Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

Podobne dokumenty
Internet Explorer. Okres

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Projektowani Systemów Inf.

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Marek Krauze

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Program szkolenia: Bezpieczny kod - podstawy

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Bezpieczeństwo informacji w systemach komputerowych

Sieciowe Systemy Operacyjne

SQL injection. Metody włamań do systemów komputerowych p. 1/13. Bogusław Kluge, Karina Łuksza, Ewa Makosa

Technologia informacyjna

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Zasady Wykorzystywania Plików Cookies

Klasy ataków. Przegląd - zasady działania.

Agenda. Quo vadis, security? Artur Maj, Prevenity

Przykładowa lista zagroŝeń dla systemu informatycznego

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBSŁUGI KLIENTÓW

Internetowe BD P.Skrobanek 1. INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład IV. Paweł Skrobanek PLAN NA DZIŚ :

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

DZIEŃ BEZPIECZNEGO KOMPUTERA

Szkodliwe oprogramowanie

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Metody ataków sieciowych

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Bezpieczeństwo systemów komputerowych

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Pojęcie wirusa komputerowego

Bezpieczeństwo systemu Rubinet

Stosowanie ciasteczek (cookies)

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Ochrona systemów informacyjnych. Adam Bujnowski Pok. 105 EA Tel 1684

ZagroŜenia w sieciach komputerowych

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ P.P.U.H. i T. MEKTAL Obowiązujące od dnia Wstęp... 2

Bezpieczeństwo aplikacji webowych

Regulamin Strony Internetowej spółki ENGIE Zielona Energia Sp. z o.o. ( Regulamin )

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Liczba godzin 1,2 Organizacja zajęć Omówienie programu nauczania 2. Tematyka zajęć

Bezpieczeństwo usług oraz informacje o certyfikatach

Robaki sieciowe. + systemy IDS/IPS

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

PRZEWODNIK PO SERWISIE BRe BROKERS Rozdział 1

Bazy danych i usługi sieciowe

Sprawozdanie nr 4. Ewa Wojtanowska

Instrukcja administratora Agenta Administracji i Aktualizacji Aplikacji oraz baz danych Polskiego FADN oraz pobierania danych słownikowych

Przypadki testowe. Spis treści. Plan testów. From Sęp. Wstęp. 2 Plan testów

Flex 3. Piotr Strzelczyk Wydział EAIiE Katedra Automatyki. Kraków, 2008

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Fundacja Ośrodka KARTA z siedzibą w Warszawie, przy ul. Narbutta 29 ( Warszawa),

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs.

Wybrane metody ataków na systemy Oracle

BeamYourScreen Bezpieczeństwo

Polityka prywatności

PekaoBIZNES 24 Instrukcja obsługi dla Klienta

Jak bezpieczne są Twoje dane w Internecie?

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa przetwarzania danych osobowych

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Regulamin korzystania z witryn internetowych w domenie lswryki.pl

POLITYKA PRYWATNOŚCI

dr Beata Zbarachewicz

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

z testów penetracyjnych

Internet. Bezpieczeństwo. Wojciech Sobieski

1.AKTYWNA METODA TESTOWANIA BEZPIECZEŃSTWA APLIKACJI WEBOWYCH HTTPVALIDER ORAZ OCENA JEJ SKUTECZNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

TEST WIEDZY ICT. Diagnoza umiejętności Kandydata/tki z zakresu technologii cyfrowych

Aplikacje internetowe - opis przedmiotu

Reguły plików cookies witryny i usług internetowych tsop.pl

Rodzina systemów Microsoft Windows 1. Rodzina systemów Microsoft Windows

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ

Webapplication Security Pentest Service

Regulamin korzystania z witryn internetowych. w domenie lswryki.pl

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

REGULAMIN DOSTĘPU DO PORTALU PACJENTA GRUPA ZDROWIE

Opis przedmiotu zamówienia

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

konspekt spotkania, dotyczącego korzystania z Internetu przez współczesnego chrześcijanina

Przegląd rodzajów ataków hackerskich

POLITYKA PRYWATNOŚCI ORAZ ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

MidpSSH - analiza bezpieczeństwa

Polityki bezpieczeństwa danych osobowych w UMCS

Zdobywanie fortecy bez wyważania drzwi.

ZagroŜenia w sieci. Tomasz Nowocień, PCSS

Regulamin korzystania z Serwisu Internetowego ZAiKS

REGULAMIN. I. Definicje

Transkrypt:

Bezpieczeństwo aplikacji internetowych 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP Chorzów 2007.03.24

Wszystkie zawarte tu informacje słuŝą wyłącznie celom edukacyjnym.

Krótka historia hackingu Hacking sieci telefonicznych Hacking Komputerowy

Współczesne rodzaje ataków

DoS (Denial of Service)

Hacking wirusowy Wirus (łacińskie virus oznacza truciznę) komputerowy to najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody uŝytkownika, zazwyczaj tworząc przy tym szkody. Standardowe wirusy Konie trojańskie Robaki Złośliwe aplety

KradzieŜ informacji KradzieŜ kart kredytowych KradzieŜ toŝsamości Piractwo informacyjne

ZagroŜenia związane z bezpieczeństwem aplikacji internetowych

Ukryta manipulacja Brak kontroli przesyłanych danych i nieumiejętne projektowanie systemów informatycznych oraz aplikacji internetowych pozwala na manipulację danymi, z których korzystają owe aplikacje.

Infiltracja danych Brak weryfikacji informacji pochodzących od uŝytkownika moŝe umoŝliwić przenikanie do aplikacji niepowołanych instrukcji.

Zewnętrzne skrypty (Cross-Site Scripting XSS) Luki w aplikacjach internetowych czasem pozwalają na załączanie do stron WWW kodu zewnętrznego skryptu, który niejednokrotnie moŝe wykonywać dowolne operacje na serwerze.

Przepełnienie buforów Kiedy program nie moŝe obsłuŝyć przesłanej mu ilości informacji, następuje tzw. przepełnienie bufora i zatrzymanie aplikacji lub nawet systemu.

Zatrute pliki cookies Nieodpowiedni system zabezpieczeń z wykorzystaniem plików cookies pozwala na nieuprawnioną autoryzację.

Przechwytywanie sesji Przechwycenie danych sesyjnych umoŝliwia dostęp do niektórych poufnych informacji. Słabo zabezpieczone serwery pozwalają na przechwycenie identyfikatora sesji, co umoŝliwia podszycie się pod innego uŝytkownika.

SQL Injection Brak filtracji danych, które są elementami zapytań SQL i niekontrolowanie tychŝe zapytań, moŝe prowadzić do przechwycenia poufnych danych, umoŝliwić modyfikację danych znajdujących się w bazie lub nieautoryzowany dostęp do systemu.

Sposoby i przechwytywania łamania haseł Łamanie haseł metodą Brute-force Łamanie haseł metodą słownikową

Niezahaszowane dane Podczas, gdy poufne dane nie są haszowane zmniejsza się poziom bezpieczeństwa systemu.

Metody zabezpieczania się przed łamaniem i przechwytywaniem haseł Haszowanie haseł Tworzenie długich i nieszablonowych haseł UniemoŜliwianie dostępu do poufnych danych Blokada wielokrotnego logowania do systemu Rejestracja informacji o logowaniach

Google Hacking Odpowiednie przygotowanie zapytania do wyszukiwarki Google umoŝliwia wyszukanie interesujących, a czasem takŝe poufnych informacji.

Wybrane błędy w przeglądarkach internetowych na przykładzie MS Internet Explorera Fałszowanie zawartości paska adresu Uruchamianie plików wykonywalnych w komputerze bez zezwolenia uŝytkownika Przepełnienie bufora i zatrzymanie działania programu lub systemu operacyjnego

KradzieŜ historii przeglądarki Odpowiednio przygotowany kod JavaScript umoŝliwia weryfikację odwiedzonych stron WWW na podstawie posiadanych adresów.

Socjotechnika Odpowiednie wykorzystanie słabości ludzkiej psychiki i specyficznych technik manipulacji oraz perswazji, pozwala na uzyskanie dostępu do poszukiwanych informacji. Do stosowania socjotechniki czasem nie jest konieczna specjalistyczna wiedza techniczna.

Jak zbudować bezpieczną aplikację internetową? Podczas budowania aplikacji internetowej naleŝy przyjąć postawę hakera i starać wykluczyć wszystkie znane moŝliwości ataku na aplikację, a następnie dokonywać gruntownych testów i audytów bezpieczeństwa.

KsiąŜki dotyczące bezpieczeństwa i socjotechniki oraz adresy stron WWW związanych z omawianym tematem Jeff Forristal, Julie Traxler Hack Proofing Your Web Applications. Kevin Mitnick Sztuka Podstępu. Dan Verton Pamiętniki Hakerów. http://www.hacking.pl http://www.cc-team.org http://www.uw-team.org http://www.haxite.org http://anakin.us/blog http://paweljablonski.bblog.pl http://www.securityfocus.com http://www.php.pl http://www.hack.pl

Dziękuję za uwagę Piotr Wittchen <piotr.wittchen@slaska.zhp.pl>

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres