1 / 25

Bezpieczeństwo aplikacji internetowych

Bezpieczeństwo aplikacji internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP Chorzów 2007.03.24. Wszystkie zawarte tu informacje służą wyłącznie celom edukacyjnym. Krótka historia hackingu. Hacking sieci telefonicznych Hacking Komputerowy.

osgood
Télécharger la présentation

Bezpieczeństwo aplikacji internetowych

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bezpieczeństwo aplikacji internetowych 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP Chorzów 2007.03.24

  2. Wszystkie zawarte tu informacje służą wyłącznie celom edukacyjnym.

  3. Krótka historia hackingu • Hacking sieci telefonicznych • Hacking Komputerowy

  4. Współczesne rodzaje ataków

  5. DoS (Denial of Service)

  6. Hacking wirusowy Wirus (łacińskie virus oznacza truciznę) komputerowy to najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody użytkownika, zazwyczaj tworząc przy tym szkody. • Standardowe wirusy • Konie trojańskie • Robaki • Złośliwe aplety

  7. Kradzież informacji • Kradzież kart kredytowych • Kradzież tożsamości • Piractwo informacyjne

  8. Zagrożenia związane z bezpieczeństwemaplikacji internetowych

  9. Ukryta manipulacja Brak kontroli przesyłanych danych i nieumiejętne projektowanie systemów informatycznych oraz aplikacji internetowych pozwala na manipulację danymi, z których korzystają owe aplikacje.

  10. Infiltracja danych Brak weryfikacji informacji pochodzących od użytkownika może umożliwić przenikanie do aplikacji niepowołanych instrukcji.

  11. Zewnętrzne skrypty (Cross-Site Scripting – XSS) Luki w aplikacjach internetowych czasem pozwalają na załączanie do stron WWW kodu zewnętrznego skryptu, który niejednokrotnie może wykonywać dowolne operacje na serwerze.

  12. Przepełnienie buforów Kiedy program nie może obsłużyć przesłanej mu ilości informacji, następuje tzw. przepełnienie bufora i zatrzymanie aplikacji lub nawet systemu.

  13. Zatrute pliki cookies Nieodpowiedni system zabezpieczeń z wykorzystaniem plików cookies pozwala na nieuprawnioną autoryzację.

  14. Przechwytywanie sesji Przechwycenie danych sesyjnych umożliwia dostęp do niektórych poufnych informacji. Słabo zabezpieczone serwery pozwalają na przechwycenie identyfikatora sesji, co umożliwia podszycie się pod innego użytkownika.

  15. SQL Injection Brak filtracji danych, które są elementami zapytań SQL i niekontrolowanie tychże zapytań, może prowadzić do przechwycenia poufnych danych, umożliwić modyfikację danych znajdujących się w bazie lub nieautoryzowany dostęp do systemu.

  16. Sposoby i przechwytywania łamania haseł • Łamanie haseł metodą Brute-force • Łamanie haseł metodą słownikową

  17. „Niezahaszowane dane” Podczas, gdy poufne dane nie są „haszowane” zmniejsza się poziom bezpieczeństwa systemu.

  18. Metody zabezpieczania się przed łamaniem i przechwytywaniem haseł • „Haszowanie haseł” • Tworzenie długich i nieszablonowych haseł • Uniemożliwianie dostępu do poufnych danych • Blokada wielokrotnego logowania do systemu • Rejestracja informacji o logowaniach

  19. Google Hacking Odpowiednie przygotowanie zapytania do wyszukiwarki Google umożliwia wyszukanie interesujących, a czasem także poufnych informacji.

  20. Wybrane błędy w przeglądarkach internetowych na przykładzie MS Internet Explorera • Fałszowanie zawartości paska adresu • Uruchamianie plików wykonywalnych w komputerze bez zezwolenia użytkownika • Przepełnienie bufora i zatrzymanie działania programu lub systemu operacyjnego

  21. „Kradzież” historii przeglądarki Odpowiednio przygotowany kod JavaScript umożliwia weryfikację odwiedzonych stron WWW na podstawie posiadanych adresów.

  22. Socjotechnika Odpowiednie wykorzystanie słabości ludzkiej psychiki i specyficznych technik manipulacji oraz perswazji, pozwala na uzyskanie dostępu do poszukiwanych informacji. Do stosowania socjotechniki czasem nie jest konieczna specjalistyczna wiedza techniczna.

  23. Jak zbudować bezpieczną aplikację internetową? Podczas budowania aplikacji internetowej należy przyjąć postawę hakera i starać wykluczyć wszystkie znane możliwości ataku na aplikację, a następnie dokonywać gruntownych testów i audytów bezpieczeństwa.

  24. Książki dotyczące bezpieczeństwa i socjotechniki oraz adresy stron WWW związanych z omawianym tematem • Jeff Forristal, Julie Traxler – Hack Proofing – Your Web Applications. • Kevin Mitnick – Sztuka Podstępu. • Dan Verton – Pamiętniki Hakerów. • http://www.hacking.pl • http://www.cc-team.org • http://www.uw-team.org • http://www.haxite.org • http://anakin.us/blog • http://paweljablonski.bblog.pl • http://www.securityfocus.com • http://www.php.pl • http://www.hack.pl

  25. Dziękuję za uwagę Piotr Wittchen <piotr.wittchen@slaska.zhp.pl>

More Related