Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Podobne dokumenty
OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Bezpieczeństwo systemów komputerowych

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

KORZYSTANIE Z BAZY DANYCH UpToDate

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego

Sprawozdanie Laboratorium 4

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Portal Security - ModSec Enterprise

6. Bezpieczeństwo przy współpracy z bazami danych

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

INSTRUKCJA OBSŁUGI KLIENTA POCZTY WWW

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs.

Zdalny dostęp do zasobów elektronicznych BGiOINT dla pracowników Politechniki Wrocławskiej

Instrukcja instalacji i obsługi programu Szpieg 3

Bezpieczeństwo aplikacji internetowych

Udostępnianie klientom zasobów serwera

Projektowani Systemów Inf.

Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego

SYSTEM PROXY. Zdalny dostęp do zasobów elektronicznych BGiOINT Politechniki Wrocławskiej

Szpieg 2.0 Instrukcja użytkownika

Archiwizacja baz MSSQL /BKP_SQL/ opis oprogramowania

Dokumentacja systemu NTP rekrut. Autor: Sławomir Miller

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Opisane poniżej czynności może wykonać administrator komputera lub administrator serwera SQL (tj. użytkownik sa).

4. Podstawowa konfiguracja

Laboratorium nr 4 - Badanie protokołów WWW

KURIER BY CTI. Instrukcja do programu DATA Informatycznej Zygmunt Wilder w Gliwicach WERSJA mgr Katarzyna Wilder DLA DPD

E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL.

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

The OWASP Foundation Session Management. Sławomir Rozbicki.

Instrukcja instalacji połączenia sterownika PL11-MUT24 ze stroną internetową.

Instrukcja szybkiej instalacji. Przed przystąpieniem do instalacji należy zgromadzić w zasięgu ręki wszystkie potrzebne informacje i urządzenia.

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Bazy danych i usługi sieciowe

Drobne błędy w portalach WWW

Instrukcja instalacji Control Expert 3.0

Zarządzanie sesją w aplikacjach Internetowych. Kraków, Paweł Goleń

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

World Wide Web? rkijanka

Udostępnianie klientom zasobów serwera

Instrukcja konfiguracji programu Microsoft Outlook do współpracy z serwerami hostingowymi obsługiwanymi przez Ideo

Windows Serwer 2008 R2. Moduł x. IIS

Instrukcja konfiguracji funkcji skanowania

Polityka prywatności. 1. Informacje ogólne.

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Router programowy z firewallem oparty o iptables

Sieciowa instalacja Sekafi 3 SQL

Zdalny dostęp do źródeł elektronicznych BUR dla pracowników i studentów Uniwersytetu Rzeszowskiego

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Klient poczty elektronicznej - Thunderbird

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Sesje i logowanie. 1. Wprowadzenie

Jak przygotować kopię zapasową bazy danych programu MOL Optivum i udostępnić ją na potrzeby migracji do programu MOL NET+?

Projektowanie bezpieczeństwa sieci i serwerów

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

Kopiowanie plików. 1. Z sieci wewnętrznej PK. System Windows

Wykaz zmian w aplikacji USCWIN wersja 2.1 z dnia

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Marek Krauze

1. Instalacja systemu Integra 7

INFO-NET.wsparcie. pppoe.in.net.pl. Pamiętaj aby nie podawać nikomu swojego hasła! Instrukcja połączenia PPPoE w Windows 7 WAŻNA INFORMACJA

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

1. INSTALACJA SERWERA

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

9. Internet. Konfiguracja połączenia z Internetem

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

DESlock+ szybki start

INSTRUKCJA OBSŁUGI DLA SIECI

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

1 IMAP czy POP3? 2 Instalacja programu Mozilla Thunderbird

Administratora CSIZS - OTM

Instrukcjaaktualizacji

Niektóre typowe cechy wiadomości typu phishing to:

Przekierowanie portów w routerze - podstawy

DBE DataBase Engineering

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do

Generatory pomocy multimedialnych

Instalacja programu Ozon.

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

Warszawa, 25 lipca 2014 r.

Sieci Komputerowe i Bazy Danych

GS2TelCOMM. Rozszerzenie do TelCOMM 2.0. Opracował: Michał Siatkowski Zatwierdził: IMIĘ I NAZWISKO

Transkrypt:

Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Najgroźniejsze ataki na serwer WWW Najgroźniejsze ataki na serwer WWW Cross-site scripting (XSS) SQL injection Denial of Service (DoS)

Cross-site scripting (XSS) Typowa strona WWW składa się z wielu elementów, takich jak tekst, obrazki, multimedia... oraz zawartość wykonywalna (tzw. skrypty). Jeżeli strona wymaga autoryzacji, trudno żeby użytkownik potwierdzał swoją tożsamość przy dostępie do każdego elementu z osobna dlatego w przeglądarkach powszechnie stosowana jest zasada same origin pozwalająca przeglądarce na automatyczne pobieranie kolejnych elementów z tej samej strony którą użytkownik przegląda

Cross-site scripting (XSS) Ta sama strona jest identyfikowana przez trójkę: protokół, nazwa serwera i port Oznacza to że jeżeli serwer pozwala na przekierowania (np. proxy czy redirect) będzie on autoryzował elementy umieszczone na innych serwerach! Ponieważ URL może prowadzić do zewnętrznego serwera przy źle skonfigurowanym serwerze i źle napisanej stronie można spowodować niejawną autoryzację cudzej strony WWW która może być skryptem np. kradnącym hasła.

Cross-site scripting (XSS) Sposób wykonania ataku XSS: 1) Znaleźć serwer dopuszczający przekazywanie pełnych URL'i w parametrach skryptu, np. http://www.kiepskibank.com 2) Stworzyć URL zawierający niejawne przekierowanie, np. http://www.kiepskibank.com?mirror= http://zlodziej.com/zlodziej.js 3) Wysłać taki URL mailem lub umieścić na własnej stronie WWW

Cross-site scripting (XSS) Sposób wykonania ataku XSS: 4) Po kliknięciu na URL użytkownik loguje się na stronę www.kiepskibank.com 5) jednocześnie nieświadomie wykonując skrypt ze strony zlodziej.com 6) który np. spyta o hasło do www.kiepskibank.com

Cross-site scripting (XSS) Sposoby obrony przed XSS: Na poziomie strony WWW: Zawsze sprawdzać poprawność danych przesyłanych przez użytkownika!!! Na poziomie konfiguracji serwera WWW: Testowanie zewnętrznych URL'i w parametrach skryptów (np. przez RewriteCond) Usuwanie parametrów skryptów przesyłanych z zewnątrz (np. przez RewriteRule)

SQL injection Większość zaawansowanych stron WWW korzysta z bazy danych która zazwyczaj jest bazą SQL-ową co oznacza że język poleceń dla tej bazy jest powszechnie znany Przy źle napisanej stronie WWW istnieje możliwość przesłania w parametrze skryptu polecenia SQL które zostanie wykonane przez bazę i np. ujawni lub zniszczy wrażliwe dane znajdujące się w bazie

SQL injection Sposoby obrony przed SQL injection: Na poziomie strony WWW: Zawsze sprawdzać poprawność danych przesyłanych przez użytkownika!!! Na poziomie konfiguracji serwera WWW: Testowanie słów kluczowych SQL (np. SELECT czy DROP) w parametrach skryptów (np. przez RewriteCond) Usuwanie parametrów skryptów przesyłanych z zewnątrz (np. przez RewriteRule)

Denial of Sevice Liczba urządzeń podłączonych do Internetu przekroczyła 5 mld (w 2010 r.) i szacuje się że przekroczy 20 mld w 2020 r. Co będzie jeżeli kilkadziesiąt/kilkaset tysięcy urządzeń zacznie co chwilę łączyć się z jednym konkretntym serwerem? Żaden, nawet najsilniejszy, serwer nie będzie w stanie obsłużyć takiego ruchu i przestanie działać.

Denial of Sevice Atak DoS powoduje czasową niedostępność serwera dla użytkowników Co może być wykorzystywane do: Szkodzenia operatorowi danego serwera (cyberwandalizm, cyberterroryzm, cyberaktywizm) Uruchomienia fałszywej kopii danego serwera (np. przechwytującej hasła) Do ataków DoS najczęściej wykorzystywane są komputery nad którymi kontrolę przejęli cyberprzestępcy (tzw. zombie nety)

Denial of Service Obrona przed dobrze przeprowadzonym DoS jest w praktyce niemożliwa ponieważ ochrona przed DoS utrudnia również korzystanie z serwera prawdziwym użytkownikom można co najwyżej wprowadzać limity jednoczesnych połączeń czy ilości żądań na sekundę z pojedynczego adresu Serwery wewnętrzne nie powinny być w ogóle dostępne z Internetu.

Inne ataki na WWW Code injection Directory traversal Cross site request forgery (CSRF) CRLN injection

Code injection Atak podobny do SQL injection... tylko że zamiast polecenia SQL przekazuje się program wykonywalny (np. wirusa) lub polecenie systemowe (np. rm -rf / ) Potencjalnie znacznie groźniejszy niż SQL injection ponieważ może dać pełną kontrolę na serwerem WWW (a nie tylko nad bazą danych) ale znacznie trudniejszy do wykonania.

Directory traversal Próba dostępu do pliku, spoza strony WWW np. poprzez../../../../../../../../../../../etc/passwd Niebezpieczna tylko przy nieprawidłowo skonfigurowanym serwerze WWW ponieważ normalnie serwer powinien działać z uprawnieniami, które nie dają mu dostępu do wrażliwych danych systemu operacyjnego Można się dodatkowo zabezpieczyć uruchamiając tzw. chroot (fałszywy rootfs) uruchamiając Apache przy pomocy polecenia systemowego chroot

Cross site request forgery Atak podobny do cross site scripting z tą różnicą że odbywa się poprzez bezpośrednie wysłanie żądania HTTP do zewnętrznego serwera bez wykorzystania skryptów Np. <img src= http://www.kiepskibank.com/przelewy?kwota=100000000&k onto =... alt= height=1 width=1> Sposoby obrony takie jak przed cross site scripting

CRLN injection Jeżeli dane dostarczane z zewnątrz są przekazywane jako parametr do poleceń systemowych... to odpowiednio fabrykując taki parametr napastnik jest w stanie wykonać dowolne polecenie systemowe na serwerze, z efektywnymi prawami serwera WWW! Również takie o których twórca strony nie pomyślał!

CRLN injection Przykład Strona WWW testuje istnienie pliku o nazwie podanej w formularzu lub w adresie URL przy pomocy polecenia systemowego: test -f nazwapliku Co się stanie jeżeli ktoś poda następującą nazwę pliku : bylejakanazwa; /bin/rm -rf * System wykona DWA polecenia systemowe: 1) Najpierw: test -f bylejakanazwa 2) a potem rm -rf * z wiadomymi skutkami

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres