Modsecurity czy Twój WAF to potrafi? Leszek Miś Linux Polska Sp. z o.o.
|
|
- Tomasz Kowalik
- 3 lat temu
- Przeglądów:
Transkrypt
1 Modsecurity czy Twój WAF to potrafi? Leszek Miś Linux Polska Sp. z o.o.
2 CEL: Modsecurity jest cool!
3 Agenda Modsecurity Wprowadzenie Architektura Funkcjonalność Filtrowanie komunikacji JSON Aktywacja mechanizmu HMAC Aktywacja i wykorzystanie reguł OWASP CRS
4 Wprowadzenie Aplikacje webowe jako cel czyli zagrożenia kryją się wszędzie: Aplikacja Protokół Serwer HTTP/Proxy/Apps Framework Język programowania
5 Wprowadzenie Rzeczywistość weryfikuje: Zimbra: priv_esc poprzez LFI: /res/i18nmsg,ajxmsg,zmsg,zmmsg,ajxkeys,zmkeys,zdmsg,ajx%20templatemsg.js.zgz? v= &skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml OSSIM: SQL Injection Apache Struts: RCE F5 BigIQ priv_esc Jira: directory traversal Katello: users/update_roles I wiele innych...
6 Wprowadzenie Problem z patchowaniem podatności: Zbyt wysoki koszt Kod źródłowy firmy zewnętrznej Ograniczony kontrakt/umowa Brak zasobów Brak skillsów SDLC dla poprawki-> tst->acc->prod Niedostępność aplikacji
7 Zagrożenia Cross Site Scripting ClickJacking SQL Injection MitB LDAP Injection Open Redirect XPATH Injection DOS/DDOS XML Injection Cross Site Request Forgery (CSRF) Blind SQLi Information/Path Dislosure Time based SQLi Double Encoding Remote Command Execution Server Side Includes Injection Local File Inlusion Bruteforce Remote File Inclusion Buffer overflow Session Hijacking Misconfiguration HTTP Response Spliiting RE-DOS Sniffing/Spoofing Forced browsing Drive by Download
8 Uchybienia
9 Wprowadzenie WAF pozwala na Pełne logowanie audytowe ruchu HTTP: requests responses Monitorowanie HTTP w czasie rzeczywistym Wykrywanie i blokowanie ataków: Negative Positive Znane podatności (regexpy) Web Honeypoty
10 Wprowadzenie Negative security model: Monitoruje pod kątem anomalii, nietypowego zachowania, pod kątem znanych appek. Wzrastający anomaly scoring per sesja, IP, user Reguła musi się zamatchować Positive security model: Tylko żądania uznawane za poprawne są obsługiwane Wymagana doskonała znajomość aplikacji i zachowań użytkowników, danych wejściowych Najlepsze dla rzadko aktualizowanych appek
11 Wprowadzenie Negative security model: SecRule /owa/scriptname.asx chain, phase:1,block,log,msg:'xss na mojej appce' SecRule < > ( ) -- Positive security model: SecRule /owa/scriptname.asx chain, phase:1,block,log,msg:'xss na mojej appce' SecRule ^\w+$
12 Wprowadzenie Modsecurity for: Apache: Najpopularniejszy Ficzer riczi ricz Aktualnie 2.4 Nginx: Reverse proxy Performance IIS Modsecurity Core Rule Set
13 Architektura Reverse Proxy: mod_proxy: <Location /appka/> ProxyPass ProxyPassreverse SecRuleEngine On </Location> Lokalnie wbudowany Chain of proxies
14 Architektura Reverse proxy+modsecurity
15 Funkcjonalność Modsecurity: Parsuje: Chce zrozumieć ruch HTTP Bufferuje: Kompletne żądanie przez przekazaniem do aplikacji Kompletną odpowiedź przez przekazaniem do klienta Loguje: Pełny zapis ruchu Analizuje: Checkuje pod kątem reguł
16 Funkcjonalność Apache z modsecurity pozwala na: Deszyfrowanie SSL Wydobywanie z transmisji żądań HTTP Parsowanie żądań Aktywację WAF Przekazywanie żądań do serwerów typu backend Modyfikacja danych wychodzących w locie - dynamiczne wstrzykiwanie Wirtualne patchowanie LUA
17 Funkcjonalność Fazy filtrowania: Każda transakcja przechodzi przez 5 faz filtrowania: 1: Request headers 2: Request body 3: Response headers 4: Response body 5: Logging
18 Funkcjonalność Wirtualny patch w uproszczonym przypadku: Ograniczenie Request_Body_Size Wykrywanie powtarzających się payloadów Ograniczenie ilości ARGS Weryfikacja ARGS Analiza i filtrowanie RESPONSE_BODY
19 Funkcjonalność Przykładowe reguły: SecRule REQUEST_URI "id:152,log,deny" SecRule REQUEST_BODY "id:12345,log,deny" SecRule REQUEST_HEADERS:User-Agent WebZIP WebCopier Webster WebStripper... SiteSnagger CheeseBot" "id:166" SecRule ARGS:foo bar" "id:176"
20 LAB1 uruchomienie Apache jako Reverse Proxy
21 Czym jest JSON? Prosty, tekstowy format wymiany danych Podzbiór języka JS Dwie struktury: Zbiór par nazwa/wartość Lista/tabela/sekwencja wartości MIME type: application/json Wykorzystywany w implementacjach API, np. Rest
22 Czym jest JSON? Openweathermap.org: {"coord":{"lon":-0.13,"lat":51.51},"sys": {"message":0.0139,"country":"gb","sunrise": ,"sun set": },"weather": [{"id":521,"main":"rain","description":"proximity shower rain","icon":"09d"}],"base":"cmc stations","main": {"temp":286.16,"pressure":1008,"humidity":66,"temp_min": ,"temp_max":288.15},"wind":{"speed":6.7,"deg":250},"rain": {"3h":0},"clouds": {"all":75},"dt": ,"id": ,"name":"london","cod" :200}
23 Filtrowanie komunikacji JSON Modsecurity 2.8.0: SecRule REQUEST_HEADERS:Content-Type "application/json" "id:' ',phase:2,t:none,t:lowercase,pass,log,c tl:requestbodyprocessor=json" Libyajl
24 LAB2 - Filtrowanie komunikacji JSON
25 Mechanizm HMAC HMAC Token Protection: Forceful Browsing Reflected XSS Ochrona CSRF Manipulacja QUERY_STRINGS Ochrona przed automatami/botami
26 HMAC Manipulacja kontentem: W jaki sposób sprawdzić czy odbyła się modyfikacja dokumentu? Parsowanie wyjścia (RESPONSE_BODY) Wyliczanie hasha dla wynikowego HTML Wstrzykiwanie unikalnych tokenów dla wszystkich linków dokumentu HTML Token = request parameter validation token
27 HMAC Executing operator "validatehash" with param "\\.(aspx? php)" against REQUEST_URI. Target value: "/showimage.php?file=./database_connect.php" Request URI without hash parameter [/showimage.php? file=./database_connect.php] Warning. Request URI matched "\\.(aspx? php)" at REQUEST_URI. No Hash parameter [file "/etc/httpd/modsecurity.d/base_rules/hmac.conf"] [line "10"] [id "1000"] [msg "Hash Validation Violation."] [tag "testphp.vulnweb.com"]
28 HMAC HMAC zablokuje: Skanery Automaty Botnety które nie podążają za linkami dostępnymi w kontekście aplikacji XSS/SQL-Injection
29 HMAC
30 HMAC Dyrektywy: SecDisableBackendCompression On SecRuleEngine On SecContentInjection On SecStreamOutBodyInspection On SecHashEngine On SecHashKey rand keyonly SecHashParam "hmac" SecHashMethodrx "HashHref" "\.(aspx? php)" SecHashMethodrx "HashFormAction" "\.(aspx? php)" SecRule REQUEST_URI \.(aspx? php)" "phase:2,id:1000,t:none,block,msg:'hash Validation Violation.',ctl:hashEnforcement=On,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:'tx.msg=%{rule.msg}',setvar:tx.% {rule.id}-owasp_crs/web_attack/param_manipulation-% {matched_var_name}=%{matched_var}"
31 LAB3 - HMAC
32 OWASP Top 10 Zbiór 10 najistotniejszych, kluczowych błędów w zabezpieczeniach aplikacji internetowych: A1 Injection A2 Broken Auth and Session MGMT A3 XSS A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 CSRF A9 Known vulns A10 Unvalidated Redirects and Forwards
33 OWASP Docs & tools ASVS ESAPI Testing Guide Cheat Sheets
34 OWASP CRS Modsecurity to tylko silnik Musimy go naładować : Tworzenie dedykowanych reguł od podstaw per aplikacja Wykorzystanie gotowych reguł OWASP CRS Hybryda czyli połączenie reguł CRS z własnymi regułami typu Whitelist
35 OWASP CRS HTTP Protection - detecting violations of the HTTP protocol and a locally defined usage policy. Real-time Blacklist Lookups - utilizes 3rd Party IP Reputation HTTP Denial of Service Protections - defense against HTTP Flooding and Slow HTTP DoS Attacks. Common Web Attacks Protection - detecting common web application security attack. Automation Detection - Detecting bots, crawlers, scanners and other surface malicious activity. Integration with AV Scanning for File Uploads - detects malicious files uploaded through the web application. Tracking Sensitive Data - Tracks Credit Card usage and blocks leakages. Trojan Protection - Detecting access to Trojans horses. Identification of Application Defects - alerts on application misconfigurations. Error Detection and Hiding - Disguising error messages sent by the server.
36 OWASP CRS Reguły OWASP CRS podzielone są na: base_rules experimental_rules optional_rules slr_rules /etc/httpd/modsecurity.d/
37 LAB4 Atak.
38 OWASP CRS Dostosowanie reguł per aplikacja: SecRuleRemoveById SecRuleRemoveByMsg SecRuleRemoveByTag
39 LAB5 instalacja i aktywacja reguł CRS
40 Różne Integracja z BEEF DDOS LUA Splunk for Modsecurity Learning mode i generowanie reguł na podstawie raportów ze skanerów Wykrywanie zmiany User-Agent podczas sesji
41 Podsumowanie To tylko zajawka na dobry początek W Modsecurity drzemią ogromne możliwości i potencjał Idealny komponent rozbudowanego stacku typu Web Gateway/Secure Proxy Automatyzacja Skalowalność Customizacja Auditing
42 Dziękuję za uwagę:)
Scalable and under control open cloud architecture
Scalable and under control open cloud architecture considering security standards. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ lm@linuxpolska.pl Linux Polska Sp. z o.o. 1 #whoami 2 Leszek Miś: IT
Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o.
Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o. 1 Fakty 2 Aplikacje webowe jako cel czyli zagrożenia kryją
Portal Security - ModSec Enterprise
Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia
Open(Source) Web Application Security Project
Open(Source) Web Application Security Project 2014-05-14 Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document
Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.
Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013 O mnie Leszek Miś IT Security Architect RHCA/RHCSS
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie ponad Top 10 Misja: Poprawa stanu bezpieczeństwa aplikacji
Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org
Narzędzia dla developerów ESAPI & AppSensor 2011-11-23 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org +48506184550 Copyright The Foundation Permission is granted to
Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1
Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Złożona i rozbudowana architektura: błędy w kodzie błędy w konfiguracji błędy w założeniach
OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach
OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)
Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW
Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk ul. Rudolfa Weigla 12, 53-114 Wrocław tel. / fax. (4871) 37-09-997, http://www.iitd.pan.wroc.pl NIP: 896-000-56-96;
Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych
Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura
The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu
The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session
Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia OWASP OWASP 2012-04-19. The OWASP Foundation http://www.owasp.
Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia 2012-04-19 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org Copyright The Foundation Permission
Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework
Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.
Application Security Verification Standard. Wojciech Dworakowski, SecuRing
Application Security Verification Standard Wojciech Dworakowski, SecuRing login: Wojciech Dworakowski OWASP Poland Chapter Leader OWASP = Open Web Application Security Project Cel: Podnoszenie świadomości
Testy penetracyjne webaplikacji. piotr.konieczny@niebezpiecznik.pl
Testy penetracyjne webaplikacji piotr.konieczny@niebezpiecznik.pl niebezpiecznik.pl testujemy (web)aplikacje, ludzi i sieci komputerowe pod kątem odporności na ataki (nie tylko komputerowe...) doradzamy
Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web
Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia
Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure
Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure Paweł Berus Zespół Bezpieczeństwa PCSS 36. Spotkanie Poznańskiej Grupy.NET Poznań, 13.10. 2011 1 Agenda
CYBEROAM Unified Treatment Management, Next Generation Firewall
CYBEROAM Unified Treatment Management, Next Generation Firewall Spis: 1. Cyberoam Technologies/portfolio 2. Funkcjonalności Cyberoam 3. Wyróżniki, przewagi na rynku 4. Interfejs i zarządzanie 5. Program
4 Web Forms i ASP.NET...149 Web Forms...150 Programowanie Web Forms...150 Możliwości Web Forms...151 Przetwarzanie Web Forms...152
Wstęp...xv 1 Rozpoczynamy...1 Co to jest ASP.NET?...3 W jaki sposób ASP.NET pasuje do.net Framework...4 Co to jest.net Framework?...4 Czym są Active Server Pages (ASP)?...5 Ustawienia dla ASP.NET...7 Systemy
Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór
S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca
Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.
Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Są 3 rodzaje serwerów: Zabezpieczone Niezabezpieczone Podobno
Aspekty bezpieczeństwa aplikacji internetowych
Aspekty bezpieczeństwa aplikacji internetowych Kamil Witecki (kamil@witecki.net.pl) Wojciech Wodo (wojciech.wodo@gmail.com) 21 kwietnia 2010 Kto, co, dlaczego? Popularne typy ataków Kim jesteśmy i dlaczego
Standard aplikacji WWW Urzędu Miasta Olsztyna
Standard aplikacji WWW Urzędu Miasta Olsztyna Dokument wydrukowany i nie podpisany jest dokumentem nienadzorowanym. Opracowali: Sprawdzili: Zatwierdzili: Mariola Iciak Andrzej Dziewit Rafał Ruchlewicz
TOPIT Załącznik nr 3 Programowanie aplikacji internetowych
Szkolenie przeznaczone jest dla osób chcących poszerzyć swoje umiejętności o tworzenie rozwiązań internetowych w PHP. Zajęcia zostały przygotowane w taki sposób, aby po ich ukończeniu można było rozpocząć
Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010
Bezpieczeństwo interoperacyjnego hostingu Gerard Frankowski, Zespół Bezpieczeństwa PCSS 4. Konferencja MIC Nowoczesne technologie bliżej nas Poznań, 04.03.2010 1 Agenda Wprowadzenie Zespół Bezpieczeństwa
SIP: Session Initiation Protocol. Krzysztof Kryniecki 16 marca 2010
SIP: Session Initiation Protocol Krzysztof Kryniecki 16 marca 2010 Wprowadzenie Zaaprobowany przez IETF w 1999 (RFC 2543) Zbudowany przez Mutli Parry Multimedia Session Control Working Group : MMUSIC Oficjalny
Paweł Rajba pawel@ii.uni.wroc.pl http://www.itcourses.eu/
Paweł Rajba pawel@ii.uni.wroc.pl http://www.itcourses.eu/ Wprowadzenie WCF Data Services Obsługa żądania OData Podstawy języka OData Narzędzia i biblioteki Gdzie można skorzystać z OData OData w Web API
OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek
Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of
Bezpieczeństwo systemów internetowych
Bezpieczeństwo systemów internetowych AGENDA Podstawowe informacje o Risco Software Przewaga konkurencyjna Risco Software Przykładowe zrealizowane projekty Postrzeganie bezpieczeństwa systemów internetowych
Drobne błędy w portalach WWW
Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting
Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne
Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń
Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora
n6: otwarta wymiana danych
n6: otwarta wymiana danych Paweł Pawliński SECURE 2013 XVII Konferencja na temat bezpieczeństwa teleinformatycznego 9 października 2013 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013
Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS
Kim jesteśmy? PCSS i MIC Paweł Berus, Zespół Bezpieczeństwa PCSS Konferencja IT Academic Day Poznań, 10.11.2011 1 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe (1993) Operator sieci PIONIER oraz POZMAN
www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)
PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK) agenda I. opis systemu II. wykrywanie nowych ataków III. ataki aktualne robak PHP IV. open proxy znajdź
Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP 2012-10-24. The OWASP Foundation http://www.owasp.org
Bezpieczeństwo aplikacji Czy musi być aż tak źle? 2012-10-24 Wojciech Dworakowski Poland Chapter Leader SecuRing Copyright The Foundation Permission is granted to copy, distribute and/or modify this document
Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester
Fuzzing Piotr Łaskawiec J2EE Developer/Pentester 14.01.2010 Metrosoft (www.metrosoft.com) piotr.laskawiec@gmail.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this
Wstęp Budowa Serwlety JSP Podsumowanie. Tomcat. Kotwasiński. 1 grudnia 2008
Adam 1 grudnia 2008 Wstęp Opis Historia Apache kontener serwletów rozwijany w ramach projektu Apache jeden z bardziej popularnych kontenerów Web open source, Apache Software License rozwijany przez ASF
Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować
Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować Bartosz Kryński Dział Usług Profesjonalnych, Clico Sp. z o.o. bartosz.krynski@clico.pl InfoTRAMS 1 Fusion
Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org
Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? dr inż. Jakub Botwicz CISSP, ECSA, GWAPT 19.11.2014 jakub.botwicz@gmail.com Copyright The Foundation Permission is granted to copy, distribute
Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami
Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl Pojawianie się nowych podatności I. Identyfikacja podatności II.
pawel.rajba@gmail.com, http://itcourses.eu/ Adresy zasobów Rodzaje zawartości Negocjacja treści Komunikacja Buforowanie HTTP Request/Response Nagłówki Bezstanowość Cookies Narzędzia URL, http://www.ietf.org/rfc/rfc3986.txt
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF O mnie 12 lat doświadczenia w systemach WEB Java/JEE (ISC) 2 CISSP CTO w J-LABS GET / HTTP/1.1 Host: bank.pl User-Agent: Mozilla/5.0
Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science
Systemy internetowe Wykład 5 Architektura WWW Architektura WWW Serwer to program, który: Obsługuje repozytorium dokumentów Udostępnia dokumenty klientom Komunikacja: protokół HTTP Warstwa klienta HTTP
Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)
Tworzenie witryn internetowych PHP/Java (mgr inż. Marek Downar) Rodzaje zawartości Zawartość statyczna Treść statyczna (np. nagłówek, stopka) Layout, pliki multimedialne, obrazki, elementy typograficzne,
Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania
Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp
Safe Hosting idea ultrabezpiecznego systemu hostingowego
Safe Hosting idea ultrabezpiecznego systemu hostingowego Agenda Wprowadzenie do tematyki Problemy z bezpieczeństwem systemów hostingowych Platforma Safe hosting analiza części składowych: SELinux + Multi
! Retina. Wyłączny dystrybutor w Polsce
! Retina 0 0 Rozwiązania BeyondTrust dostarczają informacji niezbędnych do podejmowania właściwych decyzji i zmniejszenia ryzyka dla zasobów i użytkowników. 1 1 10,000+ licencji 80%największych światowych
Dokumentacja Techniczna 1.2. Webtoken MT. Uruchomienie subskrybcji MT poprzez serwis WWW
Dokumentacja Techniczna 1.2 Webtoken MT Uruchomienie subskrybcji MT poprzez serwis WWW CashBill Spółka Akcyjna ul. Rejtana 20, 41-300 Dąbrowa Górnicza Tel.: +48 032 764-18-42 Fax: +48 032 764-18-40 Infolinia:
Jak bezpieczne są Twoje dane w Internecie?
Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki Plan prezentacji
Testowanie aplikacji Java Servlets
Borland Developer Days 2004 2-3 czerwca 2004 Testowanie aplikacji Java Servlets Bartosz Walter mailto: Bartek.Walter@man.poznan.pl Agenda Aplikacje Java Servlets TM Jak testować aplikacje internetowe?
Jak zabezpieczyć aplikacje przed włamaniami?
Jak zabezpieczyć aplikacje przed włamaniami? Analiza podejść do zapewnienia bezpieczeństwa oprogramowania za pomocą rozwiązania HP Fortify Yaroslav Popov / 14 kwietnia, 2015 Dlaczego aplikacje są najbardziej
Ajax a bezpieczeństwo aplikacji webowych. Jakub Wierzgała
Ajax a bezpieczeństwo aplikacji webowych Jakub Wierzgała Web 2.0 2 grudnia 2008r. Ajax a bezpieczeństwo aplikacji webowych 2 Web 2.0 Zawartość tworzona przez uŝytkowników Wysoka interaktywność Aplikacja
Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, 01-748 Warszawa tel: 22 667 17 04, faks: 22 667 17 33
Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, 01-748 Warszawa tel: 22 667 17 04, faks: 22 667 17 33 993200/370/IN-429/2012 Warszawa, dnia 29.05.2012 r. Informacja dla
API transakcyjne BitMarket.pl
API transakcyjne BitMarket.pl Wersja 20140402 1. Sposób łączenia się z API... 2 1.1. Klucze API... 2 1.2. Podpisywanie wiadomości... 2 1.3. Parametr tonce... 2 1.4. Limity zapytań... 3 1.5. Odpowiedzi
Wybrane podatności w aplikacjach webowych
Wybrane podatności w aplikacjach webowych Michał Sajdak, CISSP, CEH, T2S sekurak.pl/secure14.pdf www.sekurak.pl O Prelegencie Realizuję testy penetracyjne / szkolenia http://securitum.pl/ Założyciel http://sekurak.pl/
1 Wprowadzenie do J2EE
Wprowadzenie do J2EE 1 Plan prezentacji 2 Wprowadzenie do Java 2 Enterprise Edition Aplikacje J2EE Serwer aplikacji J2EE Główne cele V Szkoły PLOUG - nowe podejścia do konstrukcji aplikacji J2EE Java 2
Bazy danych i usługi sieciowe
Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje
Projektowani Systemów Inf.
Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych
Agenda. Quo vadis, security? Artur Maj, Prevenity
Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA W wypadku wystąpienia w poniższym opisie wymaganych minimalnych parametrów, zastrzeżonych nazw własnych producentów lub produktów, zgodnie z art. 29 ust. 3 PZP, dopuszcza
Log management i analizy > to czego nie widać. Tomasz Sawiak
Log management i analizy > to czego nie widać Tomasz Sawiak Agenda O Firmie Obszary analizy logów Splunk co wyróżnia rozwiązanie Podejście do wdrożenia Use-casy Safe Computing 1994 rok Motto: chronimy
Dokumentacja REST API v 3.0
Dokumentacja REST API v 3.0 Kraków, 16 kwietnia 2012 FreshMail, ul. Fabryczna 20a, 31-553 Kraków tel. +48 12 617 61 40, info@freshmail.pl, freshmail.pl Spis treści Opis API... 3 Uwierzytelnienie... 3 Odpowiedzi
Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS
Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Wstęp Bezpieczny hosting IIS + ASP.NET - dobrana para ZagroŜenia przykładowe ataki Zabezpieczamy serwer
Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora
NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Bezpieczeństwo rozwiązań hostingowych Hosting wirtualny - studium przypadku Secure 2008 3 października 2008 Arkadiusz Kalicki, NASK Agenda Zagrożenia Omówienie zabezpieczeń
IT Security vs GameDev. IGK'8 2011, Siedlce / Poland
IT Security vs GameDev IGK'8 2011, Siedlce / Poland /usr/bin/whoami http://gynvael.coldwind.pl/ Plan Część I Różne definicje bezpieczeństwa Część II GameDev vs hacking o czym nie będzie... Część I Różne
Advanced Internet Information Services Management (IIS 8)
Advanced Internet Information Services Management (IIS 8) Warsztat autorski Pauli Januszkiewicz (4 dni, 28 godzin lekcyjnych) Paula Januszkiewicz ekspert ds. bezpieczeństwa infrastruktury IT. Jako jedna
Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka
Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk ul. Rudolfa Weigla 12, 53-114 Wrocław tel. / fax. (4871) 37-09-997, http://www.iitd.pan.wroc.pl NIP: 896-000-56-96;
Rozwiązania internetowe iplanet
Rozwiązania internetowe iplanet Grzegorz Blinowski "CC" - Otwarte Systemy Komputerowe Grzegorz.Blinowski@cc.com.pl http://www.cc.com.pl/ tel (22) 646-6873; faks (22) 606-3780 Prezentacja przygotowana przez
Gatesms.eu Mobilne Rozwiązania dla biznesu
Mobilne Rozwiązania dla biznesu SPECYFIKACJA TECHNICZNA WEB API-USSD GATESMS.EU wersja 0.9 Opracował: Gatesms.eu Spis Historia wersji dokumentu...3 Bezpieczeństwo...3 Wymagania ogólne...3 Mechanizm zabezpieczenia
Serwery LDAP w środowisku produktów w Oracle
Serwery LDAP w środowisku produktów w Oracle 1 Mariusz Przybyszewski Uwierzytelnianie i autoryzacja Uwierzytelnienie to proces potwierdzania tożsamości, np. przez: Użytkownik/hasło certyfikat SSL inne
Dokumentacja Techniczna. Dokumentacja techniczna usługi płatności mobilnych
Dokumentacja Techniczna 1.3, beta Direct Billing Dokumentacja techniczna usługi płatności mobilnych CashBill Spółka Akcyjna ul. Rejtana 20, 41-300 Dąbrowa Górnicza Tel.: +48 032 764-18-42 Fax: +48 032
Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone
Typy przetwarzania Przetwarzanie zcentralizowane Systemy typu mainfame Przetwarzanie rozproszone Architektura klient serwer Architektura jednowarstwowa Architektura dwuwarstwowa Architektura trójwarstwowa
1.AKTYWNA METODA TESTOWANIA BEZPIECZEŃSTWA APLIKACJI WEBOWYCH HTTPVALIDER ORAZ OCENA JEJ SKUTECZNOŚCI
INŻYNIERIA OPROGRAMOWANIA W PROCESACH INTEGRACJI SYSTEMÓW INFORMATYCZNYCH Pod redakcją J. Górskiego, C. Orłowskiego, 2010 PWNT Gdańsk 1.AKTYWNA METODA TESTOWANIA BEZPIECZEŃSTWA APLIKACJI WEBOWYCH HTTPVALIDER
FRONT-END SECURITY SZYMON GRZYBOWSKI NSENSE POLSKA S.A.
FRONT-END SECURITY SZYMON GRZYBOWSKI NSENSE POLSKA S.A. KIM JESTEM? absolwent PP, systemy rozproszone i sieci komputerowe security consultant przez ostatnie 2 lata bezpieczeństwo aplikacji webowych i mobilnych
z testów penetracyjnych
SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki Borys Łącki testy penetracyjne, audyty, szkolenia,
Serwery. Autorzy: Karol Czosnowski Mateusz Kaźmierczak
Serwery Autorzy: Karol Czosnowski Mateusz Kaźmierczak Czym jest XMPP? XMPP (Extensible Messaging and Presence Protocol), zbiór otwartych technologii do komunikacji, czatu wieloosobowego, rozmów wideo i
PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM
PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM Autor: Piotr Marek Ciecierski Kierujący pracą: prof. dr hab. inż. Zbigniew Kotulski Plan prezentacja Spis treści: 1) Wprowadzenie
Linux -- u mnie działa!
Linux -- u mnie działa! Domowy serwer II Karol 'KarolGT' Antosik karolgt@karolgt.one.pl Stanisław 'Grung' Kulczycki grung@kce.one.pl Apache Apache najpopularniejszy serwer http ~62% z całości rynku budowa
Marek Pyka,PhD. Paulina Januszkiewicz
Marek Pyka,PhD Security Engineer Paulina Januszkiewicz Security Engineer Academy of Business in Dąbrowa Górnicza, POLAND prezentują [EN] Remote access mechanics as a source of threats to enterprise network
KARTA KURSU. Administracja serwerami WWW
KARTA KURSU Nazwa Nazwa w j. ang. Administracja serwerami WWW Web server administration Kod Punktacja ECTS* 2 Koordynator mgr Alfred Budziak Zespół dydaktyczny: mgr Alfred Budziak Opis kursu (cele kształcenia)
SEM-friendly IT czyli jak codzienna praca w IT moŝe ułatwić Ŝycie innym ;)
SEM-friendly IT czyli jak codzienna praca w IT moŝe ułatwić Ŝycie innym ;) Maciej Gałecki bluerank Gdańsk, 28-29 maja 2009r. 1 Agenda SEM-friendly IT, czyli IT przyjazne wyszukiwarkom to przede wszystkim:
Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje
Szkolenie autoryzowane MS 20687 Konfigurowanie Windows 8 Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje Opis szkolenia Szkolenie zapewnia uczestnikom praktyczne doświadczenie z Windows
Założenia projektowe dla zapytania ofertowego EAK_ZA_01/2015
Warszawa, 23.01.2015r. NIP: 521-32-79-750 Założenia projektowe dla zapytania ofertowego EAK_ZA_01/2015 I. Wstęp W związku z realizacją projektu Wdrożenie i świadczenie usługi w modelu SaaS eakceptacje,
Technologie internetowe
Protokół HTTP Paweł Rajba pawel@ii.uni.wroc.pl http://www.kursy24.eu/ Spis treści Protokół HTTP Adresy zasobów Jak korzystać z telnet? Metody protokołu HTTP Kody odpowiedzi Pola nagłówka HTTP - 2 - Adresy
Nowoczesne technologie bliżej nas 1
Usługi telewizji naukowej w projekcie PLATON Robert Cecko 4. Konferencja MIC Nowoczesne technologie bliżej nas Poznań, 4.03.2010 1 Agenda Projekt PLATON Cele i zakres projektu Telewizji naukowej Komponenty
ASQ: ZALETY SYSTEMU IPS W NETASQ
ASQ: ZALETY SYSTEMU IPS W NETASQ Firma NETASQ specjalizuje się w rozwiązaniach do zintegrowanego zabezpieczenia sieci komputerowych, kierując się przy tym załoŝeniem, Ŝe ryzyko ataku jest identyczne niezaleŝnie
Web Tools Platform. Adam Kruszewski
Web Tools Platform Adam Kruszewski Plan prezentacji 1. Co to jest WTP i dlaczego powstało. 2. Ogólne omówienie projektu 3. Web Standard Tools 4. J2EE Standard Tools 5. Plany następnej wersji Co to jest
e-off f i f ce: :Sekr k e r tari r at t w chm h urz r e Marcin Pytel
e-office: Sekretariat w chmurze Marcin Pytel Plan prezentacji 1. Wprowadzenie do systemu e-office. 2. Architektura systemu. 3. Doświadczenia praktyczne z pracy z Azure. 4. Plany dotyczące rozwoju systemu.
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS O mnie 12 lat doświadczenia w systemach WEB Developer, Technical Leader, Project Manager Java/JEE (ISC)2 CISSP CTO w J-LABS Dygresja Dygresja
Dokumentacja REST API v 3.0
Dokumentacja REST API v 3.0 Kraków, 26 kwietnia 2012 FreshMail, ul. Fabryczna 20a, 31-553 Kraków tel. +48 12 617 61 40, info@freshmail.pl, freshmail.pl Spis treści Opis API... 3 Uwierzytelnienie... 3 Odpowiedzi
Oracle Application Express -
Oracle Application Express - Wprowadzenie Wprowadzenie Oracle Application Express (dawniej: HTML DB) to narzędzie do szybkiego tworzenia aplikacji Web owych korzystających z bazy danych Oracle. Od użytkownika
Wektory ataków vs. systemy zabezpieczeń. Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus. April 4, 2014
Wektory ataków vs. systemy zabezpieczeń Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus 1 April 4, 2014 2 Zagadka 3 Wskazówka - 19 stycznia 1986 4 Brain.A 5 Wirusy początki 6 cert.gov.pl
Automatyzacja narzędziami open source nie musi być trudna
Automatyzacja narzędziami open source nie musi być trudna Change IT for progress. Jak możemy Wam pomóc? Doradztwo Realizacje Szkolenia Doradztwo Rozpoznanie potrzeb organizacji i dostosowanie narzędzi