IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.

Slides:

Advertisements

Podobné prezentace

© 2000 VEMA počítače a projektování spol. s r. o..

Advertisements

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.

Hrozby připojení k Internetu

CIT Pavel POMEZNÝ Centrum informačních technologií Ostravská univerzita v Ostravě /cit.

Rozšíření systému pro zátěžové testy o SOAP a agenty Zbyněk Pyšný.

Přednáška č. 5 Proces návrhu databáze

Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.

Techniky síťového útoku

Návrh architektury moderních informačních systémů

IISPP ■ pojem definován v letech v rámci přípravy výzkumných záměrů NPÚ na roky ■ dlouhodobý projekt na vybudování nového komplexního.

Open Web Application Security Project (OWASP)

Softwarové zabezpečení serveru

Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.

1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.

Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.

Úvod. školní: příprava na předmět Databázové systémy praktický: webové aplikace databázové systémy základy vývoje webových aplikací od návrhu databáze.

Návrh a tvorba WWW Přednáška 1

PHP – Základy programování

Datové schránky ve velké společnosti SharePoint partenrská konference Microsoft Pavel Salava Mainstream technologies,

BAKALÁŘSKÁ PRÁCE Tomáš Janda

Konference SI Praha Ladislav Přívozník is:energy czech a.s.

Útoky prováděné po Internetu ISSS 2003 Department name

European Computer Driving Licence Modul 7 – Služby informačních sítí Mendelova zemědělská a lesnická univerzita v Brně.

Cross-Site Request Forgery Prezentace k přednášce o CSRF útocích Připraveno pro SOOM session #

ESET - služby informační bezpečnosti Filip Navrátil, Sales Engineer, ESET software spol. s

Microsoft Office InfoPath 2003 Tomáš Kutěj Account Technology Specialist

Internetový prohlížeč

Internet.  Celosvětový systém propojených počítačů  Funkce  Sdílení dat  Elektronická pošta.

Úvod do JavaScriptu JavaScript je p JavaScript je programovací jazyk, který se používá na webových stránkách. JavaScript je typu KLIENT - KLIENT To znamená,

Není firewall jako firewall Ladislav Šolc Security Systems Engineer Microsoft ČR&SK.

uložené procedury (stored procedures) triggery, sekvence, pohledy, funkce, parametrické dotazy (prepared statements) komplexní agregace a SQL dotazy jiné.

Elektronický registr oznámení Zpracoval(a): Mgr. František Rudecký

Mobilní kancelář (…nejen pro velké firmy) Vladimír Wojnar Microsoft Solutions HP.

Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.

Portál veřejné správy © 2002 IBM Corporation ISSS 2003 PORTÁL VEŘEJNÉ SPRÁVY Elektronická podání - implementace služeb Ing. Robert Hernady Senior Systems.

Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno

INTERNET VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ 2008 © Copyright IBM Corporation 2008 Správa obsahu v podání IBM 7. – 8. dubna 2008 ibm.com/cz/public Daniel Beneš.

CATE 2001 – Brno, 9. května 2001 Bezpečnost a ochrana informací Pavel Věchet, IBM Česká republika, spol. s r.o.

SOA = Architektura orientovaná na služby

Správní a dopravně správní evidence - IISSDE

Webové služby pro komunikaci s informačním systémem eQuip Martin Širajch.

Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.

Miroslav Skokan IT Security Consultant

AVT - projekt Tvorba rozhraní pro WMS server. GIS informační systém pro získávání, ukládání, analýzu a vizualizaci prostorových dat součásti: – Hardware.

Sales & Consulting IGS, Czech Republic © 2005 IBM Corporation Optimalizace a sdílení informací ve státní správě Pavel Hrdlička.

Blíží se datové schránky,. aneb „Nepropadejte panice!“

Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Fenix II –IS na platformě.NET Michal Varga.

CENTRUM BIOSTATISTIKY A ANALÝZ Lékařská a Přírodovědecká fakulta, Masarykova univerzita Uživatel počítačové sítě b) Vyučující tým: Daniel KLIMEŠ Ivo ŠNÁBL.

„ Rozšíření možností vizualizace geodat

Stanice v síti učební texty pro deváté ročníky ZŠ.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Fenix II - IS nové generace Michal Varga.

Publikování výsledků skenování Ntrip Casters pomocí mapového serveru Autor: Bc. Filip Lombart Vedoucí: Ing. David Vojtek Ph.D.

© 2016 InterSystems Corporation. All rights reserved. Integrace OAuth 2.0 a OpenID Connect.

Internet (služby Internetu, WWW) Služby Internetu WWW (World Wide Web) – dnes nejrozšířenější služba; spoustě lidí splývá s Internetem jako takovým WWW.

Zabezpečení – CSRF, XSS Tomáš Hulák, Miroslav Kořínek.

Seminář k soutěži Parádní web 21. leden 2014 Ing. Kamil Válek tajemník Městského úřadu Uherský Brod.

NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.

1 CONFIDENTIAL Předvídejte a buďte preventivně připraveni na bezpečnostní hrozby dříve než nastanou.

Počítačová bezpečnostPočítačová bezpečnost -je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených.

zákon č. 181/2014 Sb. o kybernetické bezpečnosti:

Inf Bezpečný počítač.

9. Bezpečnostní pravidla při používání počítače a internetu

Zvýšení kapacity, dostupnosti a efektivnosti systému SIS II spolufinancovaný z Ročního programu 2013 Fond pro vnější hranice (FVH)

Účinné zabezpečení IT a stálý dohled

BEZPEČNOSTNÍ RIZIKA INTERNETU

Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP

Vytvoření IS pro správu místností v prostředí WWW

Web Application Scanning

Centrální místo služeb 2.0

Transkript prezentace:

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title slide

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 2 Proč se zabývat speciálně bezpečností webových aplikací ?  Bezpečnost webových aplikací se soustředí na 7. vrstvu OSI (aplikační) zpřístupněnou protokolem HTTP (port 80) nebo HTTP/SSL (port 443)  Více, než 75% útoků, vedených z Internetu, se zaměřuje na port 80 (Security Focus‘ DeepSight report)  Ačkoli společnosti investují do firewallů, systémů detekce a/nebo prevence útoků (IDS, IPS) a dalších bezpečnostních opatření, mohou být stále zranitelné proti útokům vedeným prostřednictvím webových aplikací.

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 3 Průběh útoku vedeného z Internetu

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 4 Komponenty webových aplikací

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 5 Postup testování aplikace  Shromažďování údajů –Zjišťování mapy webových stránek a validních uživatelských účtů –Použití standardního WWW prohlížeče  Odposlech dat –Nastavení proxy serveru tak, aby přes proxy procházela veškerá data mezi uživateli a Web serverem. Ukládání těchto dat. –Proxy a Crawler: Web proxy, Black Window, Web Scarab  Analýza –Manuální analýza shromážděných dat –Apl. scanery: AppScan, WebInspect, ScanDo  Útok –Auditor zopakuje odeslání zachycených dat s pozměněnými parametry –Apl. scanery: AppScan, WebInspect, ScanDo

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 6 Obvyklé způsoby průniku do aplikace  SQL injection –Odeslání SQL kódu aplikaci, který způsobí neočekávané chování aplikace (například přečte nebo zapíše data v databázi).  Manipulace s parametry –Manipulace s URL řetězci tak, aby byl umožněn přístup nebo získány informace.  Změna obsahu cookie –Změna obsahu cookie.  Buffer Overflow –Odeslání většího, než očekávaného, množství parametrů může způsobit přetečení paměťového pole a neoprávněné spuštění kódu (viz dále).  Cross Site Scripting –Útočník vloží na server kód (JavaScript), který umožní „ukrást“ uživatelovu cookie, případně kompromitovat stanici uživatele  Skryté příkazy –Vložení Trojského koně do formuláře a spuštění neoprávněného kódu na web serveru.  Zranitelnosti technologie –Zneužití známých (a neopravených) zranitelností Web/Aplikačního serveru.

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 7 Buffer Overflow  Způsobí přetečení interního bufferu a vloží vlastní program  Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE RET ADDR X BUFFER Y A

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 8 Komplexní testování zranitelností Nessus  Jeden z nejrozšířenějších a nejefektivnějších nástrojů pro zjišťování zranitelností IS  Client – Server architektura –server provádí testy a udržuje databázi zranitelností –klienty jsou provozovány na různých platformách –Nessus může být rozšiřován pluginy –pluginy pro různé platformy a provozované služby –výběr pluginu podle konkrétního systému podstatně zrychluje průběh testů  Ve výsledcích testů jsou popsány zjištěné zranitelnosti na základě informací z databáze

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation 9 Nessus – výsledky testů

IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Děkuji za pozornost Closing slide