowego ciasteczka, któremu nadajemy wartość tożsamą z ID sesji (możemy ją odczytać) Porównywanie zawartości dodatkowego ciasteczka z ID sesji Jeżeli wartości są różne, unieważniamy sesję Więcej informacji + przykład Wykorzystanie uwierzytelniania Windows Forms zmniejsza zagrożenie dzięki użyciu dodatkowego tokena 19

20 Czas ważności ciasteczka Im dłuższy czas ważności, tym łatwiejsze jest przejęcie sesji o wykradzionym identyfikatorz (Session Hijacking) Czas ważności sesji zależy od tego, jak cenna jest aplikacja Bankowość internetowa - rzędu kilku(nastu) minut Serwis społecznościowy, bramka SMS - np. godzina Standard OWASP: 5 minut! Dim mycookie As New HttpCookie( testcookie ) Dim expdate As DateTime expdate = DateTime.Now.AddMinutes(5) mycookie.expires = expdate Response.Cookies.Add(myCookie) 20

21 Właściwości obiektu HttpCookie (1) Właściwość HttpOnly Określa, czy cookie może zostać odczytane poprzez aktywną zawartość witryny Pozwala uchronić się przed atakami XSS wykonywanymi przy pomocy wstrzyknięcia kodu typu <script>...document.cookie<script> Właściwość Secure Definiuje poziom bezpieczeństwa ciasteczka (jest flagą) Jeśli ustawiona, umożliwia obsługę cookie tylko za pośrednictwem protokołu HTTPS 21

22 Właściwości obiektu HttpCookie (2) Definicja bezpieczniejszego ciasteczka Dim mycookie As New HttpCookie( testcookie ) mycookie.httponly = true mycookie.secure = true Response.Cookies.Add(cookie) 22

23 Powiązanie ID sesji z adresem IP Przesłanie ciasteczka o danym ID spod innego adresu, niż zapisany po stronie serwera powoduje unieważnienie sesji Zaleta: poprawa bezpieczeństwa Zabezpieczenie przed kradzieżą sesji Wady: Utrudnienie korzystania z usług użytkownikom bez stałego adresu IP Realny przykład byłby dość skomplikowany ;) zachęcam do testów własnych 23

24 Bezpieczne sesje - podsumowanie Odpowiedzialność po stronie administratora Odpowiednia konfiguracja serwera WWW /.NET Unikanie wyświetlania szczegółowych informacji o błędach użytkownikowi Odpowiedzialność po stronie projektanta/programisty Bezpieczna konfiguracja sesji Najlepsze wyniki przyniesie połączenie obu podejść 24

25 Błędy w konfiguracji ASP.NET 25

26 Pliki konfiguracyjne ASP.NET Specyfika plików konfiguracyjnych ASP.NET Pliki tekstowe w formacie XML Brak dedykowanego narzędzia producenta wspierającego edycję Pliki konfiguracyjne dla komputera machine.config (%SystemRoot%\Microsoft.NET\Framework\%wersja%\CONFIG\) Pliki konfiguracyjne dla aplikacji web.config (w katalogu głównym i/lub podkatalogach) Pliki konfiguracji zabezpieczeń Code Access Security Enterprise Policy: enterprisesec.config Machine and User Policy: security.config ASP.NET Policy: web_hightrust.config, web_mediumtrust.config, web_lowtrust.config, web_minimaltrust.config 26

27 Top 10 don ts in ASP.NET configuration files (1) Poniższe błędne praktyki dotyczyć mogą wszystkich aplikacji webowych opartych na ASP.NET Custom Errors Disabled Leaving Tracing Enabled Leaving Debugging Enabled Cookies Accessible Through Client-Side Script Cookieless Session State Enabled Więcej informacji: 27

28 Custom Errors Disabled Nieprawidłowa konfiguracja <configuration> <system.web> <customerrors mode="off"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <customerrors mode="remoteonly"> Wyłączenie trybu customerrors spowoduje, że zdalny użytkownik ujrzy szczegółowy opis błędu, także z fragmentami kodu Dla lokalnych żądań warto pozostawić tryb debugowy 28

29 Nieprawidłowa konfiguracja 29

30 Prawidłowa konfiguracja 30

31 Prawidłowa konfiguracja (2) To jeszcze nie jest sytuacja idealna Właściwe będzie przygotowanie własnych plików niezawierających informacji konfiguracyjnych, a np. przekazujących kontakt do administratora systemu lub helpdesku Odpowiednia sekcja pliku machine.config: <customerrors mode="remoteonly"> <error statuscode="404" redirect="errors/e404.htm"> <error statuscode= 500" redirect="errors/e500.htm"> </customerrors> 31

32 Leaving Tracing Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <trace enabled="true" localonly="false"> Prawidłowa konfiguracja <configuration> <system.web> <trace enabled="false" localonly="true"> Znaczenie: Włączenie flagi powoduje, że zdalny użytkownik może uzyskać dostęp do dużej ilości wrażliwych danych, np. struktury poprzednich żądań do serwera, szczegółów jego konfiguracji, danych przesłanych w formularzach... 32

33 Tajemniczy plik trace.axd ;) 33

34 Leaving Debugging Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <compilation debug="true"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <compilation debug="false"> Pozostawienie włączonej flagi debug umożliwia ujawnienie większej ilości informacji napastnikowi Nawet prawidłowe ustawienie customerrors nie wystarczy, ponieważ niektóre narzędzia deweloperskie mogą ujawnić treść komunikatów błędów 34

35 Cookies Accessible Through Client-Side Script Nieprawidłowa konfiguracja <configuration> <system.web> <httpcookies httponlycookies="false" "false"> Prawidłowa konfiguracja <configuration> <system.web> <httpcookies httponlycookies="true" "true"> Znaczenie: Ustawienie true spowoduje, że aktywna zawartość strony nie będzie mieć dostępu do cookies Czy nam to czegoś nie przypomina? 35

36 Cookieless Session State Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <sessionstate cookieless="useuri"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <sessionstate cookieless="usecookies"> Wartość UseCookies wymusza przechowywanie danych sesji przy pomocy mechanizmu ciasteczek, a nie przekazywanie ich przez adres URL 36

37 Top 10 don ts in ASP.NET configuration files (2) Poniższe błędne praktyki dotyczą aplikacji webowych opartych na ASP.NET, w których wykorzystuje się uwierzytelnianie Windows Forms Cookieless Authentication Enabled Failure to Require SSL for Authentication Cookies Sliding Expiration Used Non-Unique Authentication Cookie Used Hardcoded Credentials Used Więcej informacji: 37

38 Cookieless Authentication Enabled Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms cookieless="useuri"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <authentication mode="forms"> <forms cookieless="usecookies"> Wartość UseCookies wymusza przechowywanie danych sesji przy pomocy mechanizmu ciasteczek. Znaczenie tej opcji jest większe, bo dotyczy danych uwierzytelniających! 38

39 Failure to Require SSL for Authentication Cookies Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms requiressl="false"> Prawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms requiressl="true"> Znaczenie: Ustawienie parametru na true zapewnia, że dane uwierzytelniające zostaną przesłane kanałem szyfrowanym (SSL) IIS wymaga odpowiedniej konfiguracji do użycia SSL! 39

40 Sliding Expiration Used Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms slidingexpiration="false"> Prawidłowa konfiguracja <configuration> <system.web> Znaczenie: <authentication mode="forms"> <forms slidingexpiration="true"> Parametr decyduje, czy czas życia sesji liczy się od momentu zalogowania (true), czy od zaprzestania aktywności (false) 40

41 Non-Unique Authentication Cookie Used Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms name="aspxauth"> Prawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms name="[skomplikowany_ciag]"> Znaczenie: Nazwa cookie uwierzytelniającego, powinna być ona różna dla wszystkich aplikacji na danym serwerze - i najlepiej być długim, skomplikowanym ciągiem danych 41

42 Hardcoded Credentials Used Nieprawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms> <credentials> <user name="admin" password="admin123"/> </credentials> </forms> Prawidłowa konfiguracja <configuration> <system.web> <authentication mode="forms"> <forms> </forms> 42

43 Hardcoded Credentials Used (2) Znaczenie Udostępnienie możliwości szybkiego i łatwego sięgnięcia po dane uwierzytelniające na etapie rozwoju (testów) aplikacji Opcja nigdy nie powinna być wykorzystywana w produkcyjnej aplikacji (ze względu na możliwość ujawnienia informacji) Istnieje możliwość składowania skrótu SHA-1 lub MD5 hasła, ale nadal ujawnia to nazwę użytkownika 43

44 Poziomy zaufania CAS Aplikacji można przypisać 1 z 5 poziomów zaufania Full High Medium Low Minimal Możliwe jest także przygotowanie własnej definicji poziomu zaufania Szczególnie w przypadku oferowania hostingu dla podmiotów zewnętrznych poziom Full NIE JEST dobrym pomysłem! 44

45 High No unmanaged code No enterprise services Can access SQL Server and other OLE DB data sources Very limited reflection permissions No ability to invoke code by using reflection A broad set of other framework features are available Applications have full access to the file system, and to sockets Medium Permissions are limited to what the application can access within the directory structure of the application No file access is permitted outside of the application's virtual directory hierarchy Can access SQL Server Can send by using SMTP servers Limited rights to certain common environment variables No reflection permissions whatsoever No sockets permission To access Web resources, you must explicitly add endpoint "URLs" either in the Low originurl attribute of the <trust> element or inside the policy file Intended to model the concept of a read-only application with no network connectivity Read only access for file I/O within the application's virtual directory structure Minimal Execute only No ability to change the "IPrincipal" on a thread or on the "HttpContext". CAS 45

46 Błędna konfiguracja Plik machine.config <location allowoverride="true"> <system.web> <securitypolicy> <trustlevel name="full" policyfile="internal"/> <trustlevel name="high" policyfile="web_hightrust.config"/> <trustlevel name="medium" policyfile="web_mediumtrust.config"/> <trustlevel name="low" policyfile="web_lowtrust.config"/> <trustlevel name="minimal" policyfile="web_minimaltrust.config"/> </securitypolicy> <trust level="full" originurl=""/> </system.web> </location> 46

47 Jak sprawdzić jej skutki? Narzędzia Dinis Cruz, OWASP ANSA Asp.Net Security Analyser V0_31b ANBS Asp.Net Baseline Security v Pobrane narzędzia wgrywamy do głównego katalogu aplikacji WWW i uruchamiamy 47

48 48

49 49

50 Problemy Zbyt wysoki poziom zaufania Jak go obniżyć? Jak zapewnić, że użytkownik pojedynczej aplikacji go nie zmieni? Czy można zróżnicować poziom zaufania między aplikacjami? Konfiguracja systemu - możliwość wykonania poleceń systemowych: Za pośrednictwem WSCRIPT.SHELL Przy pomocy interfejsu WMI Dzięki wywołaniom WinExec API Ponownie widać, jak istotne jest współgranie różnych elementów zabezpieczeń! 50

51 Obniżamy poziom zaufania (1) Średni poziom zaufania dla wszystkich aplikacji na konkretnym serwerze <location allowoverride="false" "false"> <system.web> <securitypolicy>... </securitypolicy> <trust level="medium" originurl="" /> </system.web> </location> 51

52 Obniżamy poziom zaufania (2) Zróżnicowanie poziomu zaufania w pliku machine.config <location path="app1.pl" allowoverride="false" "false"> <system.web> <trust level="medium" originurl="" /> </system.web> </location> <location path="myadminapp" allowoverride="false" "false"> <system.web> <trust level= High" originurl="" /> </system.web> </location> 52

53 Konfigurujemy system Mimo dostosowania ustawień ASP.NET najlepiej będzie nie pominąć dodatkowego utwardzenia systemu Zablokowanie dostępu do obsługi Windows Management Instrumentation dla wszystkich użytkowników poza administratorem systemu przy wykorzystaniu aplikacji Zarządzanie Komputerem Zablokowanie możliwości tworzenia obiektów Windows Script Host innym użytkownikom niż administrator systemu ASP.NET nigdy nie powinno korzystać z konta posiadającego uprawnienia SYSTEM To przykład podejścia Defence-in-depth 53

54 Bezpieczna konfiguracja - podsumowanie Ograniczenie poziomu zaufania aplikacji webowych Zastrzeżenie dostępu do informacji wewnętrznych (np. szczegółowych komunikatów o błędach) Odpowiednie użycie Konfiguracja serwera WWW Tworzenie pul aplikacji i limitów dla pul Konfiguracja systemu operacyjnego Zasada minimalnych przywilejów (korzystamy z konta ASPNET, nie z konta systemowego!) Zastrzeżenie dostępu do interfejsów umożliwiających wywoływanie poleceń systemowych 54

55 Podsumowanie 55

56 Bezpieczeństwo usługi Nie ma idealnego remedium Bezpieczna usługa musi być: Odpowiednio zaprojektowana Dobrze napisana Należycie skonfigurowana Zainstalowana na skutecznie chronionym serwerze Obsługiwana przez rozsądnego użytkownika Regularnie audytowana Wszystkie powyższe elementy tworzą spójną całość, największe problemy to: Dostarczenie wiedzy dla wszystkich zainteresowanych stron Ułatwienie działań sobie, ale i innym Defence-in-depth 56

57 Więcej informacji (przykłady) Artykuły na portalu Startup-IT.pl, rozszerzające tematykę dzisiejszej prezentacji (także o kod PHP) Raport Zespołu Bezpieczeństwa PCSS nt. bezpieczeństwa e-sklepów (np. sesje internetowe) Szkolenia MIC (bezpieczny kod) TOP 10 Don ts in ASP.NET configuration files The Open Web Application Security Project (m.in. narzędzie ANSA) 57

58 Ciekawe pozycje książkowe Tworzenie bezpiecznych aplikacji Microsoft ASP.NET Udoskonalanie zabezpieczeń aplikacji i serwerów internetowych Bezpieczny kod - tworzenie i zastosowanie Więcej książek: efault.mspx (PL) default.asp (EN) 58

59 MIC zaprasza :) Centrum Innowacji Microsoft Program szkoleń bezpieczeństwa MIC m.in. warsztaty Omijanie firewalli w systemach Windows III Konferencja MIC - Dzień otwarty , Poznań Interoperacyjność, wirtualizacja, bezpieczeństwo Wkrótce więcej informacji i rejestracja na stronach MIC 59

60 Informacje kontaktowe Autor prezentacji Centrum Innowacji Microsoft PCSS Zespół Bezpieczeństwa PCSS 60

61 Pytania i dyskusja Dziękuję za uwagę! 61

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010 Bezpieczeństwo interoperacyjnego hostingu Gerard Frankowski, Zespół Bezpieczeństwa PCSS 4. Konferencja MIC Nowoczesne technologie bliżej nas Poznań, 04.03.2010 1 Agenda Wprowadzenie Zespół Bezpieczeństwa

Bardziej szczegółowo

ASP.NET. Gerard Frankowski. XVI Spotkanie Poznańskiej Grupy ASP.NET 2009

ASP.NET. Gerard Frankowski. XVI Spotkanie Poznańskiej Grupy ASP.NET 2009 Bezpieczeństwo usług ug w ASP.NET Gerard Frankowski Zespół Bezpieczeństwa PCSS XVI Spotkanie Poznańskiej Grupy ASP.NET Poznań, 26.02.2009 2009 Agenda Kim jesteśmy i co robimy? - PCSS i Zespół Bezpieczeństwa

Bardziej szczegółowo

Zabezpieczanie platformy Windows Server 2003

Zabezpieczanie platformy Windows Server 2003 Zabezpieczanie platformy Windows Server 2003 BłaŜej Miga, Marcin Jerzak support-mic mic@man. @man.poznan.pl II Konferencja MIC Nowoczesne technologie bliŝej nas Poznań, 13.05.2008 1 ZagroŜenia 2 Droga

Bardziej szczegółowo

IIS hacking. BłaŜej Miga Gerard Frankowski. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft. Konferencja SecureCON Wrocław, 20-21.10.

IIS hacking. BłaŜej Miga Gerard Frankowski. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft. Konferencja SecureCON Wrocław, 20-21.10. IIS hacking BłaŜej Miga Gerard Frankowski Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft Konferencja SecureCON Wrocław, 20-21.10.2007 1 Agenda Kim jesteśmy PCSS + Zespół Bezpieczeństwa MIC Przedstawienie

Bardziej szczegółowo

IIS Bezpieczny hosting

IIS Bezpieczny hosting IIS Bezpieczny hosting BłaŜej Miga Gerard Frankowski Zespół Bezpieczeństwa PCSS IT Underground Warszawa, 7-9.11.2007 1 Agenda Kim jesteśmy PCSS + Zespół Bezpieczeństwa Przedstawienie Microsoft IIS Historia

Bardziej szczegółowo

Udostępnianie bezpiecznych usług. ug w sieci Internet. Gerard Frankowski. VII Seminarium StartUp-IT 2008

Udostępnianie bezpiecznych usług. ug w sieci Internet. Gerard Frankowski. VII Seminarium StartUp-IT 2008 Udostępnianie bezpiecznych usług ug w sieci Internet Gerard Frankowski Zespół Bezpieczeństwa PCSS VII Seminarium StartUp-IT Poznań, 24.10.2008 2008 Agenda Wprowadzenie Nowoczesny startup w Internecie Specyfika

Bardziej szczegółowo

Bezpieczeństwo serwera Microsoft IIS v. 7.0

Bezpieczeństwo serwera Microsoft IIS v. 7.0 Bezpieczeństwo serwera Microsoft IIS v. 7.0 BłaŜej Miga, Gerard Frankowski Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft Poznań, 30.10.2007 1 Agenda 11:00 - Rozpoczęcie, powitanie uczestników,

Bardziej szczegółowo

Zespół Bezpieczeństwa PCSS. 36. Spotkanie Poznańskiej Grupy.NET

Zespół Bezpieczeństwa PCSS. 36. Spotkanie Poznańskiej Grupy.NET Wprowadzenie Gerard Frankowski Zespół Bezpieczeństwa PCSS 36. Spotkanie Poznańskiej Grupy.NET Poznań, 13.10. 2011 1 Nasze prezentacje 2 Przygotowaliśmy dziś dla Was: ok. 5-10 minut: Gerard Frankowski -Przywitanie,

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe

Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe Gerard Frankowski Zespół Bezpieczeństwa PCSS Wielkopolska Konferencja Bezpieczny Internet Poznań, 29.10..10.2008 Agenda

Bardziej szczegółowo

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Zabezpieczanie platformy Windows Server 2003

Zabezpieczanie platformy Windows Server 2003 Zabezpieczanie platformy Windows Server 2003 Marcin Jerzak marcin.jerzak@man. @man.poznan.pl 1 Kim jesteśmy i co robimy? 2 PCSS Poznańskie Centrum Superkomputerowo- Sieciowe Operator sieci PIONIER oraz

Bardziej szczegółowo

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych. Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych. Jerzy Mikołajczak, Sebastian Petruczynik, Marek Zawadzki support-mic@man.poznan.pl 1 Plan prezentacji: 1. Wstęp

Bardziej szczegółowo

Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS

Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Wstęp Bezpieczny hosting IIS + ASP.NET - dobrana para ZagroŜenia przykładowe ataki Zabezpieczamy serwer

Bardziej szczegółowo

Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS

Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS Kim jesteśmy? PCSS i MIC Paweł Berus, Zespół Bezpieczeństwa PCSS Konferencja IT Academic Day Poznań, 10.11.2011 1 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe (1993) Operator sieci PIONIER oraz POZMAN

Bardziej szczegółowo

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure Paweł Berus Zespół Bezpieczeństwa PCSS 36. Spotkanie Poznańskiej Grupy.NET Poznań, 13.10. 2011 1 Agenda

Bardziej szczegółowo

Usługi Live@Edu ze wsparciem Centrum Innowacji Microsoft. Jerzy Mikołajczak, Marek Zawadzki support-mic@man.poznan.pl

Usługi Live@Edu ze wsparciem Centrum Innowacji Microsoft. Jerzy Mikołajczak, Marek Zawadzki support-mic@man.poznan.pl Usługi Live@Edu ze wsparciem Centrum Innowacji Microsoft Jerzy Mikołajczak, Marek Zawadzki support-mic@man.poznan.pl 1 Plan prezentacji: 1. Prezentacja Centrum Innowacji Microsoft (Poznańskie Centrum Superkomputerowo-Sieciowe)

Bardziej szczegółowo

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do Sesje i ciasteczka Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do śledzenia użytkownika podczas jednej sesji

Bardziej szczegółowo

Zaawansowane aplikacje internetowe - laboratorium

Zaawansowane aplikacje internetowe - laboratorium Zaawansowane aplikacje internetowe - laboratorium Web Services (część 3). Do wykonania ćwiczeń potrzebne jest zintegrowane środowisko programistyczne Microsoft Visual Studio 2005. Ponadto wymagany jest

Bardziej szczegółowo

Projektowani Systemów Inf.

Projektowani Systemów Inf. Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych

Bardziej szczegółowo

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 3 Inżynieria oprogramowania Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System

Bardziej szczegółowo

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of

Bardziej szczegółowo

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Przykład autoryzacji 802.1x dokonano w oparciu serwer Microsoft Windows 2003 i

Bardziej szczegółowo

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.10.2008 2008 Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer

Bardziej szczegółowo

platforma zapewniająca usługi wirtualizacji

platforma zapewniająca usługi wirtualizacji Windows Server 2008 jako uniwersalna platforma zapewniająca usługi wirtualizacji oraz klastrowania Jerzy Mikołajczak, Sebastian Petruczynik, Marek Zawadzki Poznańskie Centrum Superkomputerowo Sieciowe

Bardziej szczegółowo

Pracownia internetowa w szkole ZASTOSOWANIA

Pracownia internetowa w szkole ZASTOSOWANIA NR ART/SBS/07/01 Pracownia internetowa w szkole ZASTOSOWANIA Artykuły - serwery SBS i ich wykorzystanie Instalacja i Konfiguracja oprogramowania MOL Optiva na szkolnym serwerze (SBS2000) Artykuł opisuje

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7 I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego

Bardziej szczegółowo

Migracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik

Migracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik Migracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik by Gecco-IT http://www.gecco-it.waw.pl info@gecco-it.waw.pl 1. Zanim przystąpimy do migracji należy

Bardziej szczegółowo

Aktualny stan i plany rozwojowe

Aktualny stan i plany rozwojowe Aktualny stan i plany rozwojowe Norbert Meyer Konferencja MIC Nowoczesne technologie bliŝej nas Poznań,, 16.04.2009 Centra MIC na świecie oferują studentom programistom specjalistom IT naukowcom Dostęp

Bardziej szczegółowo

Serwery WWW. Odpowiednie operacje dla ostatniego elementu są dostępne pod prawym przyciskiem myszki

Serwery WWW. Odpowiednie operacje dla ostatniego elementu są dostępne pod prawym przyciskiem myszki Serwery WWW Typ zadania: Tworzenie konsoli administracyjnej Zadanie 1: Utwórz konsolę administracyjną składającą się z konsol Active Directory Users and Computer oraz Computer Management (dla innego komputera).

Bardziej szczegółowo

Bezpieczeństwo heterogenicznej. Zespół Bezpieczeństwa PCSS

Bezpieczeństwo heterogenicznej. Zespół Bezpieczeństwa PCSS Bezpieczeństwo heterogenicznej platformy hostingowej Gerard Frankowski, Marcin Jerzak Zespół Bezpieczeństwa PCSS Poznań, 19.07.2011 MIC Summer School 1 Agenda Wprowadzenie Przykładowe zagrożenia dla aplikacji

Bardziej szczegółowo

Poznańskie Centrum Superkomputerowo - Sieciowe

Poznańskie Centrum Superkomputerowo - Sieciowe Centrum Innowacji Microsoft w Poznaniu Poznańskie Centrum Superkomputerowo - Sieciowe Jerzy Mikołajczak, Marcin Jerzak Szczawno Zdrój, 24.02.2011 r. 1 Poznańskie Centrum Superkomputerowo- Sieciowe Operator

Bardziej szczegółowo

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych Szkolenie przeznaczone jest dla osób chcących poszerzyć swoje umiejętności o tworzenie rozwiązań internetowych w PHP. Zajęcia zostały przygotowane w taki sposób, aby po ich ukończeniu można było rozpocząć

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Plan wykładu. Tworzenie programów dla platformy.net. Kontrolki list. Kontrolki weryfikujące. Wiązanie danych. Dostęp do danych

Plan wykładu. Tworzenie programów dla platformy.net. Kontrolki list. Kontrolki weryfikujące. Wiązanie danych. Dostęp do danych Tworzenie programów dla platformy.net ASP.NET Odsłona trz ecia Gliwice, Maj 2004 Marek Mittmann Plan wykładu Kontrolki weryfikujące Kontrolki list i wiązanie danych ADO.NET w aplikacjach ASP.NET Korzy

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)

Bardziej szczegółowo

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład VII

INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład VII Wrocław 2006 INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład VII Paweł Skrobanek C-3, pok. 323 e-mail: pawel.skrobanek@pwr.wroc.pl INTERNETOWE BAZY DANYCH PLAN NA DZIŚ : Cookies Sesje Inne możliwości

Bardziej szczegółowo

Specyfikacja techniczna. mprofi Interfejs API

Specyfikacja techniczna. mprofi Interfejs API Warszawa 09.04.2015. Specyfikacja techniczna mprofi Interfejs API wersja 1.0.2 1 Specyfikacja techniczna mprofi Interfejs API wersja 1.0.2 WERSJA DATA STATUTS AUTOR 1.0.0 10.03.2015 UTWORZENIE DOKUMENTU

Bardziej szczegółowo

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji Procedury techniczne modułu Forte Kontroling Środowisko pracy programu i elementy konfiguracji Środowisko pracy programu i elementy konfiguracji Strona 2 z 5 Moduł Kontroling Systemu Zarzadzania Forte

Bardziej szczegółowo

Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk 2013-03-13

Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk 2013-03-13 Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk 2013-03-13 Bartłomiej Graczyk MCT,MCITP,MCTS Architekt rozwiązań Business Intelligence

Bardziej szczegółowo

Zadanie 1. Wykonał: Grzegorz Pol Komputer: 237-16

Zadanie 1. Wykonał: Grzegorz Pol Komputer: 237-16 Ćwiczenie 3. Wykonał: Grzegorz Pol Komputer: 237-16 Zadanie 1 Skanery stanu zabezpieczeń Rys. 1.1 (poniżej) Obraz okna programu Microsoft Baseline Security Analyzer zawierającego nagłówek (strona View

Bardziej szczegółowo

ZagroŜenia w sieci. Tomasz Nowocień, PCSS

ZagroŜenia w sieci. Tomasz Nowocień, PCSS ZagroŜenia w sieci Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 29.10.2008 2008 Agenda Kim jesteśmy? ZagroŜenia w sieciach teleinformatycznych oraz sposoby zabezpieczeń Bezpieczeństwo danych i

Bardziej szczegółowo

Bezpieczeństwo. hostingowej GERARD FRANKOWSKI, MARCIN JERZAK

Bezpieczeństwo. hostingowej GERARD FRANKOWSKI, MARCIN JERZAK Bezpieczeństwo heterogenicznej platformy hostingowej GERARD FRANKOWSKI, MARCIN JERZAK Zespół Bezpieczeństwa PCSS / Centrum Innowacji Microsoft Agenda Poznajmy się: PCSS i MIC Dlaczego heterogeniczny hosting?

Bardziej szczegółowo

Polityka prywatności

Polityka prywatności Polityka prywatności Administrator Serwisu 1. Właścicielem niniejszego serwisu internetowego zasilenia.faktura.pl, zwanego dalej Serwisem, jest Blue Media Spółka Akcyjna z siedzibą w Sopocie, 81-717 Sopot,

Bardziej szczegółowo

Kontrola dostępu w ASP.NET

Kontrola dostępu w ASP.NET Ćwiczenie 13 Temat: Kontrola dostępu w ASP.NET Cel ćwiczenia: W ramach ćwiczenia student zapozna się mechanizmami kontroli dostępu obecnymi w ASP.NET. Nauczy się konfigurować uprawnienia poszczególnych

Bardziej szczegółowo

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.

Bardziej szczegółowo

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008) NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI asix (na przykładzie systemu operacyjnego Windows 2008) Pomoc techniczna Dok. Nr PLP0018 Wersja: 2011-08-26 ASKOM i asix to zastrzeżony znak firmy ASKOM Sp. z

Bardziej szczegółowo

Polityka prywatności serwisu www.aran.com.pl

Polityka prywatności serwisu www.aran.com.pl Przedsiębiorstwo BudowlanoHandlowe Z.Niziński Polityka prywatności serwisu www.aran.com.pl 1. Informacje ogólne. Operatorem Serwisu [adres serwisu, np. www.blink.pl] jest [pełne dane rejestrowe] Serwis

Bardziej szczegółowo

(Pluggable Authentication Modules). Wyjaśnienie technologii.

(Pluggable Authentication Modules). Wyjaśnienie technologii. Bezpieczeństwo systemów komputerowych. Temat seminarium: Moduły PAM (Pluggable Authentication Modules). Wyjaśnienie technologii Autor: Bartosz Hetmański Moduły PAM (Pluggable Authentication Modules). Wyjaśnienie

Bardziej szczegółowo

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar) Tworzenie witryn internetowych PHP/Java (mgr inż. Marek Downar) Rodzaje zawartości Zawartość statyczna Treść statyczna (np. nagłówek, stopka) Layout, pliki multimedialne, obrazki, elementy typograficzne,

Bardziej szczegółowo

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń

Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora

Bardziej szczegółowo

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS Procedury techniczne modułu Forte Kontroling Ustawienia IIS Ustawienia IIS Strona 2 z 9 Konfiguracja IIS: 1. Dla Windows 2003 Server IIS6 1.1. Ustawienia ogólne Po zakończeniu instalacji należy wyłączyć

Bardziej szczegółowo

Portal Security - ModSec Enterprise

Portal Security - ModSec Enterprise Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia

Bardziej szczegółowo

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Polityka prywatności (pliki cookies) 1. Informacje ogólne. Cemarol Sp. z o.o. 1. Operatorem Serwisu www.powiat-lebork.com jest Cemarol sp. z o.o. z siedzibą w Kobylnicy (76-251), Kobylnica, ul. Główna

Bardziej szczegółowo

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? 27.06.11 FAQ Systemu EKOS 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? Procedura rejestracji ocen wymaga podpisywania protokołów (w postaci wypełnionych formularzy InfoPath Forms

Bardziej szczegółowo

Microsoft Visual SourceSafe uproszczona instrukcja użytkowania

Microsoft Visual SourceSafe uproszczona instrukcja użytkowania Politechnika Białostocka Wydział Informatyki mgr inż. Tomasz Łukaszuk Microsoft Visual SourceSafe uproszczona instrukcja użytkowania Wprowadzenie Microsoft Visual SourceSafe jest narzędziem pozwalającym

Bardziej szczegółowo

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań Protokół HTTP (2) I) Wprowadzenie Celem ćwiczenia jest zapoznanie z protokołem HTTP. Ćwiczenie obejmuje takie zagadnienia jak: a) instalację i konfigurację serwera HTTP (Apache2), b) uwierzytelnianie dostępu

Bardziej szczegółowo

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1 Spis treści Wstęp... xi Wymagania sprzętowe (Virtual PC)... xi Wymagania sprzętowe (fizyczne)... xii Wymagania programowe... xiii Instrukcje instalowania ćwiczeń... xiii Faza 1: Tworzenie maszyn wirtualnych...

Bardziej szczegółowo

Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki

Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki Co dziś będziemy robić Uwierzytelnianie użytkowników, Obiekt session, Silniki

Bardziej szczegółowo

Projekt: MS i CISCO dla Śląska

Projekt: MS i CISCO dla Śląska Projekt: MS i CISCO dla Śląska Ścieżki szkoleniowe planowane do realizacji w projekcie Administracja i planowanie systemów Katowice, październik 2012 Projekt jest współfinansowany przez Unię Europejską

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Pawel@Kasprowski.pl Języki skryptowe - PHP. PHP i bazy danych. Paweł Kasprowski. pawel@kasprowski.pl. vl07

Pawel@Kasprowski.pl Języki skryptowe - PHP. PHP i bazy danych. Paweł Kasprowski. pawel@kasprowski.pl. vl07 PHP i bazy danych Paweł Kasprowski pawel@kasprowski.pl Użycie baz danych Bazy danych używane są w 90% aplikacji PHP Najczęściej jest to MySQL Funkcje dotyczące baz danych używają języka SQL Przydaje się

Bardziej szczegółowo

Drobne błędy w portalach WWW

Drobne błędy w portalach WWW Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting

Bardziej szczegółowo

Instrukcja instalacji systemu elektronicznego obiegu dokumentów - esoda.

Instrukcja instalacji systemu elektronicznego obiegu dokumentów - esoda. Instrukcja instalacji systemu elektronicznego obiegu dokumentów - esoda. wersja 2.3 data 18 czerwca 2008 Spis treści: WYMAGANIA SYSTEMU:... 2 Instalacja oprogramowania esoda... 3 Instalacja aplikacji...

Bardziej szczegółowo

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego

Bardziej szczegółowo

Serwery LDAP w środowisku produktów w Oracle

Serwery LDAP w środowisku produktów w Oracle Serwery LDAP w środowisku produktów w Oracle 1 Mariusz Przybyszewski Uwierzytelnianie i autoryzacja Uwierzytelnienie to proces potwierdzania tożsamości, np. przez: Użytkownik/hasło certyfikat SSL inne

Bardziej szczegółowo

Agenda. Quo vadis, security? Artur Maj, Prevenity

Agenda. Quo vadis, security? Artur Maj, Prevenity Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

Wymagane jest podłączenie serwera do Internetu (konieczne do zdalnego dostępu).

Wymagane jest podłączenie serwera do Internetu (konieczne do zdalnego dostępu). Spis treści Informacje ogólne...2 Tryby pracy...3 Wygląd interfejsu...4 Tryb użytkownika...5 Tryb administratora...6 Import kontrahentów z pliku XML...8 2 Informacje ogólne Aplikacja internetowa umożliwia

Bardziej szczegółowo

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Steve Suehring Egzamin 70-414 Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Przekład: Leszek Biolik APN Promise, Warszawa 2014 Spis treści Wstęp................................................................

Bardziej szczegółowo

IIS 7.0 - Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft

IIS 7.0 - Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft IIS 7.0 - Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft 1 Wstęp Bezpieczny hosting Komponenty serwera IIS + ASP.NET - dobrana

Bardziej szczegółowo

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej) Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej) Uruchom maszynę wirtualną Server 2008 Zaloguj się do konta

Bardziej szczegółowo

Problemy techniczne SQL Server

Problemy techniczne SQL Server Problemy techniczne SQL Server Instalacja Microsoft SQL Server 2008 R2 Express z płyty Optivum W poradzie opisano, jak zainstalować bezpłatną wersję programu bazodanowego Microsoft SQL Server 2008 R2 Express

Bardziej szczegółowo

Kancelaria Prawna.WEB - POMOC

Kancelaria Prawna.WEB - POMOC Kancelaria Prawna.WEB - POMOC I Kancelaria Prawna.WEB Spis treści Część I Wprowadzenie 1 Część II Wymagania systemowe 1 Część III Instalacja KP.WEB 9 1 Konfiguracja... dostępu do dokumentów 11 Część IV

Bardziej szczegółowo

Jak bezpieczne są Twoje dane w Internecie?

Jak bezpieczne są Twoje dane w Internecie? Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki Plan prezentacji

Bardziej szczegółowo

Procedury techniczne modułu Forte Kontroling. Pakiety DTS

Procedury techniczne modułu Forte Kontroling. Pakiety DTS Procedury techniczne modułu Forte Kontroling Pakiety DTS Pakiety DTS Strona 2 z 7 Pakiety DTS przeznaczone są do wykorzystywania podczas importu danych z modułu Forte Finanse i Księgowość do modułu Forte

Bardziej szczegółowo

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 - Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,

Bardziej szczegółowo

INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Bartłomiej Balcerek Wrocławskie Centrum Sieciowo-Superkomputerowe Plan prezentacji Podstawowe pojęcia z dziedziny gridów Definicja

Bardziej szczegółowo

Bezpieczeństwo aplikacji webowych

Bezpieczeństwo aplikacji webowych Bezpieczeństwo aplikacji webowych Tomasz Nowocień nowocien@man.poznan.pl Zespół Bezpieczeństwa PCSS http://security.psnc.pl Szkolenie Działu KDM PCSS Poznań, 29.04.2009 1 Szkolenie - plan spotkania 10.00

Bardziej szczegółowo

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013 O mnie Leszek Miś IT Security Architect RHCA/RHCSS

Bardziej szczegółowo

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej Ochrona przed spyware Antyspam Ochrona antywiruso wa Antyphishing Filtrowanie zawartości i

Bardziej szczegółowo

z testów penetracyjnych

z testów penetracyjnych SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki Borys Łącki testy penetracyjne, audyty, szkolenia,

Bardziej szczegółowo

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP Projekt Microsoft i CISCO dla Zachodniopomorskich MŚP jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP Opis

Bardziej szczegółowo

Konfiguracja Claims Based Authentication dla Microsoft SharePoint 2010

Konfiguracja Claims Based Authentication dla Microsoft SharePoint 2010 Konfiguracja Claims Based Authentication dla Microsoft SharePoint 2010 Spis treści 1 Opis usługi... 2 2 Utworzenie bazy danych... 3 3 Tworzenie nowej aplikacji SharePoint... 4 4 Tworzenie zbioru witryn...

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Przewodnik Google Cloud Print

Przewodnik Google Cloud Print Przewodnik Google Cloud Print Wersja A POL Definicje oznaczeń W tym podręczniku użytkownika zastosowano następujący styl uwag: Uwagi informują o tym, jak należy reagować w danej sytuacji, lub zawierają

Bardziej szczegółowo

Wdrożenie modułu płatności eservice. dla systemu Magento 1.4 1.9

Wdrożenie modułu płatności eservice. dla systemu Magento 1.4 1.9 Wdrożenie modułu płatności eservice dla systemu Magento 1.4 1.9 - dokumentacja techniczna Wer. 01 Warszawa, styczeń 2014 1 Spis treści: 1 Wstęp... 3 1.1 Przeznaczenie dokumentu... 3 1.2 Przygotowanie do

Bardziej szczegółowo

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center Spis treści Konfiguracja Microsoft Outlook 2007... 3 Konfiguracja dla POP3... 7 Konfiguracja dla IMAP... 11 Sprawdzenie poprawności

Bardziej szczegółowo

Dokumentacja smsapi wersja 1.4

Dokumentacja smsapi wersja 1.4 Dokumentacja smsapi wersja 1.4 1. Wprowadzenie Platforma smsapi została skierowana do użytkowników chcących rozbudować swoje aplikacje o system wysyłania smsów. Aplikacja ta w prosty sposób umożliwia integrację

Bardziej szczegółowo

POLITYKA PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES W SERWISACH INTERNETOWYCH GoPay Sp. z o.o.

POLITYKA PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES W SERWISACH INTERNETOWYCH GoPay Sp. z o.o. POLITYKA PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES W SERWISACH INTERNETOWYCH GoPay Sp. z o.o. PLIKÓW COOKIES GoPay Sp. z o.o. jako firma przywiązuje szczególną uwagę do poszanowania prywatności użytkowników

Bardziej szczegółowo

Instrukcja obsługi Modułu Payu dla Moodle 2.x

Instrukcja obsługi Modułu Payu dla Moodle 2.x Instrukcja obsługi Modułu Payu dla Moodle 2.x Wersja z 10 lutego 2015r. Spis treści 1. Wymagania............................................ 1 2. Instalacja.............................................

Bardziej szczegółowo

INFORMATOR TECHNICZNY WONDERWARE

INFORMATOR TECHNICZNY WONDERWARE Informator techniczny nr 119 12-02-2010 INFORMATOR TECHNICZNY WONDERWARE Zalecana instalacja i konfiguracja Microsoft SQL Server 2008 Express Edition dla oprogramowania Wonderware UWAGA! Przed instalowaniem

Bardziej szczegółowo