Testy penetracyjne webaplikacji.
|
|
- Patryk Karczewski
- 8 lat temu
- Przeglądów:
Transkrypt
1 Testy penetracyjne webaplikacji
2 niebezpiecznik.pl testujemy (web)aplikacje, ludzi i sieci komputerowe pod kątem odporności na ataki (nie tylko komputerowe...) doradzamy i konsultujemy projekty IT pod kątem bezpieczeństwa szkolimy programistów i administratorów
3 Dziś wszystko jest Autostrada A4 webaplikacją...
4 Autostrada A4
5 Autostrada A4
6 Czym jest bezpieczeństwo (web)aplikacji?
7 Ciągła walka!
8 z developerami mam zabezpieczenia, ale źle je stosuję
9 z zarządem (budżet) małe kłamstwo, duże kłamstwo, statystyka
10 z czasem 0day e na Twitterze (sic!)
11 No, srsly! 0 daye na Twitterze!
12 ale nie tylko tam
13
14 Ciągla Walka (w liczbach) niebezpiecznik.pl odpiera ok. 60 ataków dziennie a wystarczy jeden 0day na Wordpressa i leżymy
15
16 Z kim walczymy?
17 Lata vs "lata neostrady" umiejętność myślenia, zdolności programistyczne tzw. "hacking" to wyzwanie umiejętność czytania programy do "hakowania" hacking to LOL! & $$$
18 we did it for teh lulz
19 Bezpieczeństwo Webaplikacji to nie tylko bezpieczeństwo kodu
20
21 Techniki Ataków masowe lub ukierunkowane warstwa 3: znane dziury w protokołach/urządzeniach/usługach warstwa 7: SQL injection, XSS, CSRF, inne ataki na webaplikacje warstwa 666: dostęp do treści opublikowanych przez pomyłkę (czeski rząd ujawnia agentów na stronach www)
22 Błędy, bugi, podatności, dziury są, były i będą badanie Carnegie Mellon University s CyLab, 1 KLOC (1000 linii kodu) zawiera ~ 30 bugów czasem zagrażają życiu THERAC25 - race condition, 5 osób, 1985r. Ariane 5 - overflow, 5 milionów USD Mars - metric units, 125 milionów USD, 1999 LA Airport - 2^32, max 50 dni, brak restartu.
23 Projektowanie oprogramowania Czy kiedykolwiek przed projektowaniem (web)aplikacji wykonałeś tzw. threat modeling? Czy masz przygotowaną "wycenę zasobów" dla swojej (web)aplikacji? Jakie standardy dot. jakości oprogramowania znasz/spełniasz? np. Systems Development Life Cycle (SDLC)
24 Przykłady ataków na polskie serwisy
25 WYKOP. PL można (było) zaatakować nie dotykając webaplikacji
26 Systemy developerskie i testowe
27 O2.pl - kciuk w dół
28 o2.pl - kciuk w dóŀ Kiepskie usability serwisu może przerodzić się w błąd bezpieczeństwa
29 Błędy wynikające z architektury
30
31 Niezaufany Kanał Komunikacyjny i Granice Zaufania
32 `
33 Paradoks: wersje mobilne Ograniczona funkcjonalność (liczy się wygoda) - np. brak CAPTCHA oraz cache owanie danych - "Desynchronizacja" z głównym projektem - Programiści przy patchowaniu głównej wersji serwisu, zapominają o patchowaniu wersji mobilnej...! Problemy zrootowanych telefonów - zapis danych na karcie SD - OWASP Mobile Jailbreaking Cheet Sheet!
34 Błędy wynikające z niewiedzy programisty! część praktyczna
35 Fingerprinting serwera HTTP!?=PHPE9568F36-D428-11d2-A769-00AA001ACF42
36 Fingerprinting serwera HTTP!?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 Niebieski słoń Królik Rozmazane logo PHP Czarny pies oraz Brązowy pies Twarz z frytkami
37 Przetestuj pole data urodzenia
38 pole data Wy - czy format daty prawidłowy (15. miesiąc?) - czy można pominąć to pole My - czy walidacja odbywa się po stronie serwera? - czy można ustawić datę z przyszłości? - czy wartość jest powtarzana w kolejnych krokach formularza (na stronie www)? czy można wstrzykiwać np.<script></script> - czy wartość trafia do bazy danych? próba ataku SQL injection - co, jeśli podamy liczbę ujemną, UTF-8, etc?
39 Obejście filtrów ' or 'a' = b' ' or 'a' = x'61 ' or 1 = true ' or round(pi(),1)+true+true = version() # = 5.1 aes_encrypt(1,12) # 4çh±{?"^z HéÉEa ceil(pi()+pi()+version()) 12
40 Losowość ID sesji Zwykle serwer aplikacji/framework dba o nadawanie identyfikatorów, a aplikacja korzysta z jego API. Nie należy na tym zawsze polegać Przykład: IBM WebSphere 4.0 TWGYLZIAAACVDQ3UUSZQV2I 10:27:12 TWGY0WYAAACVFQ3UUSZQV2I 10:27:13 TWGZNZAAAACVHQ3UUSZQV2I 10:27:14 TWG0BUYAAACVJQ3UUSZQV2I 10:27:15 TWG0VIAAAACVLQ3UUSZQV2I 10:27:16 TWG1ICIAAACVNQ3UUSZQV2I 10:27:17 TWG111YAAACVPQ3UUSZQV2I 10:27:18 Da się odgadnąć algorytm i przeszukać całą przestrzeń wartości ID sesji -- ataki brute-force, narzędzie np. idefense Session Auditor
41 OWASP TOP 10 Podsumowanie błędów publikowane co jakiś czas Najgroźniejsze =?= najpopularniejsze Zamiarem podniesienie jakości tworzonego kodu definiowanie ochrony przed OWASP Top10 jako wymóg specyfikacji projektu (punkt w protokole zdawczo-odbiorcznym) Czy to znaczy, że inne błędy nie są ważne? Że nie da się za ich pomocą skutecznie zaatakować? NIE!
42 OWASP TOP A1-Injection A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
43 Narzędzia pentestera Local Proxy Także jako dodatek do przeglądarki Narzędzia do rekonesansu / fingerprintingu Skanery dynamiczne testy bez znajomości kodu źródłowego wyspecjalizowane w konkretnych atakach Skanery statyczne
44 Narzędzia automatyczne Warto z nich korzystać, jako dodatek - regularnie, po każdym deploy'u Ale warto też znać ich ograniczenia... - Koszt: Acunetix, IBM AppScan - Problem z "niestandardowością" test.pl/?id=1 or 1=1; test.pl/?id=1 or 1=1;&phash=1a47a563baaee Podatności można szukać nie tylko "z zewnątrz" webaplikacji -- istnieją też skanery kodu źródłowego - np. YASCA, HP Fortify, IBM AppScan, Sonar
45 DEMO! od seksownego XSS-a do T0T4L PWN4G3!
46 W N I O S E K 1. ze zwykłego testera można (tanio) zrobić pentestera PROFIT!!!
47 koszt naprawy błędu w czasie $$$ t
48 HACKME facebook.com/niebezpiecznik google.com/+niebezpiecznik
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie ponad Top 10 Misja: Poprawa stanu bezpieczeństwa aplikacji
Bardziej szczegółowoOpen(Source) Web Application Security Project
Open(Source) Web Application Security Project 2014-05-14 Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document
Bardziej szczegółowoZagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Bardziej szczegółowoAplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework
Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.
Bardziej szczegółowoDrobne błędy w portalach WWW
Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting
Bardziej szczegółowoBezpieczeństwo aplikacji internetowych
Bezpieczeństwo internetowych Marek Zachara http://marek.zachara.name 1/23 Aplikacje internetowe znajdują się pod ciągłym 'ostrzałem' Jest to wynikiem skali: ponad 3 mld użytkowników sieci 900 mln 'hostnames'
Bardziej szczegółowoThe OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu
The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session
Bardziej szczegółowoApplication Security Verification Standard. Wojciech Dworakowski, SecuRing
Application Security Verification Standard Wojciech Dworakowski, SecuRing login: Wojciech Dworakowski OWASP Poland Chapter Leader OWASP = Open Web Application Security Project Cel: Podnoszenie świadomości
Bardziej szczegółowoLuki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada
Bardziej szczegółowoBezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP 2012-10-24. The OWASP Foundation http://www.owasp.org
Bezpieczeństwo aplikacji Czy musi być aż tak źle? 2012-10-24 Wojciech Dworakowski Poland Chapter Leader SecuRing Copyright The Foundation Permission is granted to copy, distribute and/or modify this document
Bardziej szczegółowoArchitektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,
Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa, 2008-01-08 1 Agenda 1. Teza 2. Bezpieczeństwo aplikacji internetowych Usługi bezpieczeństwa
Bardziej szczegółowoJak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org
Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? dr inż. Jakub Botwicz CISSP, ECSA, GWAPT 19.11.2014 jakub.botwicz@gmail.com Copyright The Foundation Permission is granted to copy, distribute
Bardziej szczegółowoZagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania
Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp
Bardziej szczegółowoFuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester
Fuzzing Piotr Łaskawiec J2EE Developer/Pentester 14.01.2010 Metrosoft (www.metrosoft.com) piotr.laskawiec@gmail.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this
Bardziej szczegółowoOpis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór
S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca
Bardziej szczegółowoStandard aplikacji WWW Urzędu Miasta Olsztyna
Standard aplikacji WWW Urzędu Miasta Olsztyna Dokument wydrukowany i nie podpisany jest dokumentem nienadzorowanym. Opracowali: Sprawdzili: Zatwierdzili: Mariola Iciak Andrzej Dziewit Rafał Ruchlewicz
Bardziej szczegółowoTechniki komputerowe w robotyce
Techniki komputerowe w robotyce Wykład ostatni Błędy systemów komputerowych źródła i klasyfikacja Robert Muszyński KCiR, W4, PWr Skład FoilTEX c R. Muszyński 2012-2015 Błędy systemów komputerowych Błąd
Bardziej szczegółowoNarzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org
Narzędzia dla developerów ESAPI & AppSensor 2011-11-23 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org +48506184550 Copyright The Foundation Permission is granted to
Bardziej szczegółowoOWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek
Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of
Bardziej szczegółowoJAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus
JAK DOTRZYMAĆ KROKU HAKEROM Tomasz Zawicki, Passus 1. TESTY PENETRACYJNE Metody przeprowadzania testów BlackBox sprawdzenie odporności na atak hakera. Zalety: realna próba odwzorowania ataku Wady: pełne
Bardziej szczegółowoProgram szkolenia: Bezpieczny kod - podstawy
Program szkolenia: Bezpieczny kod - podstawy Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Bezpieczny kod - podstawy Arch-Sec-intro Bezpieczeństwo developerzy 3 dni 75% wykłady
Bardziej szczegółowoOWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach
OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)
Bardziej szczegółowoPrzygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia)
Program szkolenia: Przygotowanie do nowoczesnego programowania po stronie przeglądarki (HTML5, CSS3, JS, wzorce, architektura, narzędzia) Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania:
Bardziej szczegółowoZgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Kilka słów o AVET INS 1997 rozpoczęcie działalności Od początku
Bardziej szczegółowoBezpieczeostwo aplikacyjne
Bezpieczeostwo aplikacyjne Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Agenda Kilka słów o SDL Przypadki Cloud a bezpieczeostwo aplikacyjne Podsumowanie Jak wytwarzad bezpieczne
Bardziej szczegółowoBadania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid
Badania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid Tomasz Kuczyński Dział Aplikacji Tomasz Nowak Zespół Bezpieczeństwa Wrocław, 2.12.2010 r. Konferencja i3: internet
Bardziej szczegółowoAdministrator Systemów SCADA
Administrator Systemów SCADA stały nadzór kluczowych wdrożeń systemów SCADA udzielanie wsparcia technicznego użytkownikom serwis instalacji oferowanego oprogramowania diagnostyka sytuacji awaryjnych występujących
Bardziej szczegółowoZapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium)
Zapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium) dr inż. Jakub Botwicz CISSP, ECSA 9.10.2012 jakub.botwicz@pl.ey.com
Bardziej szczegółowoHosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Najgroźniejsze ataki na serwer WWW Najgroźniejsze ataki na serwer WWW Cross-site scripting (XSS) SQL injection Denial
Bardziej szczegółowoPortal Security - ModSec Enterprise
Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia
Bardziej szczegółowoWeb Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.
Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji a.klesnicki@gmail.com Potrzeba 75% udanych ataków z Internetu wykorzystuje dziury w aplikacja webowych Rozwiązania Jak możemy się chronić?
Bardziej szczegółowoBezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia OWASP OWASP 2012-04-19. The OWASP Foundation http://www.owasp.
Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia 2012-04-19 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org Copyright The Foundation Permission
Bardziej szczegółowoProjektowanie sieci metodą Top-Down
Projektowanie sieci metodą Top-Down http://www.topdownbook.com Wydanie w języku polskim PWN 2007 Copyright 2004 Cisco Press & Priscilla Oppenheimer Projektowanie Top-Down TOP-DOWN Projektowanie analityczne,
Bardziej szczegółowoBezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Jak pisać poprawne programy? Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 6 listopada 2018 Na podstawie: David A. Wheeler Secure
Bardziej szczegółowoZwinna współpraca programistów i testerów z wykorzystaniem BDD i. by Example (JBehave/Spock/SpecFlow)
Program szkolenia: Zwinna współpraca programistów i testerów z wykorzystaniem BDD i Spec Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Zwinna współpraca programistów i testerów
Bardziej szczegółowoDworakowski. Wojciech. Zagrożenia i metody ataku. Aplikacje internetowe -
Aplikacje internetowe - Zagrożenia i metody ataku Wojciech Dworakowski Agenda Aplikacja internetowa Trywialne zagrożenia Ukryte parametry Brak obsługi błędów Manipulacje parametrami doklejanie parametrów
Bardziej szczegółowoZarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń
Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora
Bardziej szczegółowo17-18 listopada, Warszawa
17-18 listopada, Warszawa Michał Kurek, OWASP Polska IoT na celowniku cyberprzestępców Czy jest ratunek? Agenda Czym jest IoT? Przyszłość IoT Czy IoT jest bezpieczne? Dlaczego NIE? Gdzie szukać pomocy?
Bardziej szczegółowoz testów penetracyjnych
SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki Borys Łącki testy penetracyjne, audyty, szkolenia,
Bardziej szczegółowoAtaki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW
Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka
Bardziej szczegółowoSQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy
Bardziej szczegółowoKARTA PRZEDMIOTU. Programowanie aplikacji internetowych
KARTA PRZEDMIOTU Nazwa przedmiotu/modułu: Nazwa angielska: Kierunek studiów: Poziom studiów: Profil studiów Jednostka prowadząca: Programowanie aplikacji internetowych Web application development edukacja
Bardziej szczegółowoKontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o.
Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department lm@linuxpolska.pl Linux Polska Sp. z o.o. 1 Fakty 2 Aplikacje webowe jako cel czyli zagrożenia kryją
Bardziej szczegółowoBezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Zagrożenia dla aplikacji internetowych Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 15 grudnia 2015 Lista zagadnień Wstrzykiwanie
Bardziej szczegółowoUsługa: Audyt kodu źródłowego
Usługa: Audyt kodu źródłowego Audyt kodu źródłowego jest kompleksową usługą, której głównym celem jest weryfikacja jakości analizowanego kodu, jego skalowalności, łatwości utrzymania, poprawności i stabilności
Bardziej szczegółowoTesty automatyczne. Korzystające z junit
Testy automatyczne Korzystające z junit Cytaty Kiedy zawiesza się program konkurencji, to jest awaria. Kiedy zawiesza się własny program, to jest drobiazg. Często po awarii pojawia się komunikat typu ID
Bardziej szczegółowoWebapplication Security Pentest Service
Webapplication Security Pentest Service Usługa WSPS ma na celu odnalezienie w badanym serwisie internetowym luk bezpieczeństwa, umożliwiających osobom niepowołanym dostęp do danych serwisu internetowego,
Bardziej szczegółowoAgenda. Quo vadis, security? Artur Maj, Prevenity
Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo
Bardziej szczegółowoBezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF O mnie 12 lat doświadczenia w systemach WEB Java/JEE (ISC) 2 CISSP CTO w J-LABS GET / HTTP/1.1 Host: bank.pl User-Agent: Mozilla/5.0
Bardziej szczegółowoBezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.
Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013 O mnie Leszek Miś IT Security Architect RHCA/RHCSS
Bardziej szczegółowoAplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1
Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Złożona i rozbudowana architektura: błędy w kodzie błędy w konfiguracji błędy w założeniach
Bardziej szczegółowoProgram szkolenia: Receptury testowania automatycznego - problemy, strategie, taktyki, techniki, narzędzia
Program szkolenia: Receptury testowania automatycznego - problemy, strategie, taktyki, techniki, narzędzia Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Receptury testowania automatycznego
Bardziej szczegółowoGatesms.eu Mobilne Rozwiązania dla biznesu
Mobilne Rozwiązania dla biznesu SPECYFIKACJA TECHNICZNA WEB API-USSD GATESMS.EU wersja 0.9 Opracował: Gatesms.eu Spis Historia wersji dokumentu...3 Bezpieczeństwo...3 Wymagania ogólne...3 Mechanizm zabezpieczenia
Bardziej szczegółowoMigracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik
Migracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik by Gecco-IT http://www.gecco-it.waw.pl info@gecco-it.waw.pl 1. Zanim przystąpimy do migracji należy
Bardziej szczegółowoBezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne
Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne Czy nasza usługa jest dla Ciebie? Potrzebujesz ochronić dane i zachować ciągłość
Bardziej szczegółowoWprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty
Wprowadzenie do kryptografii i bezpieczeństwa Po raz czwarty WWW i e-mail WWW HTTPS & SSL doesn't mean "trust this." It means "this is private." You may be having a private conversation with Satan. Hanselman
Bardziej szczegółowoWyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń
Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń Grzegorz Długajczyk Head of Technology Risk Team ING Bank Śląski ul. Sokolska 34, Katowice Warszawa, 20 września
Bardziej szczegółowoJak zabezpieczyć aplikacje przed włamaniami?
Jak zabezpieczyć aplikacje przed włamaniami? Analiza podejść do zapewnienia bezpieczeństwa oprogramowania za pomocą rozwiązania HP Fortify Yaroslav Popov / 14 kwietnia, 2015 Dlaczego aplikacje są najbardziej
Bardziej szczegółowoObsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP 2010.03.17. The OWASP Foundation http://www.owasp.
Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. Przemysław Skowron OWASP Poland Leader OWASP 2010.03.17 Alior Bank S.A. przemyslaw.skowron@gmail.com Copyright The OWASP Foundation
Bardziej szczegółowoProjektowani Systemów Inf.
Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych
Bardziej szczegółowoPlan testów do Internetowego Serwisu Oferowania i Wyszukiwania Usług Transportowych
Plan testów do Internetowego Serwisu Oferowania i Wyszukiwania Usług Transportowych Michał Lewowski, Piotr Skowron, Michał Matczuk, Piotr Wygocki 5 czerwca 2006 1 Spis treści 1 Wprowadzenie 3 1.1 Cel..........................................
Bardziej szczegółowoSzczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:
Rozdział I Szczegółowy opis przedmiotu umowy Załącznik nr 1 do Umowy Architektura środowisk SharePoint UMWD 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów: a) Środowisko
Bardziej szczegółowoPLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),
PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ), Program 351203 Opracowanie: Grzegorz Majda Tematyka zajęć 2. Przygotowanie środowiska pracy
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia
Załącznik nr 2 do Zapytania Ofertowego nr 07/04/IT/2016 Szczegółowy opis przedmiotu zamówienia Utrzymanie i rozwój systemów GREX, SPIN, TK, AMOC, Obsługa Rewidentów 1 SPIS TREŚCI Wprowadzenie... 3 1. Specyfikacja
Bardziej szczegółowoOFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM
OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM Naszym celem nadrzędnym jest dostarczenie wysoce specjalistycznych usług obejmujących
Bardziej szczegółowoProgramowanie. Dodatek - uzupełnienie wiadomości. mgr inż. Krzysztof Szwarc. Sosnowiec,
Programowanie Dodatek - uzupełnienie wiadomości mgr inż. Krzysztof Szwarc krzysztof@szwarc.net.pl Sosnowiec, 2017 1 / 45 mgr inż. Krzysztof Szwarc Programowanie Informacje ogólne 2 / 45 mgr inż. Krzysztof
Bardziej szczegółowoWybrane ataki na urządzenia sieciowe Secure 2013. Michał Sajdak, Securitum sekurak.pl
Wybrane ataki na urządzenia sieciowe Secure 2013 Michał Sajdak, Securitum sekurak.pl O mnie Realizuję testy penetracyjne / szkolę z bezpieczeństwa IT securitum.pl Założyciel portalu sekurak.pl 2 Agenda
Bardziej szczegółowoTestowanie aplikacji mobilnych na platformie Android - architektura, wzorce, praktyki i narzędzia
Program szkolenia: Testowanie aplikacji mobilnych na platformie Android - architektura, wzorce, Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Testowanie aplikacji mobilnych na
Bardziej szczegółowo2. Zastosowanie standardu Wi-Fi w systemach AMR... 21
Spis treści Słowo wstępne... 9 1. PLC PRIME w systemach zdalnego odczytu... 11 1.1.. Wprowadzenie...12 1.2.. Charakterystyka PLC PRIME...12 1.3.. Warstwa fizyczna PLC PRIME...14 1.4.. Warstwa MAC PLC PRIME...14
Bardziej szczegółowoCałościowe podejście do testowania automatycznego dla programistów. (TDD, BDD, Spec. by Example, wzorce, narzędzia)
Program szkolenia: Całościowe podejście do testowania automatycznego dla programistów Ruby (TDD, BDD, Spec. by Example, wzorce, narzędzia) Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania:
Bardziej szczegółowoGrzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki 2011. Promotor dr inż. Paweł Figat
Grzegorz Ruciński Warszawska Wyższa Szkoła Informatyki 2011 Promotor dr inż. Paweł Figat Cel i hipoteza pracy Wprowadzenie do tematu Przedstawienie porównywanych rozwiązań Przedstawienie zalet i wad porównywanych
Bardziej szczegółowoPROGRAM NAUCZANIA DLA ZAWODU TECHNIK INFORMATYK, 351203 O STRUKTURZE PRZEDMIOTOWEJ
PROGRAM NAUCZANIA DLA ZAWODU TECHNIK INFORMATYK, 351203 O STRUKTURZE PRZEDMIOTOWEJ Systemy baz danych 1. 2 Wstęp do baz danych 2. 2 Relacyjny model baz danych. 3. 2 Normalizacja baz danych. 4. 2 Cechy
Bardziej szczegółowoInstytut Technik Innowacyjnych
Instytut Technik Innowacyjnych Bezpieczeństwo danych projektowych w środowisku według ISO/IEC 27001 oraz ciągłość procesów wytwarzania i utrzymania w środowisku według BS 25999 warsztaty z wykorzystaniem
Bardziej szczegółowoWojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych
Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura
Bardziej szczegółowoBezpieczeństwo systemów internetowych
Bezpieczeństwo systemów internetowych AGENDA Podstawowe informacje o Risco Software Przewaga konkurencyjna Risco Software Przykładowe zrealizowane projekty Postrzeganie bezpieczeństwa systemów internetowych
Bardziej szczegółowoWarszawa, 25 lipca 2014 r.
Warszawa, 25 lipca 2014 r. ZAPYTANIE OFERTOWE NA ZAPEWNIENIE UTRZYMANIA I ROZBUDOWĘ APLIKACJI WEB GENERATOR WNIOSKÓW O ZMIANĘ OBSZARU WYKORZYSTANIA CZĘSTOTLIWOŚCI ORAZ KALKULATOR OPŁAT ROCZNYCH ZA PRAWO
Bardziej szczegółowoUNIX: architektura i implementacja mechanizmów bezpieczeństwa. Wojciech A. Koszek dunstan@freebsd.czest.pl Krajowy Fundusz na Rzecz Dzieci
UNIX: architektura i implementacja mechanizmów bezpieczeństwa Wojciech A. Koszek dunstan@freebsd.czest.pl Krajowy Fundusz na Rzecz Dzieci Plan prezentacji: Wprowadzenie do struktury systemów rodziny UNIX
Bardziej szczegółowoKurs rozszerzony języka Python
Środowisko Django, cz. 3 19 stycznia 2018 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu 4 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu
Bardziej szczegółowoMamy najlepsze ceny na rynku!
M U LT I M E D I A C R E AT I O N H O U S E Jesteśmy zespołem programistów oraz grafików. Animacje i prezentacje multimedialne. Aplikacje mobilne i internetowe. Od 0 lat pracujemy dla najbardziej wymagających
Bardziej szczegółowoSzybkość w biznesie. Zwinne testowanie oprogramowania (Agile) Mateusz Morawski (mateusz.morawski@hp.com) 14 kwietnia 2015
Szybkość w biznesie Zwinne testowanie oprogramowania (Agile) Mateusz Morawski (mateusz.morawski@hp.com) 14 kwietnia 2015 Klient Wykonawca...wprowadzamy nowy typ przelewów do aplikacji internetowej. Dodam
Bardziej szczegółowoNAJLEPSZE STRATEGIE SKUTECZNYCH PROGRAMISTÓW. TECHNIKI PRACY Z KODEM KOD: NSKOD
NAJLEPSZE STRATEGIE SKUTECZNYCH PROGRAMISTÓW. TECHNIKI PRACY Z KODEM KOD: NSKOD OPIS Praca programisty oprócz umiejętności i wiedzy technicznej, wymaga również doskonałej pracy z kodem. Umiejętności te
Bardziej szczegółowoREFERAT PRACY DYPLOMOWEJ
REFERAT PRACY DYPLOMOWEJ Temat pracy: Projekt i implementacja środowiska do automatyzacji przeprowadzania testów aplikacji internetowych w oparciu o metodykę Behavior Driven Development. Autor: Stepowany
Bardziej szczegółowoAcceptance Test Driven Development wspierane przez narzędzie ROBOT Framework. Edyta Tomalik Grzegorz Ziemiecki
Acceptance Test Driven Development wspierane przez narzędzie ROBOT Framework Edyta Tomalik Grzegorz Ziemiecki 1 Nokia Siemens Networks 2013 Tradycyjne podejście analityk programista tester implementacja
Bardziej szczegółowoClient-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl
Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne
Bardziej szczegółowoHumanTechnology. Projektowanie interakcji. czyli łatanie dziury w procesie produkcji
HumanTechnology Projektowanie interakcji czyli łatanie dziury w procesie produkcji Czym jest projektowanie interakcji? Projektowanie interakcji, czyli współdziałania człowieka z komputerem, wykorzystuje
Bardziej szczegółowoAspekty bezpieczeństwa aplikacji internetowych
Aspekty bezpieczeństwa aplikacji internetowych Kamil Witecki (kamil@witecki.net.pl) Wojciech Wodo (wojciech.wodo@gmail.com) 21 kwietnia 2010 Kto, co, dlaczego? Popularne typy ataków Kim jesteśmy i dlaczego
Bardziej szczegółowoAnaliza skuteczności zabezpieczeń przed atakami na aplikacje Web
Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia
Bardziej szczegółowoTestowanie aplikacji Java Servlets
Borland Developer Days 2004 2-3 czerwca 2004 Testowanie aplikacji Java Servlets Bartosz Walter mailto: Bartek.Walter@man.poznan.pl Agenda Aplikacje Java Servlets TM Jak testować aplikacje internetowe?
Bardziej szczegółowoAutomatyzacja testowania oprogramowania. Automatyzacja testowania oprogramowania 1/36
Automatyzacja testowania oprogramowania Automatyzacja testowania oprogramowania 1/36 Automatyzacja testowania oprogramowania 2/36 Potrzeba szybkich rozwiązań Testowanie oprogramowania powinno być: efektywne
Bardziej szczegółowoWybrane problemy bezpieczeństwa w systemach IT.
Wybrane problemy bezpieczeństwa w systemach IT. Kraków 21.04.2012r. Michał Sajdak, CISSP www.securitum.pl O prelegencie Michał Sajdak Na co dzień prowadzę: Szkolenia www.securitum.pl/oferta/szkolenia/
Bardziej szczegółowoProgram szkolenia: Continuous Integration i Git
Program szkolenia: Continuous Integration i Git Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Continuous Integration i Git tools-git-ci Narzędzia developerzy testerzy 2 dni 50%
Bardziej szczegółowoProjektowanie oprogramowania. Termin zajęć: poniedziałek, 18.00-19.45. a podstawie materiału ze strony. http://gromit.iiar.pwr.wroc.
Projektowanie oprogramowania Termin zajęć: poniedziałek, 18.00-19.45 a podstawie materiału ze strony http://gromit.iiar.pwr.wroc.pl/p_inf/ Przebieg realizacji projektu (tabela 1) Nr tygo dnia Spotkanie
Bardziej szczegółowo! Retina. Wyłączny dystrybutor w Polsce
! Retina 0 0 Rozwiązania BeyondTrust dostarczają informacji niezbędnych do podejmowania właściwych decyzji i zmniejszenia ryzyka dla zasobów i użytkowników. 1 1 10,000+ licencji 80%największych światowych
Bardziej szczegółowo<Nazwa firmy> <Nazwa projektu> Specyfikacja dodatkowa. Wersja <1.0>
Wersja [Uwaga: Niniejszy wzór dostarczony jest w celu użytkowania z Unified Process for EDUcation. Tekst zawarty w nawiasach kwadratowych i napisany błękitną kursywą
Bardziej szczegółowoStudencka Pracownia Inżynierii Oprogramowania Zespół nr 2, IIUWR 2008/09. Bartłomiej Gałkowski, Marek Kembrowski, Tomasz Maciejewski.
Studencka Pracownia Inżynierii Oprogramowania Zespół nr, IIUWR 00/0 Bartłomiej Gałkowski, Marek Kembrowski, Tomasz Maciejewski Zium System zarządzania komunikacją miejską Harmonogram Data Wersja Opis Autor
Bardziej szczegółowoZasady bezpiecznego korzystania z bankowości elektronicznej
Zasady bezpiecznego korzystania z bankowości elektronicznej 1. Zawsze sprawdzaj na stronie logowania bankowości elektronicznej aktualne zasady bezpiecznego korzystania z bankowości elektronicznej. 2. Szczegółowe
Bardziej szczegółowoepolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Bardziej szczegółowoProgramowanie Komponentowe WebAPI
Programowanie Komponentowe WebAPI dr inż. Ireneusz Szcześniak jesień 2016 roku WebAPI - interfejs webowy WebAPI to interfejs aplikacji (usługi, komponentu, serwisu) dostępnej najczęściej przez Internet,
Bardziej szczegółowoNajskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować
Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować Bartosz Kryński Dział Usług Profesjonalnych, Clico Sp. z o.o. bartosz.krynski@clico.pl InfoTRAMS 1 Fusion
Bardziej szczegółowoOpen Source na Uniwersytecie Łódzkim
Open Source na Uniwersytecie Łódzkim Ścibór Sobieski Wydział Matematyki i Informatyki UŁ, Grupa Programistyczna RPG UŁ e-mail: scibor@{math,rpg}.uni.lodz.pl Randez-vous z Pingwinkiem Łódź 02/2008 Geneza
Bardziej szczegółowo