Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS

Podobne dokumenty

IIS Bezpieczne udostępnianie usług www. BłaŜej Miga blazej.miga@man.poznan.pl. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft

IIS hacking. BłaŜej Miga Gerard Frankowski. Zespół Bezpieczeństwa PCSS Centrum Innowacji Microsoft. Konferencja SecureCON Wrocław,

Bezpieczeństwo serwera Microsoft IIS v. 7.0

IIS Bezpieczny hosting

Zabezpieczanie platformy Windows Server 2003

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Tomasz Greszata - Koszalin

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Instrukcja instalacji systemu elektronicznego obiegu dokumentów - esoda.

1 Powłoka programu Windows PowerShell Skrypty programu Windows PowerShell Zarządzanie dziennikami... 65

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Dokonaj instalacji IIS opublikuj stronę internetową z pierwszych zajęć. Ukaże się kreator konfigurowania serwera i klikamy przycisk Dalej-->.

Bezpieczeństwo aplikacji PHP hostowanych w środowisku. Windows. Gerard Frankowski, PCSS

OpenLaszlo. OpenLaszlo

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Załącznik nr 2. Przewodnik instalacyjny systemu e-broker Technologiczny v.1.0. Część 4 - Narzędzia informatyczne przeznaczone dla ośrodków innowacji

Podstawy programowania. Wprowadzenie

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

E-SODA Instrukcja instalacji dla wersji beta. Wersja instrukcji

Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp

Spis treści. Część I Podstawy. 1 Wprowadzenie do IIS Architektura IIS

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

Architektury Usług Internetowych. Laboratorium 2. Usługi sieciowe

Dokumentacja instalacji aktualizacji systemu GRANIT wydanej w postaci HotFix a

Zaawansowane aplikacje internetowe - laboratorium

Instalacja programu Ozon.

Instalacja i konfiguracja IIS-a na potrzeby dostępu WEB do aplikacji Wonderware InTouch Machine Edition

Dotacje na innowacje. Inwestujemy w waszą przyszłość.

ActiveXperts SMS Messaging Server

Łatwe zarządzanie treścią własnego portalu przy wykorzystaniu oprogramowania Windows Sharepoint Services

Win Admin Monitor Instrukcja Obsługi

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh

Bezpieczeństwo aplikacji webowych

TelCOMM Wymagania. Opracował: Piotr Owsianko Zatwierdził: IMIĘ I NAZWISKO

Win Admin Replikator Instrukcja Obsługi

Program Windykator I Moduły do programu. Wymagania systemowe oraz środowiskowe dla programów

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Dokumentacja fillup - MS SQL

Instrukcja instalacji systemu

Instalacja SQL Server Konfiguracja SQL Server Logowanie - opcje SQL Server Management Studio. Microsoft Access Oracle Sybase DB2 MySQL

Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS

Flex 3. Piotr Strzelczyk Wydział EAIiE Katedra Automatyki. Kraków, 2008

III. Lista prawdopodobnych przyczyn usterek systemu komputerowego wynikających z zadania i załączników

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Win Admin Replikator Instrukcja Obsługi

Ustawienia personalne

Instalacja programu. Po naciśnięciu przycisku Dalej pojawi się okno, w którym naleŝy dokonać wyboru docelowej lokalizacji.

WEBCON BPS Instalacja Standalone

CENNIK PODSTAWOWY USŁUGI etlink FIRMA

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

Bezpieczeństwo systemów informatycznych

Część I Tworzenie baz danych SQL Server na potrzeby przechowywania danych

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Windows Serwer 2008 R2. Moduł x. IIS

INSTRUKCJA INSTALACJI DATAMOBILE. Ver. 1.3

A. Instalacja serwera www

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Archiwizacja baz MSSQL /BKP_SQL/ opis oprogramowania

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Instrukcja tworzenia aplikacji bazodanowej opartej o technologię Oracle i platformę.net

Szczegółowy opis zamówienia:

4 Web Forms i ASP.NET Web Forms Programowanie Web Forms Możliwości Web Forms Przetwarzanie Web Forms...152

SECURE /10/2006. Błażej Miga, PCSS Jaroslaw Sajko, PCSS

Zabezpieczanie platformy Windows Server 2003

NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI. asix. Wymagania programowe systemu asix Pomoc techniczna

Instrukcja instalacji elektronicznego systemu obiegu dokumentów administracyjnych - esoda.

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Migracja Business Intelligence do wersji

INSTRUKCJA INSTALACJI PŁATNOŚCI TRANSFERUJ.PL

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Robaki sieciowe. + systemy IDS/IPS

Wdrożenie modułu płatności eservice. dla systemu Magento

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Scenariusz lekcji. wymienić elementy projektu w ASP.NET; opisać sposoby tworzenia stron ASP.NET; podać przykłady istniejących stron typu.

System kontroli wersji - wprowadzenie. Rzeszów,2 XII 2010

Instalacja i konfiguracja IIS-a na potrzeby dostępu WEBowego/Secure

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

Tworzenie natywnych aplikacji na urządzenia mobilne - PhoneGap Tomasz Margalski

Tworzenie katalogu wirtualnego w Internetowych usługach informacyjnych (IIS)

Pracownia internetowa w szkole ZASTOSOWANIA

Budowa architektury podstawowych funkcji usług IIS Działanie witryny sieci Web Korzystanie z aplikacji sieci Web i katalogów

Instrukcja instalacji systemu

Instrukcja pierwszego logowania do Serwisu BRe Brokers!

Zabezpieczanie platformy Windows Server 2003

Transkrypt:

Bezpieczne udostępnianie usług www BłaŜej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS

Wstęp Bezpieczny hosting IIS + ASP.NET - dobrana para ZagroŜenia przykładowe ataki Zabezpieczamy serwer

Bezpieczny hosting Poufność zapewnienie poufności kodom źródłowych skryptów klienta ograniczenie dostępu do danych konfiguracyjnych serwera, serwisów, aplikacji Dostępność dostępność aplikacji 24x7x365 minimalizacja czasu odtworzenia środowiska Integralność danych zabezpieczenie aplikacji i danych przed modyfikacjami osób trzecich.

Internet Information Services IIS ver 1.0 Windows NT 3.51 (maj 1995r.) 13 lipiec 2001 Code Red worm 30 styczeń 2007 Windows Vista IIS 7.0 Budowa modułowa Konfiguracja pliki xml Nowy panel administracyjny KONKURS

KONKURS www.secunia.com IIS ver. 6.0 2003-2006 3 advisories (2 Moderately, 1 less) Apache 2.0.x 2003-2006 33 advisories (większość less critical) Sun ONE/iPlanet 6.x 19 advisories

ASP.NET Połączenie ASP i.net W skład platformy wchodzą: Kompilatory C#, Visual Basic.NET, J# Kompilator kodu zarządzającego Metody umieszczania serwisów: Wersja skompilowana Wersja w postaci kodu źródłowego kod ten jest kompilowany przy pierwszym Ŝądaniu strony.

Application Domain Element łączący ASP.NET i IIS Główne zadanie zapewnieni izolacji między aplikacjami MoŜliwości konfiguracyjne: Wybór środowiska.net Limity przydziału procesora Limity przydziału pamięci Wybór uŝytkownika z uprawnieniami którego aplikacje będą uruchamiane Konfiguracja.NET Trust Levels (Code Access Security)

IIS + ASP.NET IIS 5.0 IIS 6.0 DLLHost ISAPI Extensions INETINFO.EXE ASPNETWP ASP.NET Apps Worker Process w3wp.exe ASP.NET Web App Metabase WinSock 2.0 user AFD.SYS TCP/IP kernel HTTP.SYS TCP/IP

ZAGROśENIA

ZagroŜenia załoŝenia wstępne Serwer hostuje n klientów Klienci mają moŝliwość umieszczania własnych aplikacji, skryptów ASP.NET ZagroŜenia dotyczą błędów konfiguracyjnych środowiska hostującego Nie analizujemy ataków na serwisy XSS, Sql injection etc. Cel: Co złego moŝe zrobić skrypt/program umieszczony na naszym serwerze?

ZagroŜenia 1 DoS Maksymalne wykorzystanie zasobów dyskowych Do kompilowania plików aspx kompilator musi mieć uprawnienia tworzenia plików w katalogu %SYSTEMROOT%\Microsoft.NET\Framew ork\ver\temporary ASP.NET Files\... Katalog ten wykorzystywany jest do zapisywania skompilowanych skryptów Program uŝytkownika zapisuje nieskończenie wiele danych do losowych plików w tym katalogu

Ochrona 1 - Maksymalne wykorzystanie zasobów dyskowych NTFS przydziały (quota) Problemy z wyznaczeniem wartości limitu przy jednym Application Domain Ograniczenie ilości katalogów w których skrypty uŝytkownika mają moŝliwość zapisywania danych

ZagroŜenia 2 DoS wykorzystanie zasobów pamięci Uruchomienie nieskończonej ilości procesów dzieci Tworzenie nieskończenie wielkich tablic w wykonywanych skryptach ASP.NET

Ochrona 2 DoS wykorzystanie zasobów pamięci Utworzenie osobnych Application Domain dla kaŝdego hostowanego serwisu Ustawienie limitów przydziału procesora i pamięci dla kaŝdego Application Domain Ograniczenie moŝliwości uruchamiania własnych programów przez klienta

ZagroŜenia 3 Umieszczenie serwera na listach spamerów Wysyłanie nieautoryzowanego mailingu z serwera.net System.Net.Mail System.Net.Sockets Własne programy wykorzystujące połączenia TCP do wysyłania danych

Ochrona 3 Umieszczenie serwera na listach spamerów Ograniczenie moŝliwości uruchamiania własnych programów przez klienta Zastosowanie firewall'a

ZagroŜenia 4 Utrata poufności danych umieszczonych na serwerze WMI System.Management Informacje ośrodowisku, uruchomionych procesach System.Diagnostics.Process System.Environment Własne programy Odczyt rejestru Przeszukiwanie filesystemu serwera

Ochrona 4 Utrata poufności danych umieszczonych na serwerze Ograniczenie moŝliwości uruchamiania własnych programów przez klienta Ustawienie odpowiednich uprawnień do plików i katalogów dla uŝytkownika uruchamiającego kod strony Szyfrowanie haseł wykorzystywanych do łączenia się z bazą danych Umieszczanie na serwerze skompilowanych wersji skryptów

Podsumowanie: IIS + ASP.NET ogromne moŝliwości tworzenia aplikacji webowych DuŜe moŝliwości konfiguracyjne (xml, mmc, WMI) Bogata dokumentacja (www.asp.net, MSDN) Darmowe środowisko developerskie Visual Studio Express Zagwarantowany rozwój i support środowiska

Dziękuje za uwagę. Pytania? Sugestie? Wątpliwości? Zapraszamy na Lunch. blazej.miga@man.poznan.pl