Bezpieczeństwo aplikacji internetowych
|
|
- Lech Szydłowski
- 7 lat temu
- Przeglądów:
Transkrypt
1 Bezpieczeństwo internetowych Marek Zachara 1/23
2 Aplikacje internetowe znajdują się pod ciągłym 'ostrzałem' Jest to wynikiem skali: ponad 3 mld użytkowników sieci 900 mln 'hostnames' 200 mln 'active' 5 mln 'PCs' 2/23
3 Ataki można podzielić na dwie główne klasy Ataki na użytkowników Ataki na system Przykłady Przykłady XSS DoS CSRF Code Injection Phishing Buffer Overflow 3/23
4 OWASP TOP 10 A1 : Injection A2 : Broken Session and Authentication A3 : Cross Site Scripting A4 : Insecure Direct Object References A5: Security Misconfiguration A6 : Sensitive Data Exposure A7 : Missing Function Level Wstrzyknięcia danych do SQL, OS, LDAP i innych interpreterów Błędne mechanizmy np. identyfikatorów sesji, kluczy, haseł itp. Przyjęcie i przesłanie do innego wadliwych danych (skryptu) Istnienie publicznie dostępnych odwołań do wewnętrznych obiektów Konfiguracja serwera, algorytmów szyfrowania, firewall i itp. Brak wzmocnionej ochrony dla szczególnie istotnych danych (np. karty) Nieprawidłowe mechanizmy autoryzacji (np. oparte na GUI) A8 : Cross Site Request Forgery Wykorzystanie i jego np. danych sesji (bez ich poznania) A9 : Components with Known Vulnerabilities Korzystanie z bibliotek i algorytmów zawierających znane podatności A10: Unvalidated Redirects and Forwads Użycie niezaufanych danych do przekierowania page flow Source: 4/23
5 HTTP jest protokołem bezpołączeniowym Nie pozwala na identyfikację kolejnych zapytań Problem jest rozwiązywane przez użycie 'Identyfikatora Sesji' (ang. SID) Generowany (zwykle losowo) przy pierwszym połączeniu Identyfikuje zapytania Przekazywany przez cookies, pola input lub jako parametry URL i Obsługiwany automatycznie przez framework i i języki programowania WWW 5/23
6 Jak działa sesja HTTP 6/23
7 Identyfikator sesji jest JEDYNYM elementem identyfikującym zapytania. Główne klasy to: Session sniffing Podsłuchanie ID sesji Session fixation Wymuszenie ID sesji Session riding Wykorzystanie cudzej sesji 7/23
8 Metody podsłuchania identyfikatora sesji Przechwycenie ruchu TCP/IP Podsłuchanie komunikacji WiFi Ataki na protokół BGP, DNS, itp. Odczyt SID na komputerze 8/23
9 Wymuszenie sesji Session Fixation = Atakujący generuje SID Następnie przekazuje SID ofierze I przekonuje do zalogowania do serwisu z tym SID em Dzięki temu może korzystać z serwisu tak jak ofiara ataku 9/23
10 Session Raiding / Cross Site Request Forgery <img src= Ofiara otwiera spreparowaną stronę WWW w trakcie gdy jest zalogowana do serwisu Kod HTML tej strony skutkuje zapytaniem do serwisu Przeglądarka dołącza do zapytania ciasteczko z SID 10/23
11 Cross Site Scripting (XSS) <script>...</script> Uruchomienie skryptu, przesłanie danych Portal / Blog 11/23
12 Atak na protokół: DNS Spoofing Serwer Banku router Prawidłowy serwer DNS Serwer DNS Serwer WWW /23
13 Bezpośrednie aplikacje internetowe Uzyskanie dostępu do zasobów serwera: Bazy danych Strony WWW (publikacja malware) Kluczy, haseł i danych autoryzacyjnych Innych elementów sieci lokalnej Może być etapem pośrednim w ataku złożonym (wielostopniowym) 13/23
14 SQL Injection niechlubny zwycięzca Login: admin Password: ' OR 1==1; ' SELECT id FORM users WHERE login = ' ' $_POST[ login ] AND password = ' $_POST[ password ]' Zwróci z reguły pierwszy wiersz tabeli! 14/23
15 Inne przykłady 'Code Injection' PHP (ASP/JSP) LDAP OS/Shell Generalnie, przekazanie do wykonania parametrów w formie string jest Bardzo Złym PomysłemTM <? include($_get['section'])?> admin.php <input type= hidden name= user_id value= 34 > 15/23
16 Przykład ataku parameter tampering" db.com/exploits/ ('\u0023_memberaccess[\'allowstaticmethodaccess\']') (meh)=true&(aaa) (('\u0023context[\'xwork.methodaccessor.denymethodexecution\' ]\u003d\u0023foo')(\u0023foo\u003dnew %20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)') Wykorzystuje kodowanie znaków specjalnych przy pomocy kodów UTF Pozwala na uruchomienie arbitralnego kodu w Java z prawami web server a 16/23
17 Forceful browsing Ręczne wybranie ścieżki lub zasobu Przeglądanie katalogów /some_hidden_dir/ Ominięcie elementu procesu /form5.asp Kod źródłowy strony/obiektu /index.php.bak 17/23
18 Ataki Denial of Service 'Zalanie' serwera wieloma zapytaniami Zapytania szczególnie obciążające zasoby Awaria serwera / Szczególne przypadki Blokowanie kont Programowy 'shutdown' Samo blokada (log forging, IDS) Archetyp: black fax 18/23
19 Distributed DoS (DDoS) Atak prowadzony z wielu źródeł Sumaryczna przepustowość/wydajność klientów większa od serwera Exploit technologii / protokołu: amplification attack Skąd brać grupy komputerów do prowadzenia ataku: Wolontariusze (akcje społeczne) Bot nety 19/23
20 Slow Loris GET HTTP/1.1 Host: Connection: keep alive User Agent: Mozilla/5.0 X my: a X my: a X my: a X my: a X my: a X my: a X my: a 20/23
21 RUDY are you Dead Yet? POST Host: Connection: keep alive Content Length: User Agent: Mozilla/5.0 login: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx 21/23
22 XML Bomb (billion laughs) Atak na parser XML (lub inne parsery) Przykładowy kod: <!ENTITY lol1 'lol'> <!ENTITY lol2 '&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;'> <!ENTITY lol3 '&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;'> <!ENTITY lol4 '&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;'> Powoduje stworzenie dużej ilości instancji (np. miliard) podstawowego obiektu (lol) Kod XML jest poprawny exploit specyfikacji 22/23
23 Dziękuję za uwagę. Pytania? Dokument udostępniany na licencji Creative Commons Wykorzystane materiały: Clipart openclipart.org Internet map The Opte Project Elementy licencjonowane (royalty free), nie mogą być wykorzystywane oddzielnie: Tło slajdów (background) oraz ikony osób ('awatary') więcej informacji: Attribution Share Alike 23/23
The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu
The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session
Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW
Ataki na aplikacje WWW Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW Ataki na aplikację Ataki na przeglądarkę Ataki na serwer WWW/kontener, etc. Często kombinacja i wiele etapów Którędy do środka
Malware: złośliwe oprogramowanie. Marek Zachara. http://marek.zachara.name 1/18
: złośliwe oprogramowanie Marek Zachara http://marek.zachara.name 1/18 Czym jest : Malicious Software 'Wirusy' komputerowe Analogia biologiczna Tradycyjnie rozpowszechniane przez doklejanie do plików oraz
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Najgroźniejsze ataki na serwer WWW Najgroźniejsze ataki na serwer WWW Cross-site scripting (XSS) SQL injection Denial
Bezpieczeństwo protokołów i inne podatności
Bezpieczeństwo protokołów i inne podatności Marek Zachara http://marek.zachara.name 1/19 Motywacje ataków na sieć i połączenia Podsłuchanie danych dane uwierzytelniające, osobowe itp. Modyfikacja danych
Drobne błędy w portalach WWW
Drobne błędy w portalach WWW Borys Łącki http://www.logicaltrust.net XIX Górska Szkoła Informatyki / Szczyrk, 23-26.06.2008 r. LogicalTrust wyizolowany departament bezpieczeństwa IT Business Consulting
OWASP. The Open Web Application Security Project. OWASP Top 10 2010 rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach
OWASP The Open Web Application Security Project OWASP Top 10 2010 rc1 Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach Release Candidate 1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)
Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework
Uniwersytet Zielonogórski Wydział Elektrotechniki, Informatyki i Telekomunikacji Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework mgr inż. Łukasz Stefanowicz dr inż.
Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,
Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa, 2008-01-08 1 Agenda 1. Teza 2. Bezpieczeństwo aplikacji internetowych Usługi bezpieczeństwa
Open(Source) Web Application Security Project
Open(Source) Web Application Security Project 2014-05-14 Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document
Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania
Zagrożenia trywialne Zagrożenia bezpieczeństwa aplikacji internetowych Rozwiązania charakterystyczne dla fazy rozwoju opisy rozpoznanych błędów, debugging, komentarze poprzednie wersje plików (cp plik.jsp
OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek
Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie ponad Top 10 Misja: Poprawa stanu bezpieczeństwa aplikacji
Bezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Zagrożenia dla aplikacji internetowych Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 15 grudnia 2015 Lista zagadnień Wstrzykiwanie
Aspekty bezpieczeństwa aplikacji internetowych
Aspekty bezpieczeństwa aplikacji internetowych Kamil Witecki (kamil@witecki.net.pl) Wojciech Wodo (wojciech.wodo@gmail.com) 21 kwietnia 2010 Kto, co, dlaczego? Popularne typy ataków Kim jesteśmy i dlaczego
LUKI BEZPIECZEŃSTWA W APLIKACJACH INTERNETOWYCH. Waldemar Korłub. Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska
LUKI BEZPIECZEŃSTWA Waldemar Korłub W APLIKACJACH INTERNETOWYCH Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska OWASP Top 10 2 OWASP: Open Web Application Security Project www.owasp.org
Języki programowania wysokiego poziomu. PHP cz.3. Formularze
Języki programowania wysokiego poziomu PHP cz.3. Formularze Formularze Sposób przesyłania danych formularza do serwera zależy od wybranej metody HTTP: Metoda GET
Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl
Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne
Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web
Opracował: dr inŝ. Mariusz Stawowski F5 Certified Product Consultant, ASM Email: mariusz.stawowski@clico.pl Zabezpieczenia sieciowe Firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia
Bazy danych i usługi sieciowe
Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje
Zarządzanie sesją w aplikacjach Internetowych. Kraków, 2008-10-23 Paweł Goleń
Zarządzanie sesją w aplikacjach Internetowych Kraków, 2008-10-23 Paweł Goleń Agenda Po co sesje w aplikacjach internetowych Sposoby przekazywania identyfikatorów Sposoby ochrony Cookie Analiza identyfikatora
Testy penetracyjne webaplikacji. piotr.konieczny@niebezpiecznik.pl
Testy penetracyjne webaplikacji piotr.konieczny@niebezpiecznik.pl niebezpiecznik.pl testujemy (web)aplikacje, ludzi i sieci komputerowe pod kątem odporności na ataki (nie tylko komputerowe...) doradzamy
Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do
Sesje i ciasteczka Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do śledzenia użytkownika podczas jednej sesji
Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP 2011-11-23. The OWASP Foundation http://www.owasp.org
Narzędzia dla developerów ESAPI & AppSensor 2011-11-23 Wojciech Dworakowski Poland Chapter Leader SecuRing wojciech.dworakowski@owasp.org +48506184550 Copyright The Foundation Permission is granted to
Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)
Tworzenie witryn internetowych PHP/Java (mgr inż. Marek Downar) Rodzaje zawartości Zawartość statyczna Treść statyczna (np. nagłówek, stopka) Layout, pliki multimedialne, obrazki, elementy typograficzne,
Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty
Wprowadzenie do kryptografii i bezpieczeństwa Po raz czwarty WWW i e-mail WWW HTTPS & SSL doesn't mean "trust this." It means "this is private." You may be having a private conversation with Satan. Hanselman
Dworakowski. Wojciech. Zagrożenia i metody ataku. Aplikacje internetowe -
Aplikacje internetowe - Zagrożenia i metody ataku Wojciech Dworakowski Agenda Aplikacja internetowa Trywialne zagrożenia Ukryte parametry Brak obsługi błędów Manipulacje parametrami doklejanie parametrów
Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci
N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność
ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja
ZPKSoft WDoradca 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja 1. Wstęp ZPKSoft WDoradca jest technologią dostępu przeglądarkowego do zasobów systemu ZPKSoft Doradca.
Systemy pojedynczego logowania (Single Sign-On)
Systemy pojedynczego logowania (Single Sign-On) Opiekun pracy: prof. dr hab. inż. Zbiegniew Kotulski 24 stycznia 2011 Plan prezentacji 1. Wprowadzenie 2. Motywacja 3. Zagrożenia 4. Prywatność 5. Przykładowe
Kurs rozszerzony języka Python
Środowisko Django, cz. 3 19 stycznia 2018 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu 4 Plan wykładu 1 2 Konstrukcja formularzy Walidacja i zapis 3 Ograniczenie dostępu
Webapplication Security Pentest Service
Webapplication Security Pentest Service Usługa WSPS ma na celu odnalezienie w badanym serwisie internetowym luk bezpieczeństwa, umożliwiających osobom niepowołanym dostęp do danych serwisu internetowego,
6. Bezpieczeństwo przy współpracy z bazami danych
6. Bezpieczeństwo przy współpracy z bazami danych 6.1. Idea ataku SQL injection Atak znany jako SQL injection jest możliwy wtedy, gdy użytkownik ma bezpośredni wpływ na postać zapytania wysyłanego do bazy
Aplikacje WWW. Wykład 13. Zagrożenia bezpieczeństwa aplikacji WWW. wykład prowadzi: Maciej Zakrzewicz. Zagrożenia bezpieczeństwa
Wykład 13 Zagrożenia bezpieczeństwa aplikacji WWW wykład prowadzi: Maciej Zakrzewicz Zagrożenia bezpieczeństwa 1 Plan wykładu Przegląd wybranych metod ataków kradzież kodu źródłowego pola ukryte HTML zmienne
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF
Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF O mnie 12 lat doświadczenia w systemach WEB Java/JEE (ISC) 2 CISSP CTO w J-LABS GET / HTTP/1.1 Host: bank.pl User-Agent: Mozilla/5.0
Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór
S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca
11. Autoryzacja użytkowników
11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk
INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk ul. Rudolfa Weigla 12, 53-114 Wrocław tel. / fax. (4871) 37-09-997, http://www.iitd.pan.wroc.pl NIP: 896-000-56-96;
CYBEROAM Unified Treatment Management, Next Generation Firewall
CYBEROAM Unified Treatment Management, Next Generation Firewall Spis: 1. Cyberoam Technologies/portfolio 2. Funkcjonalności Cyberoam 3. Wyróżniki, przewagi na rynku 4. Interfejs i zarządzanie 5. Program
Bezpieczeństwo poczty elektronicznej
Bezpieczeństwo poczty elektronicznej Mariusz Goch Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych 1 Plan prezentacji Bezpieczeństwo transportu wiadomości Problemy serwera pocztowego
Obrona przed SQL-injection w aplikacjach Java/JEE
Obrona przed SQL-injection w aplikacjach Java/JEE O mnie 13 lat doświadczenia w systemach WEB Developer, Technical Leader, Project Manager Java/JEE (ISC) 2 CISSP CTO w J-LABS O mnie Prywatnie: MTB MTB
Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Programowanie komponentowe Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System Application
Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.
Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji a.klesnicki@gmail.com Potrzeba 75% udanych ataków z Internetu wykorzystuje dziury w aplikacja webowych Rozwiązania Jak możemy się chronić?
Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Wykład 3 Inżynieria oprogramowania Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Utworzenie użytkowników i ról na serwerze aplikacji Sun Java System
Badania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid
Badania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid Tomasz Kuczyński Dział Aplikacji Tomasz Nowak Zespół Bezpieczeństwa Wrocław, 2.12.2010 r. Konferencja i3: internet
Ajax a bezpieczeństwo aplikacji webowych. Jakub Wierzgała
Ajax a bezpieczeństwo aplikacji webowych Jakub Wierzgała Web 2.0 2 grudnia 2008r. Ajax a bezpieczeństwo aplikacji webowych 2 Web 2.0 Zawartość tworzona przez uŝytkowników Wysoka interaktywność Aplikacja
Standard aplikacji WWW Urzędu Miasta Olsztyna
Standard aplikacji WWW Urzędu Miasta Olsztyna Dokument wydrukowany i nie podpisany jest dokumentem nienadzorowanym. Opracowali: Sprawdzili: Zatwierdzili: Mariola Iciak Andrzej Dziewit Rafał Ruchlewicz
Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania.
Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania. Założenia projektowe systemu NETDOC. część 1: założenia ogólne i funkcjonalność rdzenia systemu Założenia ogólne Celem projektu jest
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy
Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do
Sesje i ciasteczka Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do śledzenia użytkownika podczas jednej sesji
Programowanie w Internecie
mariusz@math.uwb.edu.pl http://math.uwb.edu.pl/~mariusz Uniwersytet w Białymstoku 2018/2019 Serwer HTTP Najbardziej popularne serwery HTTP: Apache nginx Microsoft IIS Lite Speed GWS Google Statystyki Netcraft:
z testów penetracyjnych
SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki Borys Łącki testy penetracyjne, audyty, szkolenia,
4. Podstawowa konfiguracja
4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić
WAF (Web Application Firewall)
WAF (Web Application Firewall) Mariusz Sawczuk mariusz.sawczuk@solidex.com.pl niezawodna komunikacja poufność danych bezpieczeństwo infrastruktury mobilność rozwiązań Ekspansja usług internetowych Coraz
Marek Krauze Marek.Krauze@clico.pl
Przeglądarka - juŝ nie najsłabsze ogniwo - laboratorium technologii WebCheck Marek Krauze Marek.Krauze@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagroŝenia związane
Metody ataków sieciowych
Metody ataków sieciowych Podstawowy podział ataków sieciowych: Ataki pasywne Ataki aktywne Ataki pasywne (passive attacks) Polegają na śledzeniu oraz podsłuchiwaniu w celu pozyskiwania informacji lub dokonania
Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań, 04.03.2010
Bezpieczeństwo interoperacyjnego hostingu Gerard Frankowski, Zespół Bezpieczeństwa PCSS 4. Konferencja MIC Nowoczesne technologie bliżej nas Poznań, 04.03.2010 1 Agenda Wprowadzenie Zespół Bezpieczeństwa
Protokół DHCP. DHCP Dynamic Host Configuration Protocol
Protokół DHCP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 DHCP Dynamic Host Configuration Protocol Zastosowanie Pobranie przez stację w sieci lokalnej danych konfiguracyjnych z serwera
Technologie sieciowe Sprawozdanie z labolatorium. Lista 5
Politechnika Wrocławska Wydział Podstawowych Problemów Techniki Technologie sieciowe Sprawozdanie z labolatorium Lista 5 Autor: Piotr Kosytorz IIrokInf. indeks: 166174 Prowadzący: dr inż. Łukasz Krzywiecki
Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne
Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS
Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok
Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok Spółdzielnia Mieszkaniowa Słoneczny Stok szanuje prawo do prywatności Użytkowników serwisu sm-slonecznystok.pl. W szczególności dba o ochronę
Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.
Sz@rk Server - konfigurowanie systemu Sz@rk Server jest serwerem aplikacji z wydzieloną logiką biznesową, pracującym w architekturze opartej o usługi (SOA). Dane pomiędzy serwerem i klientami przesyłane
Dokumentacja smsapi wersja 1.4
Dokumentacja smsapi wersja 1.4 1. Wprowadzenie Platforma smsapi została skierowana do użytkowników chcących rozbudować swoje aplikacje o system wysyłania smsów. Aplikacja ta w prosty sposób umożliwia integrację
Dokumentacja instalacyjna i konfiguracyjna Aplikacja ADR. Wersja dokumentu 1.0. Strona 1/9
Dokumentacja instalacyjna i konfiguracyjna Aplikacja ADR Wersja dokumentu 1.0 Strona 1/9 Spis treści 1. Instalacja binariów bazy danych... 3 2. Tworzenie struktury bazy... 5 2. Instalacja aplikacji ADR...
Portal Security - ModSec Enterprise
Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia
TIN Techniki Internetowe zima 2015-2016
TIN Techniki Internetowe zima 2015-2016 Grzegorz Blinowski Instytut Informatyki Politechniki Warszawskiej Plan wykładów 2 Intersieć, ISO/OSI, protokoły sieciowe, IP 3 Protokoły transportowe: UDP, TCP 4
Agenda. Quo vadis, security? Artur Maj, Prevenity
Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo
Oracle Application Express -
Oracle Application Express - Wprowadzenie Wprowadzenie Oracle Application Express (dawniej: HTML DB) to narzędzie do szybkiego tworzenia aplikacji Web owych korzystających z bazy danych Oracle. Od użytkownika
SQL injection. Metody włamań do systemów komputerowych p. 1/13. Bogusław Kluge, Karina Łuksza, Ewa Makosa
Metody włamań do systemów komputerowych SQL injection Bogusław Kluge, Karina Łuksza, Ewa Makosa b.kluge@zodiac.mimuw.edu.pl, k.luksza@zodiac.mimuw.edu.pl, e.makosa@zodiac.mimuw.edu.pl Metody włamań do
Podstawy bezpieczeństwa
Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów
INSTRUKCJA INSTALACJI DATAMOBILE. Ver. 1.3
INSTRUKCJA INSTALACJI DATAMOBILE Ver. 1.3 Strona 1 SPIS TREŚCI 1. POBIERANIE SERWERA PHP... 3 2. INSTALACJA SERWERA PHP... 3 3. POBIERANIE DATAMOBILE SERVER... 5 4. INSTALACJA DATAMOBILE SERVER... 5 5.
Pawel@Kasprowski.pl Języki skryptowe - PHP. PHP i bazy danych. Paweł Kasprowski. pawel@kasprowski.pl. vl07
PHP i bazy danych Paweł Kasprowski pawel@kasprowski.pl Użycie baz danych Bazy danych używane są w 90% aplikacji PHP Najczęściej jest to MySQL Funkcje dotyczące baz danych używają języka SQL Przydaje się
Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia
Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia 1) Uruchomienie str. 2 2) Konfiguracja NEOSTRADA str. 3 3) Konfiguracja NET24 str. 4 4) Konfiguracja sieć LAN str. 5 5) Przekierowanie portów
Win Admin Monitor Instrukcja Obsługi
Win Admin Monitor Instrukcja Obsługi czerwiec 2019 wersja dokumentu 1.7 dla wersji aplikacji 2.1.1.0 Spis treści: I. Wstęp 3 II. Wymagania systemowe 4 III. Ograniczenia funkcjonalne wersji demo 5 IV. Instalacja
Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0
Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0 2009.03.13 / Pingwinaria Borys Łącki 1 2 2007: ilość ruchu WWW przekroczyła ilość ruchu P2P 3 Internet Warstwa WWW (filtry wejścia/wyjścia)
Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP
Bezpieczeństwo aplikacji internetowych 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP Chorzów 2007.03.24 Wszystkie zawarte tu informacje słuŝą wyłącznie celom edukacyjnym.
Krótka instrukcja instalacji
Krótka instrukcja instalacji Spis treści Krok 1 Pobieranie plików instalacyjnych Krok 2 Ekran powitalny Krok 3 Umowa licencyjna Krok 4 Wybór miejsca instalacji Krok 5 Informacje rejestracyjne Krok 6 Rozpoczęcie
Rentgen współczesnych ataków DoS. Marcin Ulikowski Network Engineer, Atos IT Services marcin.ulikowski@atos.net marcin@ulikowski.
Rentgen współczesnych ataków DoS Marcin Ulikowski Network Engineer, Atos IT Services marcin.ulikowski@atos.net marcin@ulikowski.pl Distributed Reflected Denial of Service Ataki wolumetryczne (odbite wzmocnione)
Warszawa, 25 lipca 2014 r.
Warszawa, 25 lipca 2014 r. ZAPYTANIE OFERTOWE NA ZAPEWNIENIE UTRZYMANIA I ROZBUDOWĘ APLIKACJI WEB GENERATOR WNIOSKÓW O ZMIANĘ OBSZARU WYKORZYSTANIA CZĘSTOTLIWOŚCI ORAZ KALKULATOR OPŁAT ROCZNYCH ZA PRAWO
Projektowani Systemów Inf.
Projektowani Systemów Inf. Wykład VII Bezpieczeństwo Copyrights by Arkadiusz Rzucidło 1 Bezpieczeństwo Bezpieczeństwo związane z danymi Konstrukcja magazynów danych Mechanizmy zapisu i modyfikacji danych
Konfiguracja własnego routera LAN/WLAN
Konfiguracja własnego routera LAN/WLAN W zależności od posiadanego modelu routera poszczególne kroki mogą się nieznacznie różnić. Przed przystąpieniem do zmiany jakichkolwiek ustawień routera należy zapoznać
ATAKI TYPU CROSS-SITE SCRIPTING
ATAKI TYPU CROSS-SITE SCRIPTING Michał Korecki Kierujący pracą: prof. dr hab. inż. Zbigniew Kotulski PLAN PREZENTACJI 1. Cel pracy i motywacja 2. Co to jest XSS? 3. Praca 4. Przykłady CEL PRACY I MOTYWACJA
SMS Kod Automatyczny
Dokumentacja 2.0.0 SMS Kod Automatyczny Dokumentacja dla SMS Kod Automatyczny Web Service REST CashBill Spółka Akcyjna ul. Rejtana 20, 41-300 Dąbrowa Górnicza Tel.: +48 032 764-18-42 Fax: +48 032 764-18-40
DOKUMENTACJA TECHNICZNA SMS API MT
DOKUMENTACJA TECHNICZNA SMS API MT Mobitex Telecom Sp.j., ul. Warszawska 10b, 05-119 Legionowo Strona 1 z 5 Ten dokument zawiera szczegółowe informacje odnośnie sposobu przesyłania requestów do serwerów
PODSTAWOWA KONFIGURACJA LINKSYS WRT300N
PODSTAWOWA KONFIGURACJA LINKSYS WRT300N 1. Topologia połączenia sieci WAN i LAN (jeśli poniższa ilustracja jest nieczytelna, to dokładny rysunek topologii znajdziesz w pliku network_konfigurowanie_linksys_wrt300n_cw.jpg)
Formy ataku SQL Injection
Formy ataku SQL Injection Niedostateczne filtrowanie danych Ten typ ataków opiera się na nieodpowiednim filtrowaniu znaków ucieczki z danych wejściowych, co pozwala na przekazanie dodatkowych parametrów
Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS
Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Wstęp Bezpieczny hosting IIS + ASP.NET - dobrana para ZagroŜenia przykładowe ataki Zabezpieczamy serwer
Sprawozdanie nr 4. Ewa Wojtanowska
Sprawozdanie nr 4 Ewa Wojtanowska Zad.1 Korzystając z zasobów internetu zapoznałam się z dokumentami: RFC 1945 i RFC 2616. Zad.2 Badanie działania protokołu http Zad.3 Zad.4 URL (ang. Uniform Resource
Przebieg instalacji NKP
Przebieg instalacji NKP 05-12-2013 1. Instalacja wymaganych składników systemu Windows 1.1. Zainstalować pakiet Windows Installer 4.5 (wymagane przez SQLE 2008 R2) 1.2. Zainstalować pakiet.net Framework
Security of Web Applications
Wysłane: 2016-12-08 Przyjęte: 2016-12-14 Bezpieczeństwo aplikacji internetowych Michał Furtak* Politechnika Lubelska, Instytut Informatyki, Nadbystrzycka 36B, 20-618 Lublin, Polska Streszczenie. W artykule
Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager
Wykrywanie cyberzagrożeń typu Drive-by Download Piotr Bisialski Security and Data Center Product Manager WIEDZA I TECHNOLOGIA Hosting Meeting Wrocław 26 stycznia 2012 Zagrożenia w Internecie Tytuł Atak
Zarządzanie Infrastrukturą IT. Jak ręcznie utworzyć instancję EAUDYTORINSTANCE na SQL Serwerze 2000. www.e-audytor.com
Zarządzanie Infrastrukturą IT Jak ręcznie utworzyć instancję EAUDYTORINSTANCE na SQL Serwerze 2000 Data modyfikacji: 2007-04-17, 15:46 opracował: Maciej Romanowski v 2.2 powered by Romanowski 2007-03-15
Aplikacje WWW - laboratorium
Aplikacje WWW - laboratorium PHP + bazy danych Celem ćwiczenia jest przygotowanie prostej aplikacji internetowej wykorzystującej technologię PHP. Aplikacja pokazuje takie aspekty, współpraca PHP z bazami
Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?
Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Przykład autoryzacji 802.1x dokonano w oparciu serwer Microsoft Windows 2003 i
Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science
Systemy internetowe Wykład 5 Architektura WWW Architektura WWW Serwer to program, który: Obsługuje repozytorium dokumentów Udostępnia dokumenty klientom Komunikacja: protokół HTTP Warstwa klienta HTTP
4 Web Forms i ASP.NET...149 Web Forms...150 Programowanie Web Forms...150 Możliwości Web Forms...151 Przetwarzanie Web Forms...152
Wstęp...xv 1 Rozpoczynamy...1 Co to jest ASP.NET?...3 W jaki sposób ASP.NET pasuje do.net Framework...4 Co to jest.net Framework?...4 Czym są Active Server Pages (ASP)?...5 Ustawienia dla ASP.NET...7 Systemy
Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie 21 25 stycznia 2012r.
Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie 21 25 stycznia 2012r. W dniach 21 25 stycznia 2012 miał miejsce szereg ataków na zasoby instytucji administracji państwowej,
Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować
Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować Bartosz Kryński Dział Usług Profesjonalnych, Clico Sp. z o.o. bartosz.krynski@clico.pl InfoTRAMS 1 Fusion
INSTRUKCJA INSTALACJI I KONFIGURACJI APLIKACJI WEBSOFT SITE ANALYZER 2.7.1
INSTRUKCJA INSTALACJI I KONFIGURACJI APLIKACJI WEBSOFT SITE ANALYZER 2.7.1 Producent: Lukaszjarosinski.com Nazwa oprogramowania: Websoft Site Analyzer 2.7.1 Wersja finalna: 28.02.2013 Kontakt: lukaszjarosinski@gmail.com,