PHP a bezpečnost. nejen veřejná
|
|
- Alois Esterka
- před 4 lety
- Počet zobrazení:
Transkript
1 PHP a bezpečnost nejen veřejná
2 Navrhujeme bezpečné aplikace Efektivně spustitelných skriptů by mělo být co nejméně. V ideálním případě jen jeden "bootstrap" skript (index.php). Případně jeden bootstrap skript pro každou aplikaci (službu, ). Knihovní (includované) skripty Neobsahují žádný efektivně spustitelný kód. Jen deklarace tříd, funkcí, Nastavení serveru by nemělo umožnit přímý přístup ke knihovnám. Pokud je to možné zařídit (např. vhodnou modifikací.htaccess). Vkládání je bezpečnější s include_once() a require_once(). Nejlépe pouze na začátku skriptu. Existují i dobré výjimky např. šablony. verze , Martin Kruliš 2
3 Přenos dat mezi klientem a serverem HTTP pracuje přímo nad TCP Komunikace není šifrovaná. Kdokoli může vidět zasílaná a přijímaná data. HTTPS šifrované HTTP Spojení nad TCP je transparentně šifrováno OpenSSL. Webový server může i nemusí HTTPS podporovat. Otázka korektního nastavení, vlastního SSL certifikátu, PHP nemůže ovlivnit, zda se klient připojí přes HTTP, nebo HTTPS. Ale můžeme zjistit, zda byl požadavek šifrovaný. $_SERVER['HTTPS'] = 'on'; I přes šifrované spojení by se měla citlivá data (např. uživatelské heslo) přenášet co nejméně. Zejména není vhodné ukládat citlivá data do cookies. verze , Martin Kruliš 3
4 Hodnoty z formulářů Rozlišujme GET a POST parametry Není vhodné používat pole $_REQUEST, ani starší metody získávání zaslaných parametrů. Integrita parametrů Je třeba ověřovat integritu všech parametrů, které skript dostal. Uživatel (útočník) zvládne jednoduše modifikovat URL nebo upravit formulář v HTML. Opakované odesílání formulářových dat Většinou není žádoucí, aby mohl uživatel odeslat data vícekrát. Řešením je HTTP redirect, případně další techniky (počítadla, nastavení expirace, ). verze , Martin Kruliš 4
5 Databáze Zabezpečení databáze Databáze by měla být ve vaší "trusted base". Tedy tam, kde k ní máte přístup jen vy. Na serveru, který je zabezpečen (tj. i fyzicky). Samostatný uživatelský účet pro připojení z PHP. Princip minimálních práv Časté zálohy jsou nutností. Nejlépe na jiný server, v jiné budově (na jiném kontinentu ) Citlivé údaje v databázi Citlivé údaje by měly být šifrovány, nebo jinak znepřístupněny. Hesla se často hašují: <salt>,sha1(<salt>,<heslo>) "Salt" je sekvence náhodných znaků. verze , Martin Kruliš 5
6 Databáze Vstupní data do SQL dotazů Při vkládání formulářových dat přímo do SQL hrozí nebezpečí SQL-injection útoku. Vstupní data je třeba ošetřit (např. v MySQL existuje funkce mysql_real_escape_string()). verze , Martin Kruliš 6
7 Další injection útoky HTML (JavaScript) injection Uživatelem zadaná (a neošetřená) data se vkládají přímo do HTML. Útočník může vložit vlastní kód (např. <script> ). Pomocí JavaScriptu je jednoduché číst např. cookies na straně klienta a přes HTTP je poslat na jiný server. Stačí data ošetřit při vkládání (např. htmlspecialchars()). Další (méně obvyklé) varianty PHP injection Uživatelem zadaná data se použijí v PHP funkci eval(). Existují i méně očividné varianty např. použití nebezpečných dat v kombinaci s include(), require() nebo fopen(). Command-line injection Uživatelem zadaná data se použijí v příkazu system(), exec(), shell_exec() apod. verze , Martin Kruliš 7
8 Autentizace Autentizace je proces ověření totožnosti uživatele. U webových aplikací se nejčastěji používá kombinace jméno-heslo. Největším problémem je udržování informace o přihlášení. Uživatel by neměl neustále znovu zadávat přihlašovací údaje. Informace o přihlášení by měly být uloženy bezpečně. Musí být uloženy na straně klienta i na straně serveru. Možnosti uložení informací Na straně klienta Předáváním parametrů v HTML Cookies Na straně serveru Sessions Databáze, soubory, případně jiné persistentní úložiště verze , Martin Kruliš 8
9 Autentizace odcizení identity Problém bezstavovosti HTTP Každý požadavek je zpracováván zvlášť na základě informací od klienta. Pokud útočník duplikuje parametry, které uživatel přechovává na klientu, může odcizit jeho identitu a přihlásit se místo něj. Možná řešení Stoprocentně spolehlivé řešení neexistuje. Útočníkovy šance můžeme minimalizovat: Více ověřovacích informací na straně klienta a jejich obměňování Vypršení přihlášení při neaktivitě Ověřování specifických vlastností klienta (typ prohlížeče, IP adresa, ) U kritických operací vyžadovat heslo znovu (např. při změně hesla) Nejspolehlivější je ověřování podpisového certifikátu na klientovi. Pokud nedojde k jeho odcizení, nebo prolomení šifrování. verze , Martin Kruliš 9
10 HTTP Autentizace Protokol HTTP podporuje vestavěnou autentizaci Je-li uživatel autentizován, informace o něm jsou uloženy v: $_SERVER['PHP_AUTH_USER'] $_SERVER['PHP_AUTH_PW'] Pokud přihlašovací údaje nejsou k dispozici (nebo jsou neplatné), skript požádá v hlavičkách o autentizaci: header('www-authenticate: Basic realm="auth test"'); header('http/ Unauthorized'); exit; Problémy: Klient i server musí HTTP autentizaci podporovat. Přihlašovací informace se posílají opakovaně (při každé akci). Není rozumně definované odhlašování. verze , Martin Kruliš 10
11 Autorizace Autorizace je proces ověřování uživatelských práv. V běžném IS se většinou vyskytují uživatelé s různými právy. Bezpečnostní model Definuje, co smí kteří uživatelé s jakými objekty provádět. Součástí def. je seznam chráněných objektů a možné operace s nimi. Jednoúrovňový bezpečnostní model vrací pouze ano/ne. Existují i složitější modely. Součástí definice modelu je seznam chráněných objektů a možné operace s nimi. Implementace Kód by měl být implementován na jednom místě (např. v jedné třídě nebo funkci). Práva je potřeba ověřovat při zobrazení dat i při jejich modifikaci. verze , Martin Kruliš 11
12 Bezpečnostní modely Adresář (Directory, Capability list) Každý uživatel má seznam objektů, ke kterým smí přistupovat. U každého objektu má seznam operací, které s ním smí provádět. Access Control List (ACL) U každého objektu je uložen seznam uživatelů, kteří s ním smí manipulovat (a povolené operace nad objektem). Access Control Matrix Matice uživatelé x objekty. Každé pole obsahuje seznam oprávnění uživatele pro daný objekt. Bell-Lapadula Každý uživatel má úroveň oprávnění, každý objekt (případně operace na objektu) má min. požadovanou úroveň oprávnění. Uživatel musí mít vyšší nebo stejná oprávnění. verze , Martin Kruliš 12
13 Autorizace další drobnosti Princip minimálních práv Co není povoleno, je zakázáno. Seskupování uživatelů Vytváření skupin uživatelů (ad unixové systémy). Práva se přidávají uživatelům i skupinám. Role Práva se nepřiřazují uživatelům, ale rolím. Uživatel odkazuje na jednu, nebo více rolí, které zastává. Jeho práva jsou maximální práva ze všech rolí. Capabilities Dočasná oprávnění jako např. lístek do kina. Lze je přidělit na základě složitějších ověření. verze , Martin Kruliš 13
14 Kde číhá nebezpečí Kdo (co) představuje největší hrozbu pro váš systém? Piráti? Hackeři? Zloději? verze , Martin Kruliš 14
15 Kde číhá nebezpečí Kdo (co) představuje největší hrozbu pro váš systém: Běžní uživatelé Selhání nosné infrastruktury (síť, disky, ) Výpadek elektřiny verze , Martin Kruliš 15
16 Pár rad na závěr Uklízejte po sobě Nenechávejte zbytečné informace v HTML, URL, cookies Nenechávejte otevřené sessions Omezte přístup k souborům, které nemá nikdo vidět Udržujte software aktuální Velké množství průniků je způsobeno chybami v PHP, web. serveru a jiném souvisejícím software. Zálohujte a zaznamenávejte logy operací Většina ztrát dat je zaviněna selháním nosné infrastruktury. Vlastní uživatelé jsou větší hrozbou než útočníci zvenku. Dávejte uživatelům minimální práva a dbejte na osvětu. verze , Martin Kruliš 16
Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013
Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování
Více1 Webový server, instalace PHP a MySQL 13
Úvod 11 1 Webový server, instalace PHP a MySQL 13 Princip funkce webové aplikace 13 PHP 14 Principy tvorby a správy webového serveru a vývojářského počítače 14 Co je nezbytné k instalaci místního vývojářského
Více1. Webový server, instalace PHP a MySQL 13
Úvod 11 1. Webový server, instalace PHP a MySQL 13 Princip funkce webové aplikace 13 PHP 14 Principy tvorby a správy webového serveru a vývojářského počítače 14 Co je nezbytné k instalaci místního vývojářského
VíceVývoj Internetových Aplikací
10 Vývoj Internetových Aplikací Bezpečnost Ing. Michal Radecký, Ph.D. www.cs.vsb.cz/radecky https://www.ted.com/talks/mikko_hypponen_fighting_ viruses_defending_the_net Co je to Cyber kriminalita http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/
VíceIng. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni
Webové aplikace Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni Harmonogram Dopolední blok 9:00 12:30 Ing. Dostal Úvod, XHTML + CSS Ing. Brada,
VíceSoučasný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita
Aktivní webové stránky Úvod: - statické webové stránky: pevně vytvořený kód HTML uložený na serveru, ke kterému se přistupuje obvykle pomocí protokolu HTTP (HTTPS - zabezpečený). Je možno používat i různé
VíceINFORMAČNÍ SYSTÉMY NA WEBU
INFORMAČNÍ SYSTÉMY NA WEBU Webový informační systém je systém navržený pro provoz v podmínkách Internetu/intranetu, tzn. přístup na takový systém je realizován přes internetový prohlížeč. Použití internetového
Vícerychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek
rychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek Co je to webová aplikace? příklady virtuální obchodní dům intranetový IS podniku vyhledávací služby aplikace jako každá jiná přístupná
VíceSpecifikace požadavků. POHODA Web Interface. Verze 1.0. Datum: Autor: Ondřej Šrámek
Specifikace požadavků POHODA Web Interface Verze 1.0 Datum: 29.12. 2008 Autor: Ondřej Šrámek Copyright 1999 by Karl E. Wiegers. Permission is granted to use, modify, and distribute this document. Strana
VíceUživatelská dokumentace
Uživatelská dokumentace k projektu CZECH POINT Popis použití komerčního a kvalifikovaného certifikátu Vytvořeno dne: 20.5.2008 Aktualizováno: 23.5.2008 Verze: 1.3 Obsah Uživatelská dokumentace...1 Obsah...2
VíceTestování webových aplikací Seznam.cz
Testování webových aplikací Seznam.cz Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
VícePrincipy fungování WWW serverů a browserů. Internetové publikování
Principy fungování WWW serverů a browserů Internetové publikování Historie WWW 50. léta Douglas Engelbert provázané dokumenty 1980 Ted Nelson projekt Xanadu 1989 CERN Ženeva - Tim Berners-Lee Program pro
VíceObsah přednášky. Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework
Web Jaroslav Nečas Obsah přednášky Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework Co to je web HTTP protokol bezstavový GET POST HEAD Cookies Session HTTPS
VíceČást IV - Bezpečnost 21. Kapitola 19 Bezpečnostní model ASP.NET 23
5 Obsah O autorech 15 O odborných korektorech 15 Úvod 16 Rozdělení knihy 16 Komu je tato kniha určena? 18 Co potřebujete, abyste mohli pracovat s touto knihou? 18 Sdělte nám svůj názor 18 Zdrojové kódy
VíceTřídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);
Programovací jazyk PHP doc. Ing. Miroslav Beneš, Ph.D. katedra informatiky FEI VŠB-TUO A-1007 / 597 324 213 http://www.cs.vsb.cz/benes Miroslav.Benes@vsb.cz Obsah Třídy a objekty Výjimky Webové aplikace
VíceÚvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11
Obsah Úvodem 9 Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10 Kapitola 1 Než začneme 11 Dynamické vs. statické stránky 11 Co je a k čemu slouží PHP 12 Instalace potřebného softwarového
VíceDokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu
Dokumentace k projektu Czech POINT Popis použití komerčního a kvalifikovaného certifikátu Vytvořeno dne: 11.4.2007 Aktualizováno: 19.2.2009 Verze: 3.3 2009 MVČR Obsah 1. Vysvětleme si pár pojmů...3 1.1.
VíceNení cloud jako cloud, rozhodujte se podle bezpečnosti
Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel
VíceInstalace a konfigurace web serveru. WA1 Martin Klíma
Instalace a konfigurace web serveru WA1 Martin Klíma Instalace a konfigurace Apache 1. Instalace stáhnout z http://httpd.apache.org/ nebo nějaký balíček předkonfigurovaného apache, např. WinLamp http://sourceforge.net/projects/winlamp/
VícePHP PHP je skriptovací programovací jazyk dynamických internetových stránek PHP je nezávislý na platformě
PHP PHP původně znamenalo Personal Home Page a vzniklo v roce 1996, od té doby prošlo velkými změnami a nyní tato zkratka znamená Hypertext Preprocessor. PHP je skriptovací programovací jazyk, určený především
VíceBI-VWS. Vybrané partie z administrace Webového Serveru Autetizace, autorizace a kontrola přístupu Apache httpd
BI-VWS Vybrané partie z administrace Webového Serveru Autetizace, autorizace a kontrola přístupu Apache httpd Příprava studijního programu Informatika je podporována projektem financovaným z Evropského
Více1. Způsoby zabezpečení internetových bankovních systémů
Každoročně v České republice roste počet uživatelů internetu, přibývá povědomí o internetových službách, uživatelé hojně využívají internetového bankovnictví. Podle údajů Českého statistického úřadu ve
VíceVstupní požadavky, doporučení a metodické pokyny
Název modulu: Základy PHP Označení: C9 Stručná charakteristika modulu Modul je orientován na tvorbu dynamických stánek aktualizovaných podle kontextu volání. Jazyk PHP umožňuje velmi jednoduchým způsobem
VíceTechnická specifikace
Informační systém pro vysoké a vyšší odborné školy Technická specifikace Obecný popis systému Technická specifikace Obecný popis systému Computer Aided Technologies, s.r.o. Tato příručka je součástí dokumentace
VíceDUM č. 11 v sadě. 36. Inf-12 Počítačové sítě
projekt GML Brno Docens DUM č. 11 v sadě 36. Inf-12 Počítačové sítě Autor: Lukáš Rýdlo Datum: 06.05.2014 Ročník: 3AV, 3AF Anotace DUMu: WWW, HTML, HTTP, HTTPS, webhosting Materiály jsou určeny pro bezplatné
VíceNastavení zabezpečení
Nastavení zabezpečení E S O 9 i n t e r n a t i o n a l a. s. U M l ý n a 2 2 1 4 1 0 0, P r a h a Strana 1 (celkem 8) ESO9 Správce... 3 Vlastnosti... 3 Zabezpečení... 3 Hesla... 3 Aplikace ESO9... 3 Uživatelé
Více17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/
17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/ Úvod 1 Úvod Nedávno jsem zveřejnil návod na vytvoření návštěvní knihy bez nutnosti použít databázi. To je výhodné tehdy, kdy na serveru
VíceHTTP protokol. Zpracoval : Petr Novotný
HTTP protokol Zpracoval : Petr Novotný novotny0@students.zcu.cz HTTP protokol - úvod zkratka z Hyper-Text Transfer Protocol možnost přenášet jakákoliv data (soubor, obrázek, výsledek dotazu) obvykle provozován
VíceArtlingua Translation API
Artlingua Translation API Dokumentace Jan Šváb, Artlingua, a.s. 2015 Revize: 2015-09-22 - verze API : v1 Obsah Obsah... 2 Předávání dokumentů k překladu... 3 Implementace klientské aplikace pro Translation
VíceAutentizace webových aplikací z pohledu NEbezpečnosti. Oldřich Válka Security
Autentizace webových aplikací z pohledu NEbezpečnosti. Oldřich Válka Security 2010 17.02.2010 Úvod - základní typy autentizací. Basic Digest NTLM Formulářová Autentizace pomocí Certifikátu Autentizace
VíceCross- Site Request Forgery
Prez en tace k p řed n ášce o CSRF ú tocích Přip raven o p ro SOOM session #4 2007 Jiné ozna ení této zranitelnosti č Cross- Site Request Forgery CSRF Cross- Site Reference Forgery XSRF Historie CSRF (první
VíceDatové schránky ante portas
Datové schránky ante portas tak Nepropadejte panice! Bezpečnost poprvé CSRF/XSRF CSRF/XSRF CSRF/XSRF SCRIPT SRC 'Image' Object var mess = new Image(); mess.src
VíceStřední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U
Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U P R O G R A M O V É V Y B A V E N Í Studijní obor: 18-20-M/01 Informační technologie Školní
VíceOchrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.
Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Hranice sítě se posunují Dříve - Pracovalo
VíceJednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů
Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jedním z řešení bezpečného vzdáleného přístupu mobilních uživatelů k firemnímu informačnímu systému je použití technologie
VícePráce s e-mailovými schránkami v síti Selfnet
Práce s e-mailovými schránkami v síti Selfnet Obsah návodu Základní informace k nastavení schránky selfnet.cz...2 Doporučené parametry nastavení e-mailového klienta...2 Základní informace k nastavení e-mailové
VíceLSD v informatice. Michal Gruber, Ondřej Linger, Amin Shakery, Denis Sianov. SPŠE Ječná Ječná 30, Praha 2
Středoškolská technika 2013 Setkání a prezentace prací středoškolských studentů na ČVUT LSD v informatice Michal Gruber, Ondřej Linger, Amin Shakery, Denis Sianov SPŠE Ječná Ječná 30, Praha 2 Osnova: Úvod
VíceDokumentace k API SSLmarketu. verze 1.3
Dokumentace k API SSLmarketu verze 1.3 ZONER Software a.s. 2015 Obsah Úvod... 3 Legenda... 3 Funkce API... 4 Návratové hodnoty... 8 SWAPI - přihlašovací údaje... 8 SWAPI - nastavení výchozích údajů...
VícePlatební systém XPAY [www.xpay.cz]
Platební systém XPAY [www.xpay.cz] implementace přenosu informace o doručení SMS verze 166 / 1.3.2012 1 Obsah 1 Implementace platebního systému 3 1.1 Nároky platebního systému na klienta 3 1.2 Komunikace
VíceInformatika / bezpečnost
Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo
Vícelanguage="javascript">... </script>.
WWW (World Wide Web) je dnes společně s elektronickou poštou nejvyužívanější službou internetu. URL (Uniform Resource Locator) slouží ke kompletní adresaci informace na internetu. Udává jak protokol, který
VíceSlužba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.
Rychlý výpis Úvod Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta. Zákazník služby Mezi očekávané zákazníky služby Rychlý výpis patří:
VíceSOFTWARE 5P. Instalace. SOFTWARE 5P pro advokátní praxi 2010. Oldřich Florian
SOFTWARE 5P Instalace SOFTWARE 5P pro advokátní praxi 2010 Oldřich Florian 2010 Instalace Stránka 1 z 16 Obsah Instalace Runtime Access 2010... 2 Instalace klienta (programu)... 3 Instalace databáze...
VíceWebové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009
Webové rozhraní pro datové úložiště Obhajoba bakalářské práce Radek Šipka, jaro 2009 Úvod Cílem práce bylo reimplementovat stávající webové rozhraní datového úložiště MU. Obsah prezentace Úložiště nasazené
VíceKoláčky, sezení. Martin Klíma
Koláčky, sezení Martin Klíma UDRŽOVÁNÍ STAVU APLIKACE Udržování stavu aplikace 1. Pomocí skrytých polí (viz příklad wizard) 2. Pomocí obohacování odkazů 3. Pomocí cookies 4. Pomocí sessions Obohacování
VíceNápověda pro systém ehelpdesk.eu
www.ehelpdesk.eu Nápověda pro systém ehelpdesk.eu Obsah 1. Základní informace o ehelpdesk.eu... 2 1.1 Rychlé použití aplikace ehelpdesk.eu... 2 1.2 Příklady nasazení... 2 2. Příručka pro uživatele ehelpdesk.eu...
VíceJak efektivně ochránit Informix?
Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,
VíceProtokol HTTP 4IZ228 tvorba webových stránek a aplikací
4IZ228 tvorba webových stránek a aplikací Jirka Kosek Poslední modifikace: $Date: 2006/11/23 15:11:51 $ Obsah Úvod... 3 Co je to HTTP... 4 Základní model protokolu... 5 Struktura požadavku v HTTP 1.0 a
VíceHitparáda webhackingu nestárnoucí hity. Roman Kümmel
Hitparáda webhackingu nestárnoucí hity Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
VíceGymnázium a Střední odborná škola, Rokycany, Mládežníků 1115
Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 27 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek: Anotace: CZ.1.07/1.5.00/34.0410
VíceMicrosoft Windows Server System
Microsoft Windows Server System Uživatelský autentikační systém od společnosti truconnexion komplexně řeší otázku bezpečnosti interních počítačových systémů ebanky, a.s. Přehled Země: Česká republika Odvětví:
VíceRelační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.
Aplikační vrstva http-protokol, díky kterému je možné zobrazovat webové stránky. -Protokol dokáže přenášet jakékoliv soubory (stránky, obrázky, ) a používá se také k různým dalším službám na internetu
VíceSRSW4IT Inventarizační SW. Prezentace aplikace. Vedoucí DP: ing. Lukáš Macura Autor: Bc. Petr Mrůzek
Prezentace aplikace Vedoucí DP: ing. Lukáš Macura Autor: Bc. Petr Mrůzek Osnova Úvod Programovací jazyk - PHP Etapy vývoje Funkce aplikace Co SW umí Na čem se pracuje Vize do budoucna Úvod Úvod Inspirováno
VíceElektronická podpora výuky předmětu Komprese dat
Elektronická podpora výuky předmětu Komprese dat Vojtěch Ouška ouskav1@fel.cvut.cz 19. června 2006 Vojtěch Ouška Elektronická podpora výuky předmětu Komprese dat - 1 /15 Co je to SyVyKod? SyVyKod = Systém
VíceSTŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE
STŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE WEBOWÉ STRÁNKY TŘÍD KAMIL POPELKA ZÁVĚREČNÁ MATURITNÍ PRÁCE BRNO 2011 Prohlášení Prohlašuji, že maturitní práce je mým původním autorským dílem, které
VíceRegistr práv a povinností
Registr práv a povinností Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP v4.0
VíceOCHRANA SOUKROMÍ CRON SYSTEMS, S.R.O. PRO WEBOVOU STRÁNKU 1. Obecné informace.
OCHRANA SOUKROMÍ CRON SYSTEMS, S.R.O. PRO WEBOVOU STRÁNKU www.orphica.cz 1. Obecné informace. 1. Provozovatelem webové stránky je společnost Cron Systems, s.r.o., Alexandra Rudnaya 21, 010 01 Žilina, Slovensko,
VícePOKYNY K REGISTRACI PROFILU ZADAVATELE
POKYNY K REGISTRACI PROFILU ZADAVATELE Stav ke dni 4. 12. 2012 Obsah: 1 Úvod... 3 1.1 Podmínky provozu... 3 1.2 Pokyny k užívání dokumentu... 3 2 Registrace profilu zadavatele... 4 2.1 Přihlášení uživatele...
VícePokročilé funkce a časté chyby. Petr Ferschmann FlexiBee Systems s.r.o.
Pokročilé funkce a časté chyby Petr Ferschmann FlexiBee Systems s.r.o. Filtrace /c/firma/adresar/(nazev like 'Firma') vlastnost operátor hodnota and, or, not, ( ) operátory: =, , =, in, between
VíceWWW technologie. HTTP protokol
WWW technologie HTTP protokol HTTP protokol Princip - klient server - klient zašle požadavek (request), obdrží odpověď (response). klient request server response Verze - HTTP protokol HTTP 0.9 HTTP 1.0
VícePříručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:
Příručka pro dodavatele Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání: 1.10.2017 1 2 1. Úvod do systému...3 2. Technické požadavky a zabezpečení systému...3 3. Registrace nového dodavatele...4 4. Přihlášení
VíceReferenční rozhraní. Jiří Kosek. Ministerstvo informatiky ČR. ISSS 25. března 2003
Jiří Kosek Ministerstvo informatiky ČR ISSS 25. března 2003 Požadavky na RR!zákon 365/2000 Sb.!RR je souhrnem opatření, která vytvářejí jednotné integrační prostředí informačních systémů veřejné správy!rr
Vícembank.cz mtransfer Okamžitá notifikace o mtransferu Dokumentace pro externího partnera
mtransfer Okamžitá notifikace o mtransferu Dokumentace pro externího partnera 1/6 Obsah 1 SLOVNÍK POJMŮ... 3 2 ÚVOD... 4 3 POPIS ŘEŠENÍ NPM... 4 4 ZPŮSOB KOMUNIKACE EXTERNÍHO PARTNERA S MBANK - SPECIFIKACE
VícePříloha č. 1 Verze IS esyco business
Příloha č. 1 Verze IS esyco business 1.10.1.1. Nasazení nové verze IS esyco business 1.10.1.1. proběhne u zákazníků postupně od 23. 4. 2018. V rámci nasazování verze budete kontaktováni konzultantem společnosti
VíceStřední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320
Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U P R O G R A M O V É V Y B A V E N Í Studijní obor: 18-20-M/01 Informační technologie Školní
VíceFIO API PLUS. Verze 1.1.1
FIO API PLUS Verze 1.1.1 www.fio.cz Verze 29. 5. 2015 OBSAH: 1 FUNKČNÍ POPIS... 2 2 INSTALACE APLIKACE... 2 3 ZÍSKÁNÍ TOKENU... 2 4 PŘIDÁNÍ ÚČTU / TOKENU DO APLIKACE... 3 5 STAŽENÍ DAT... 3 Periodické
VíceNávrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal
Návrh a implementace bezpečnosti v podnikových aplikacích Pavel Horal Obsah přednášky úvod do problematiky aplikace, bezpečnost, základní pojmy informační bezpečnost, řízení
VíceGDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula
GDPR A INFORMAČNÍ SYSTÉM Nadežda Andrejčíková Libor Piškula GDPR a informační systém Obsah: 1. Principy ochrany 2. Legitimnost zpracování osobních údajů 3. Praktické dopady GDPR 4. Technologické aspekty
VíceVýměna pokladních certifikátů pro evidenci tržeb
Výměna pokladních certifikátů pro evidenci tržeb Blíží se období, kdy může končit platnost některých pokladních certifikátů, které používáte pro evidenci tržeb. Vydané pokladní certifikáty mají platnost
VíceSada 1 - PHP. 09. Formuláře
S třední škola stavební Jihlava Sada 1 - PHP 09. Formuláře Digitální učební materiál projektu: SŠS Jihlava šablony registrační číslo projektu:cz.1.09/1.5.00/34.0284 Šablona: III/2 - inovace a zkvalitnění
VíceÚtoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí
Útoky na HTTPS PV210 - Bezpečnostní analýza síťového provozu Pavel Čeleda, Radek Krejčí Ústav výpočetní techniky Masarykova univerzita celeda@ics.muni.cz Brno, 5. listopadu 2014 Pavel Čeleda, Radek Krejčí
VíceSSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
VíceBezpečnost webových aplikací
Bezpečnost webových aplikací Začátek Bezpečnost webových aplikací Luboš Matějka Bezpečnost čeho? Zneužití Data na serveru Data uživatelů na PC Odesílaná data Odmítnutí Kompromitace serveru Odmítnutí služeb
VíceERP-001, verze 2_10, platnost od
ERP-001, verze 2_10, platnost od 2010.08.01. ELEKTRONICKÉ PŘEDEPISOVÁNÍ HUMÁNNÍCH LÉČIVÝCH PŘÍPRAVKŮ ERP-001.pdf (208,89 KB) Tímto technickým dokumentem jsou, v souladu s 80 zákona č. 378/2007 Sb., o léčivech
VíceRoční periodická zpráva projektu
WAK-1F44C-2005-2 WAK System Název projektu: Automatizovaná výměna dat mezi informačními systémy krizového řízení v dopravě s jednotným univerzálním a implementovaným rozhraním založeným na standardu webových
VíceInformační systém pro e-learning manuál
Informační systém pro e-learning manuál Verze 1.00 Úvod Tento dokument popisuje způsob práce s informačním systémem pro elektronické vzdělávání. Systém je určený pro vytvoření elektronického kurzu a jeho
VíceReferenční rozhraní národního konektoru Národního kontaktního místa pro ehealth úloha pacientský souhrn
Referenční rozhraní národního konektoru Národního kontaktního místa pro ehealth úloha pacientský souhrn příloha č.4 Specifikace API národního konektoru (NC) pro získávání patient summary (PS) Autor: kolektiv
Více[Zadejte název společnosti.] Instalace. SOFTWARE 5P pro správu bytového fondu 2010. Oldřich Florian
[Zadejte název společnosti.] Instalace SOFTWARE 5P pro správu bytového fondu 2010 Oldřich Florian 2010 Instalace Stránka 1 z 11 Obsah Instalace Runtime Access 2010... 2 Instalace klienta (programu)...
VíceUŽIVATELSKÁ BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ
UŽIVATELSKÁ BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ Jaromír Ocelka, Jaroslav Měcháček ÚVT MU v Brně, Botanická 68a, 602 00 Brno, ČR E-mail: ocelka@ics.muni.cz, mechacek@ics.muni.cz Abstrakt S rozmachem informačních
VíceP@wouk nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.
P@wouk nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing. Tomáš Petránek tomas@petranek.eu Karviná, 21. 10. 2011 Obsah prezentace 1. Okolnosti
VíceBezpečnost internetového bankovnictví, bankomaty
, bankomaty Filip Marada, filipmarada@gmail.com KM FJFI 15. května 2014 15. května 2014 1 / 18 Obsah prezentace 1 Bezpečnost internetového bankovnictví Možná rizika 2 Bankomaty Výběr z bankomatu Možná
VíceBezpečnost B2B přes ISDS Aktuální výzvy a jejich řešení
Bezpečnost B2B přes ISDS Aktuální výzvy a jejich řešení Stávající B2B agenda ==>>>>> Nakolik se lze spoléhat na SSL tunel? Problém MSIE8 s doménovým kontextem Chiméra: Ale, my máme spisovku! Formáty příloh,
VíceInstalační manuál aplikace
Instalační manuál aplikace Informační systém WAK BCM je softwarovým produktem, jehož nástroje umožňují podporu procesního řízení. Systém je spolufinancován v rámci Programu bezpečnostního výzkumu České
VícePříručka nastavení funkcí snímání
Příručka nastavení funkcí snímání WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_CS 2004. Všechna práva vyhrazena. Uplatňovaná ochrana autorských práv se vztahuje na všechny formy a záležitosti
VíceRegistr práv a povinností
Registr práv a povinností Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP list č.1/20 OBSAH 1 Úvod... 3 2 Doporučené nastavení prohlížeče... 4 2.1 Problém s certifikátem...
VíceWORKSHOP II. Téma: Stávající informační systém Vytvořeno: Odborem 34 Státní dozor nad sázkovými hrami a loteriemi Praha 1.
WORKSHOP II. Téma: Stávající informační systém Vytvořeno: Odborem 34 Státní dozor nad sázkovými hrami a loteriemi Praha 1. srpna 2016 Body tematického okruhu Úvod Stávající podoba IS Úpravy IS Dotazy Závěr
VíceNávod na používání webmailu
Návod na používání webmailu Každý student a zaměstnanec UTB má svoji vlastní školní e-mailovou schránku. K té se lze připojit buď pomocí webového klienta http://webmail.utb.cz, nebo libovolného e-mailového
VíceTato zpráva informuje o implementaci LMS (Learning Management Systém) Moodle konkrétně Moodle 2.3.1.
Implementační zpráva Informace o implementaci LMS Moodle Realizováno v rámci projektu OP VK: Rozvoj studijních programů, didaktických metod a inovování modelu řízení v oblasti kombinovaného studia, reg.
VíceInstalace a první spuštění Programu Job Abacus Pro
Instalace a první spuštění Programu Job Abacus Pro Pro chod programu je nutné mít nainstalované databázové úložiště, které je připraveno v instalačním balíčku GAMP, který si stáhnete z našich webových
VíceContent Security Policy
Content Security Policy Nový přístup v boji proti XSS 2011.cCuMiNn. Cross Site Scripting (XSS) XSS je všudypřítomné výskyt cca v 80% webových aplikací Webový browser nevidí rozdíl mezi legitimním skriptem
VíceAnalýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča
Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání
VíceZabezpečení proti SQL injection
Zabezpečení proti SQL injection ESO9 intranet a.s. Zpracoval: Tomáš Urych U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 19.9.2012 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz
VícePOKYNY PRO DODAVATELE
POKYNY PRO DODAVATELE ZADÁVACÍHO ŘÍZENÍ V ELEKTRONICKÉM NÁSTROJI KDV Strana 1 (celkem 9) Základní popis elektronického nástroje Elektronický nástroj KDV je přístupný pro uživatele a veřejnost na internetové
VíceDokumentaci k semestrální úloze z předmětu Internet a WWW (X36WWW)
Dokumentaci k semestrální úloze z předmětu Internet a WWW (X36WWW) Aleš Pěnkava 17.05.2005 doplněno 27.05:2005 FOTOGALERIE www.frikulin.net Zadání: vytvoření internetové fotogalerie, s možností vkládání
Vícepřes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek tomas@petranek.eu
Open Sourceřešení správy studentských počítačových sítí na kolejích SU OPF Karviná aneb cesta, jak efektivně administrovat síť a její uživatele přes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek
VícePřipravil: Ing. Jiří Lýsek, Ph.D. Verze: 12.2.2015 Webové aplikace
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 12.2.2015 Webové aplikace Úvod strana 2 Vyučující Ing. Jiří Lýsek, Ph.D. Ing. Oldřich Faldík https://akela.mendelu.cz/~lysek/ https://akela.mendelu.cz/~xfaldik/wa/
VíceOn-line dražební systém EDEN návod k použití
On-line dražební systém EDEN návod k použití Obsah dokumentu 1. Registrace uživatele...2 2. Verifikace (ověření) e-mailu...3 3. Zapomenuté heslo...3 4. Přihlášení uživatele...4 5. Změna hesla...5 6. Přehled
VíceKlíčová slova: dynamické internetové stránky, HTML, CSS, PHP, SQL, MySQL,
Anotace sady: Dynamické internetové stránky, VY_32_INOVACE_PRG_PHP_01 Klíčová slova: dynamické internetové stránky, HTML, CSS, PHP, SQL, MySQL, Stupeň a typ vzdělávání: gymnaziální vzdělávání, 4. ročník
VíceUživatel počítačové sítě
Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00
Více