Vývoj internetových aplikací. 9. Útoky na internetové aplikace. a možná obrana proti nim
|
|
- Renáta Hájková
- před 8 lety
- Počet zobrazení:
Transkript
1 Vývoj internetových aplikací 9. Útoky na internetové aplikace a možná obrana proti nim Tomáš Tureček, Jiří Suchora, VŠB-TU Ostrava, FEI, 456, 2009
2 Obsah přednášky Úvod PHP injekce SQL injekce XSS útoky CSRF útoky Spam Brute-force, Slovníkové útoky Dos, DDoS Sociální inženýrství, krádeže osobních dat a identity Zdroje a doporučená literatura
3 Porovnání klasického a kybernetického zločinu Parametr Průměrné ozbrojené přepadení Průměrný kybernetický útok Riziko Pachatel riskuje zranění Bez rizika fyzického zranění Zisk Průměrně USD Cca USD Pravděpodobnost dopadení Pravděpodobnost odsouzení Trest 50-60% šance dopadení 10% šance dopadení 95% šance odsouzení při dopadení 5-6 let v průměru, pokud pachatel nikoho nezabil 15% dopadených soudně stíháno, z toho 50% odsouzeno 2-4 roky v průměru Zdroj: Kybernetická kriminalita, Václav Jirovský
4 Webové aplikace a jejich náchylnost k různým typům útoků 1Q 2009 WhiteHat Security % web sites
5 Množství (%) web sites se zranitelností kategorie urgent, critical a high v průmyslových odvětvích 1Q 2009, WhiteHat Security
6 Vybrané typy útoků PHP injekce SQL injekce XSS útok CSRF útok Spam Brute-force, Slovníkový útok DoS, DDoS Sociální inženýrství, krádeže osobních dat a identity
7 PHP injekce Charakteristika útoku Příklad Ochrana
8 PHP injekce Zneužití PHP funkcí include()a require() ve špatně napsaných webových aplikacích Vložení jakéhokoliv cizího kódu do kódu aplikace Příklady cílů útoku: vypsání zdrojového kódu aplikace procházení adresáři práci s adresáři a soubory (v případě špatně nastavených práv)
9 PHP injekce Příklad špatného kódu: <? $page = $_GET['page'];include $page;?> Vstup pomocí GET není ošetřen tudíž lze vložit do proměnné $page cokoliv co se útočníkovi bude líbit. Příklad útoku: vložení URL se škodlivým skriptem pro vypsání zdrojového kódu aplikace nebo spuštění tzv. "php shellu" Ukázka
10 PHP injekce - obrana Použití funkcí: addslashes() stripslashes() htmlspecialchars() Nastavení magic_quotes_gpc (automatické escapování znaků) allow_url_fopen (povolení čtení dat přes http) allow_url_include (vkládání souboru pres http) register_globals (automatické plnění proměnných)
11 SQL injekce Charakteristiku útoku Příklad útoku Obrana na straně serveru Obrana na straně databáze
12 SQL injekce SQL příkaz vložený do původního SQL příkazu Zdrojem útoku je obvykle uživatelský vstup Formuláře Textbox Text QueryString Cíle útoku: získat data poškodit data získat přístup do aplikace a dalším zdrojům
13 SQL injekce Příklad: správný (autorem aplikace zamýšlený) dotaz: SQL dotaz použitý v aplikaci: $sql = "select * from orders where name='$auto'"; útok: namísto nissan nissan' or 2>1 - select * from orders where name='nissan' or 2>1 ' popřípadě nissan -> nissan'; drop table orders - první dotaz vypíše všechny prvky v tabulce, druhý smaže tabulku Ukázka
14 SQL injekce obrana na straně serveru kontrola typů očekávaných hodnot is_string() is_numeric() použití funkcí pro escapování nebezpečných hodnot html_specialchars() addslahes() mysql_real_escape_string() vypnutí chybových hlášení
15 SQL injekce obrana na straně databáze Princip minimálních práv zřízení databázových uživatelských účtů pro: čtení konkrétních tabulek zápis do konkrétních tabulek manipulaci s databázovým schématem Logování důležitých událostí pro pozdější nápravu po případném poškození útočníkem
16 XSS útok Charakteristika útoku Příklad skriptu Persistent XSS útok Non-Persistent XSS útok Bypassing a DOM-bassed útoky Obrana
17 XSS útok Zneužití skriptovacího jazyka na straně klienta (JavaScript) Skript je součástí webové stránky při jejím načtení a je proveden prohlížečem Cíl útoku: krádež cookies nebo session neautentizovaný přístup do uživatelem používané aplikace keylogger přístup k objektům v dokumentu za použití dokumentového objektového modelu (DOM) prohlížené stránky
18 XSS útok Příklad útoku: načtení jiného webu pomocí nového rámce: <iframe src=" přesměrování: <script>document.location=' načtení skriptu z cizího umístění a jeho následné provedení: <script src= a další složitější typy kódu, jako již zmíněná příprava keloggeru nebo krádež id sezení či cookies napadeného uživatele Ukázka
19 XSS útok trvalý (persistent) Výskyt na místech, kde má uživatel možnost vkládat do aplikace data fórum návštěvní kniha komentáře Po vložení zůstává škodlivý kód přístupný pro každého uživatele, který infikovaný web navštíví
20 XSS útok dočasný (non-persistent) Nejčastěji předáván oběti formou podvrženého linku Škodlivý skript je součástí stránky, ale je předáván jako součást HTTP požadavku Nejčastější výskyt: u vyhledávačů u stránek s dynamicky definovaným chybovým hlášením
21 Příklad existující stránky náchylné k dočasnému XSS útoku
22 XSS útok DOM based útok podvrhnutí hodnot jednotlivým objektů DOMu na prohlížené stránce za účelem oklamání uživatele Bypassing útok obdoba SQL injekce hodnota zadaná uživatelem je začleněna do HTML stránky jako hodnota parametru jiného tagu v aplikaci (pomocí předčasně uzavřeného původního tagu) příklad vadného php kódu a útočícího dotazu: <? echo "<input type='text' name='search' value='$search'>";?> src='
23 XSS útok - obrana Na straně klienta: zákaz skriptování (JavaScriptu) v prohlížeči případně povolení skriptování jen pro konkrétní (bezpečné) aplikace Na straně serveru: kontrolovat uživatelských vstupů a jejich filtrace od problémových řetězců a znaků
24 Útok Cross side request forgery (CSRF) Charakteristika útoku Obrana na straně klienta Obrana na straně serveru
25 CSRF útok Útoky jsou většinou prováděny formou speciálně upravených odkazů vedoucí k předem připravené akci útočníka ( em, instant messagingem, XSS, ) Útok je obvykle používán v kombinaci s XSS Napadený uživatel provede akci, kterou nemá v úmyslu Příklad cílů útoku: Získání hlasů internetových v anketách Princip přihlášené oběti neautorizovaný přístup do aplikace, kde je uživatel (v jiném okně) právě přihlášen (nepřiklad změna hesla a jeho okamžité zneužití)
26 CSRF útok obrana na straně klienta Vyhýbání se cizím odkazům Obrana proti XSS Pokud nepotřebujeme, nejsme přihlášení k žádné službě zbytečně, a provádíme pokud možno všechny akce jako anonymní uživatel (zabráníme provedení akce, pod právy oběti)
27 CSRF útok obrana na straně serveru Hlídání hlavičky referrer (odkud návštěvník přichází) definice řetězce návaznosti stránek u aplikace například povolením přístupu k nebezpečným operacím jen z menu aplikace Navigace v aplikaci s použitím proměnlivých URL požadovaná stránka se pak nachází vždy na jiné adrese, nelze stejný odkaz použít vícekrát Navigace v aplikaci s použitím tzv. hlídacích lístků Server vygeneruje jedinečné ID do skrytého pole stránky a to pak ověřuje
28 Spam Charakteristika Spamu Obrana u webového/komentářového spamu Ochrana u ového spamu Graf rozšíření /web spamu v různých částech světa Graf rozdělení podle typu spamu
29 Spam Nevyžádané masové sdělení, šířící se internetem Výskyt: fórum komentáře instant messaging Cíl útoku: informovat o službě/produktu přilákat uživatele na infikovanou stránku phishing znemožnit uživatelům používání jejich u získání konkurenční výhody mezi ovými servery zařazením konkrétního serveru na černou listinu
30 Spam obrana Moderování příspěvků Povinná registrace všech přispěvatelů (a jejich následný ban) CAPTCHA způsob jak odlišit uživatele od robota (například text vepsaný do obrázku a jeho kontrola) Antispamový filtr black list spamujících domén rozsah doby odesílání příspěvků z jedné IP filtrace slovních spojení typických pro SPAM
31 Spam obrana u Black listing filtrace podle adresy uživatele/ip Filtrace na základě obsahu u Filtrace založená na učení se nových pravidel jak rozpoznat spam (tzv. bayesovské učení) nejúčinější pokud filtry učí sami uživatelé
32 Procento spamu v ové komunikaci zdroj: Symantec
33 Statistika oblastí zdrojů spamu 2009, zdroj: Symantec
34 Statistika procentuálního rozložení podle předmětů spamu nigerijské dopisy řetězové zprávy pyramidové zprávy Verifikace Phishing kreditních karet přihlašovacích údajů Online kasina Výhry loterie dovolené Informace o službách 2009, zdroj: Symantec
35 Stoupající trend výskytu malware ve spamech 2009, zdroj: Symantec
36 Spam a malware - příklad Trojan.Bredolab 2009, zdroj: Symantec
37 Brute-force, slovníkové útoky Charakteristika Brute-force útok Slovníkový útok Ochrana
38 Brute-force útok Zjišťování informací hrubou silou, opakování dotazů s generovanými informacemi Časově náročné řešení, závisí na prostředí: složitost kódu/hesla k prolomení stroj útočníka stroj oběti rychlost připojení Ukázka Cíl útoku: obvykle hledání/prolomení přístupového kódu/hesla
39 Brute-force slovníkový útok Výhoda: redukovaný prostor řešení méně časově náročný přístup existence slovníků na internetu jména, příjmení, nejčastěji používaná slova v konkrétním jazyce Nevýhoda: není zde garance úspěchu jako u útoku hrubou silou
40 Brute-force (slovníkový) útok - obrana Aplikace definuje: časové rozmezí mezi neúspěšným zadáním hesla pravidla pro přihlášení například 5x špatné heslo a následná blokace požití dlouhého/složitého hesla obsahující velké/malé písmena, čísla a speciální znaky
41 Orientační čas pro prolomení hesla (závisí na podmínkách) Zdroj: lifehacker.com
42 (Distributed) Denial-of-Service DoS, DDoS Charakteristika Typické znaky útoku Syn Flood útok Ping Flood útok Smurf attack Možná obrana
43 DoS, DDoS Technika útoku využívající přehlcení serveru/aplikace velkým množstvím požadavků Cíle útoku: pád serveru/aplikace způsobené přetížením nebo vyčerpáním zdrojů zaplavení provozu na síti náhodnými daty které zabraňují protékání skutečných dat omezení přístupu ke službě všem nebo konkrétnímu uživateli narušení konfiguračního nastavení vsunutím chybových hlášení do sekvence instrukcí které můžou vést k pádu systému
44 DoS Syn flood Cíl: znemožnit uživatelům navázat TCP spojení se serverem TCP handshake: klient pošle na server paket s příznakem SYN server potvrdí žádost o spojení paketem s příznaky SYN a ACK Klient potvrdí potvrzení serveru paketem s příznakem ACK
45 DoS Syn flood Útok: útočník zahltí server množstvím paketů s příznakem SYN server potvrzuje žádosti o spojení a čeká ACK od klienta, které však nepřijdou (time-out) cílový server brzy vyčerpá prostředky pro připojení a další klienti se již nepřipojí
46 DoS Ping flood V případě, že má útočník k dispozici rychlejší připojení než oběť, může zahltit cílový stroj velkým množstvím požadavků ping Cíl útoku: znemožnit oběti používat připojení znemožnit uživatelům přístup ke službě zprostředkovávané obětí
47 DoS Smurf attack Hromadný ping flood Při chybné konfiguraci sítě je možné zahltit lokální síť množstvím ping dotazů s použitím broadcast adresy Cíl útoku: vyřadit z provozu segment sítě
48 DoS ochrana Webové aplikace (aplikační vrstva) použití různých modulů pro webový server omezující využití prostředků pro jednotlivé uživatele např. modul mod_bandwidth u Apache HTTP serveru Sítě (transportní vrstva) definice paketového filtru např. SYN-cookies, proti útoku SYN-Floods používání aktivních síťových prvků se zabudovanou ochranou proti útokům např. komerční firewall DefensePro
49 Sociální inženýrství,ztráta identity Charakteristika Hrozby Tabulka zájmu zlodějů dat o sociální sítě podle země původu Obvyklé ceny komodit na černém trhu Zdroje phishingových útoků podle země původu Cíle phishingových útoků
50 Sociální inženýrství, ztráta identity Sociální sítě: seznamky chaty blogy Phishing podvržené y podvržené webové stránky podvodné telefonáty Získané informace se prodávají na černém trhu (underground market/economics)
51 Sociální inženýrství, ztráta identity Hrozby: použití důvěryhodného webu s chybou a jeho zneužití k dalšímu útoku hledají se informace o uživatelích ne chyby v systémech získané informacemi jsou prodávány na černém trhu a pak dále zneužívány potřeba okamžité reakce administrátorů na chyby v systémech uživatelů při prozrazení jejich důvěrných informací
52 TOP 10 zájem o komodity a jejich cena na černém trhu
53 Top 15 zájem o informace ze zemí a oblast zájmu o informace v dané zemi Listopad 2009, zdroj: Symantec
54 Phishing - ukázka
55 Zdroje a doporučená literatura Marshal.com Symantec.com Whitehatsec.com Kybernetická kriminalita Václav Jirovský Bojiště zítřka James F. Dunnigan Umění klamu Kevin Mitnick Wikipedia
56 Děkuji za pozornost Dotazy?
Vývoj Internetových Aplikací
10 Vývoj Internetových Aplikací Bezpečnost Ing. Michal Radecký, Ph.D. www.cs.vsb.cz/radecky https://www.ted.com/talks/mikko_hypponen_fighting_ viruses_defending_the_net Co je to Cyber kriminalita http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/
VíceTestování webových aplikací Seznam.cz
Testování webových aplikací Seznam.cz Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
VíceHitparáda webhackingu nestárnoucí hity. Roman Kümmel
Hitparáda webhackingu nestárnoucí hity Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
VíceCross-Site Scripting (XSS)
Cross-Site Scripting (XSS) Bc. Aleš Joska Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky 3. duben 2018 Aleš Joska Cross-Site Scripting (XSS) 3. duben 2018 1 / 16
VíceŠifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013
Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování
VíceCross- Site Request Forgery
Prez en tace k p řed n ášce o CSRF ú tocích Přip raven o p ro SOOM session #4 2007 Jiné ozna ení této zranitelnosti č Cross- Site Request Forgery CSRF Cross- Site Reference Forgery XSRF Historie CSRF (první
Více1 Webový server, instalace PHP a MySQL 13
Úvod 11 1 Webový server, instalace PHP a MySQL 13 Princip funkce webové aplikace 13 PHP 14 Principy tvorby a správy webového serveru a vývojářského počítače 14 Co je nezbytné k instalaci místního vývojářského
VíceAktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě
Aktuální hrozby internetu 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě Trojské koně Viz předchozí hodina. Škodlivý program, který v počítači vytváří podmínky pro přijímání dalších škodlivých programů.
VíceWeb Application Security aneb další. rozměr hackingu. XanthiX Soom session IV
Web Application Security aneb další rozměr hackingu XanthiX Struktura Uvedení do problematiky Vlastní výzkum v oblasti WAS Praktické ukázky Síla XSS aneb may the force be with you! Prohlížeč nebo systém
Více1. Webový server, instalace PHP a MySQL 13
Úvod 11 1. Webový server, instalace PHP a MySQL 13 Princip funkce webové aplikace 13 PHP 14 Principy tvorby a správy webového serveru a vývojářského počítače 14 Co je nezbytné k instalaci místního vývojářského
VícePHP a bezpečnost. nejen veřejná
PHP a bezpečnost nejen veřejná Navrhujeme bezpečné aplikace Efektivně spustitelných skriptů by mělo být co nejméně. V ideálním případě jen jeden "bootstrap" skript (index.php). Případně jeden bootstrap
VíceBezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše
Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové
VíceTypy bezpečnostních incidentů
Typy bezpečnostních incidentů Aleš Padrta CESNET, z. s. p. o. Praha 12.12. 2008 Obsah Úvodní slovo Co je to bezpečnostní incident Klasifikace bezpečnostních incidentů Pojmy související s bezpečnostními
VíceÚvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11
Obsah Úvodem 9 Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10 Kapitola 1 Než začneme 11 Dynamické vs. statické stránky 11 Co je a k čemu slouží PHP 12 Instalace potřebného softwarového
VíceCISCO CCNA I. 8. Rizika síťového narušení
CISCO CCNA I. 8. Rizika síťového narušení Základní pojmy Rizika Devastace sítě Ztráta dat a důležitých informací Ztráta kontroly nad sítí Následnéčasové ztráty Krádež dat Ztráta identity (bankovní operace
VíceInstalace a konfigurace web serveru. WA1 Martin Klíma
Instalace a konfigurace web serveru WA1 Martin Klíma Instalace a konfigurace Apache 1. Instalace stáhnout z http://httpd.apache.org/ nebo nějaký balíček předkonfigurovaného apache, např. WinLamp http://sourceforge.net/projects/winlamp/
VíceGymnázium a Střední odborná škola, Rokycany, Mládežníků 1115
Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 27 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek: Anotace: CZ.1.07/1.5.00/34.0410
VíceBezpečnost webových aplikací
Bezpečnost webových aplikací Začátek Bezpečnost webových aplikací Luboš Matějka Bezpečnost čeho? Zneužití Data na serveru Data uživatelů na PC Odesílaná data Odmítnutí Kompromitace serveru Odmítnutí služeb
Více17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/
17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/ Úvod 1 Úvod Nedávno jsem zveřejnil návod na vytvoření návštěvní knihy bez nutnosti použít databázi. To je výhodné tehdy, kdy na serveru
VíceVerze 1.x 2.x 3.x 4.x 5.x. X X X X uživatelům (správcům) systému Řazení dat v přehledech podle jednotlivých sloupců
Verze 1.x 2.x 3.x 4.x 5.x 6.x P@wouk Termín vydání 09/2004 01/2005 10/2005 10/2006 02/2007 10/2007 A D M I N I S T R Á T O R S K É W E B O V É R O Z H R A N Í Nastavení různé úrovně přístupových práv do
VíceNejčastější zranitelnosti webových aplikací. Pavel Bašta pavel.basta@nic.cz 30.11.2013
Nejčastější zranitelnosti webových aplikací Pavel Bašta pavel.basta@nic.cz 30.11.2013 CSIRT.CZ CSIRT, národní CSIRT, vládní CSIRT CSIRT.CZ - Národní CSIRT České republiky Založen v rámci plnění grantu
VíceZranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz
Zranitelnosti webových aplikací Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz Terminologie Zranitelnost (vulnerability) Slabina, která umožní utočníkovi snížit/obejít ochranu dat a informací Security
Více1. Úvod do Ajaxu 11. Jak Ajax funguje? 13
Obsah Úvodem 9 1. Úvod do Ajaxu 11 Jak Ajax funguje? 13 Popis 13 Ukázky 13 Jaké jsou možnosti tvorby interaktivních webových aplikací? 15 Co je třeba znát? 16 Jak fungují technologie Ajaxu 16 Jak funguje
VíceSTŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE
STŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE WEBOWÉ STRÁNKY TŘÍD KAMIL POPELKA ZÁVĚREČNÁ MATURITNÍ PRÁCE BRNO 2011 Prohlášení Prohlašuji, že maturitní práce je mým původním autorským dílem, které
VíceDatabázové aplikace pro internetové prostředí. 01 - PHP úvod, základní princip, vkládání skriptu, komentáře, výpis na obrazovku
Databázové aplikace pro internetové prostředí 01 - PHP úvod, základní princip, vkládání skriptu, komentáře, výpis na obrazovku Projekt: Inovace výuky prostřednictvím ICT Registrační číslo: CZ.1.07/1.5.00/34.250
VíceÚROVEŇ BEZPEČNOSTI INTERNETOVÝCH APLIKACÍ V ČESKÉ REPUBLICE SECURITY OF INTERNET APPLICATIONS IN THE CZECH REPUBLIC. Petr Zelenka
ÚROVEŇ BEZPEČNOSTI INTERNETOVÝCH APLIKACÍ V ČESKÉ REPUBLICE SECURITY OF INTERNET APPLICATIONS IN THE CZECH REPUBLIC Petr Zelenka Anotace: Článek se věnuje problematice bezpečnosti internetových aplikací.
VícePOLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. Některé aspekty kybernetické kriminality
POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU Některé aspekty kybernetické kriminality Doc. RNDr. Josef POŢÁR, CSc. - děkan 12. 4. 2011 1 Tato prezentace byla zpracována v rámci
VíceVstupní požadavky, doporučení a metodické pokyny
Název modulu: Základy PHP Označení: C9 Stručná charakteristika modulu Modul je orientován na tvorbu dynamických stánek aktualizovaných podle kontextu volání. Jazyk PHP umožňuje velmi jednoduchým způsobem
Více2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceInovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/34.0333 Vzdělávání v informačních a komunikačních technologií
VY_32_INOVACE_31_19 Škola Název projektu, reg. č. Vzdělávací oblast Vzdělávací obor Tematický okruh Téma Tematická oblast Název Autor Vytvořeno, pro obor, ročník Anotace Přínos/cílové kompetence Střední
VíceIng. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni
Webové aplikace Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni Harmonogram Dopolední blok 9:00 12:30 Ing. Dostal Úvod, XHTML + CSS Ing. Brada,
VíceZabezpečení proti SQL injection
Zabezpečení proti SQL injection ESO9 intranet a.s. Zpracoval: Tomáš Urych U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 19.9.2012 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz
VíceProblematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer
Problematika internetové bezpečnosti a obrany proti DDoS útokům Ing. Tomáš Havlíček Produktový manažer 11 11 2015 Účast v projektu FENIX ČD-T a internetová bezpečnost ČDT-MONITOR detekce bezpečnostních
VíceAdware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program
Adware ENISA Aktivní kybernetická obrana Aktivum Analýza hrozeb Analýza počítačového viru Antispamový filtr Antivirový program Asymetrická kryptografie Autenticita Autentizace (dat, identity, klíče, zprávy)
VíceMaturitní témata Školní rok: 2015/2016
Maturitní témata Školní rok: 2015/2016 Ředitel školy: Předmětová komise: Předseda předmětové komise: Předmět: PhDr. Karel Goš Informatika a výpočetní technika Mgr. Ivan Studnička Informatika a výpočetní
VíceFirewally a iptables. Přednáška číslo 12
Firewally a iptables Přednáška číslo 12 Firewall síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo zabezpečení. Druhy firewallu Podle
VíceIndividuální projekt z předmětu webových stránek 2012/2013 - Anketa
Individuální projekt z předmětu webových stránek 2012/2013 - Anketa Daniel Beznoskov, 2 IT A Skupina 1 Úvod Prohlášení o autorství Prohlašuji, že jsem individuální projekt z předmětu webových stránek na
VíceObrana sítě - základní principy
Obrana sítě - základní principy 6.6.2016 Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava Agenda Základní úvod, přehled designu sítí, technických prostředků a možností zabezpečení. Zaměřeno na nejčastější
VíceŠkodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007
Škodlivý kód, útok na aplikace Ing. Miloslav Hub, Ph.D. 5. prosince 2007 Viry (1) Nejstaršíforma škodlivého kódu. Základní funkce: Šíření Destrukce Techniky šíření: Bootovacíviry z diskety Souborové viry
VícePB169 Operační systémy a sítě
PB169 Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha Zabezpečení sítě úvod Důvody pro zabezpečení (interní) sítě? Nebezpečí ze strany veřejného Internetu Spyware Malware
VíceKurz je rozdělen do čtyř bloků, které je možné absolvovat i samostatně. Podmínkou pro vstup do kurzu je znalost problematiky kurzů předešlých.
Soubor kurzů XHTML, CSS, PHP a MySQL Kurz je rozdělen do čtyř bloků, které je možné absolvovat i samostatně. Podmínkou pro vstup do kurzu je znalost problematiky kurzů předešlých. Jeden blok se skládá
VíceJen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA hlavac@dcit.cz DCIT, a.s., http://www.dcit.cz
Jen technická ochrana nestačí Ing. Jindřich Hlaváč, CISA hlavac@dcit.cz DCIT, a.s., http://www.dcit.cz Statistika nuda je Statistika technologií 98 % uživatelů PC používá antivirový program 70 % uživatelů
Vícerychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek
rychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek Co je to webová aplikace? příklady virtuální obchodní dům intranetový IS podniku vyhledávací služby aplikace jako každá jiná přístupná
VíceInformační a komunikační technologie. 1.5 Malware
Informační a komunikační technologie 1.5 Malware Učební obor: Kadeřník, Kuchař-číšník Ročník: 1 Malware ( malicius - zákeřný) Mezi tuto skupinu patří: Viry Červi Trojské koně Spyware Adware... a další
VícePHP PHP je skriptovací programovací jazyk dynamických internetových stránek PHP je nezávislý na platformě
PHP PHP původně znamenalo Personal Home Page a vzniklo v roce 1996, od té doby prošlo velkými změnami a nyní tato zkratka znamená Hypertext Preprocessor. PHP je skriptovací programovací jazyk, určený především
VíceIT bezpečnost Phishing. Školení pro uživatele sítě WEBnet
IT bezpečnost Phishing Školení pro uživatele sítě WEBnet Jiří Čepák / pondělí 6. 11. 2017 ÚVOD Teroristický útok vs. Kybernetický útok Několik společných rysů Útočník (terorista vs. hacker) Cíl (skupina
VíceZabezpečení proti SQL injection
Zabezpečení proti SQL injection ESO9 intranet a.s. Zpracoval: Tomáš Urych U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 19.9.2012 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz
VíceProblematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer
Problematika internetové bezpečnosti a obrany proti DDoS útokům Ing. Tomáš Havlíček Produktový manažer 22 03 2016 ČD - Telematika a.s. Poskytuje služby servisu, správy a výstavby optických sítí, ICT a
VíceBohdan Lajčuk Mikulov
Bohdan Lajčuk Mikulov 21.10.2013 Co je to kybernetická bezpečnost? K Y B E R N E T I C K Á B E Z P E Č N O S T Souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění
VíceRegistrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost
Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence
VíceMalware. počítačové viry, počítačové červy, trojské koně, spyware, adware
Malware počítačové viry, počítačové červy, trojské koně, spyware, adware Malware Pod souhrnné označení malware se zahrnují počítačové viry, počítačové červy, trojské koně, spyware a adware Škodlivéprogramy
VíceStřední odborná škola a Střední odborné učiliště, Hořovice
Kód DUM : VY_32_INOVACE_DYN.1.19 Název materiálu: 19 PHP- Základy práce s databází PHP 2. část MySQL (Aplikace knihovna) Anotace Autor Jazyk Očekávaný výstup DUM je žákům průvodcem vytvoření databáze knih
VíceFormuláře. Internetové publikování. Formuláře - příklad
Formuláře Internetové publikování Formuláře - příklad 1 Formuláře - použití Odeslání dat od uživatele Možnosti zpracování dat Webová aplikace na serveru (ASP, PHP) Odeslání e-mailem Lokální script Formuláře
VíceDell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.
Dell SonicWALL Security tips & tricks Jan Ježek business communication s.r.o. Příklady bezpečnostních rizik Pasivní útoky iniciované zvenku Virus attacks, Malware & Spyware SPAM, Phishing Exploit (OS,
VíceHLEDEJCENY.mobi. Obsah. Mobilní verze e-shopu. Důvody instalace
Obsah HLEDEJCENY.mobi Mezi Vodami 1952/9 e-mail: info@hledejceny.cz HLEDEJCENY.mobi... 1 Mobilní verze e-shopu... 1 Důvody instalace... 1 Výhody... 2 Co je k mobilní verzi potřeba... 2 Objednávka služby...
VíceKybernetické hrozby - existuje komplexní řešení?
Kybernetické hrozby - existuje komplexní řešení? Cyber Security 2015, Praha 19.2.2015 Petr Špringl springl@invea.com Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email
VíceINOVACE PŘEDMĚTŮ ICT. MODUL 11: PROGRAMOVÁNÍ WEBOVÝCH APLIKLACÍ Metodika
Vyšší odborná škola ekonomická a zdravotnická a Střední škola, Boskovice INOVACE PŘEDMĚTŮ ICT MODUL 11: PROGRAMOVÁNÍ WEBOVÝCH APLIKLACÍ Metodika Zpracoval: Jaroslav Kotlán srpen 2009s Úvod Modul Programování
VíceObsah. Předmluva Kapitola 1 Úvod 1. Web v kostce 1 Kdo je webmaster? 4 Doporučená literatura 4. Kapitola 2 Přehled jazyka HTML 5
Předmluva xi Kapitola 1 Úvod 1 Web v kostce 1 Kdo je webmaster? 4 Doporučená literatura 4 Část I: HTML Kapitola 2 Přehled jazyka HTML 5 Struktura dokumentů HTML 10 Syntaxe jazyka HTML 10 Obsluha událostí
VíceProtokol HTTP 4IZ228 tvorba webových stránek a aplikací
4IZ228 tvorba webových stránek a aplikací Jirka Kosek Poslední modifikace: $Date: 2006/11/23 15:11:51 $ Obsah Úvod... 3 Co je to HTTP... 4 Základní model protokolu... 5 Struktura požadavku v HTTP 1.0 a
Více24.5.2008 Jaku b Su ch ý 1
Drupal API 24.5.2008 Jaku b Su ch ý 1 Témata Práce s databází Bezpečnost práce s Drupalem Forms API Jak udělat vlastní modul Hooks Lokalizace 24.5.2008 Jaku b Su ch ý 2 Práce s databází Drupal poskytuje
VíceZabezpečení kolejní sítě
Zabezpečení kolejní sítě Informační a administrační systém P@wouk Bezpečnostní hrozby, základní zabezpečení a prevence Ing. Tomáš Petránek tomas@petranek.eu Seminář o bezpečnosti a anonymitě na Internetu
VíceAplikační vrstva. Úvod do Php. Ing. Martin Dostal
Aplikační vrstva Úvod do Php Ing. Martin Dostal Co to je PHP? php soubory se nekompilují, interpret je spouští přímo bez překladu php běží na serveru php soubor je.txt soubor obsahující php kód: Zkrácený
VíceBezpečnost sítí. Bezpečnostní služby v sítích kategorie:
Bezpečnostní služby v sítích kategorie: utajení a důvěrnost dat ochrana před neautorizovaným únikem informací (šífrování) autentizace ověření totožnosti druhé komunikující strany (hesla, biometrie..) integrita
VíceNávod na používání webmailu
Návod na používání webmailu Každý student a zaměstnanec UTB má svoji vlastní školní e-mailovou schránku. K té se lze připojit buď pomocí webového klienta http://webmail.utb.cz, nebo libovolného e-mailového
VíceWebové stránky fotbalového klubu
Semestrální práce pro X36WWW Webové stránky fotbalového klubu DOKUMENTACE autor: David Komárek 1. Zadání Naprogramujte informační web fotbalového klubu. V klubu jsou registrována dvě mužstva, A mužstvo
VíceBezpečnost internetového bankovnictví, bankomaty
, bankomaty Filip Marada, filipmarada@gmail.com KM FJFI 15. května 2014 15. května 2014 1 / 18 Obsah prezentace 1 Bezpečnost internetového bankovnictví Možná rizika 2 Bankomaty Výběr z bankomatu Možná
VíceIT bezpečnost Phishing. Školení pro uživatele sítě WEBnet
IT bezpečnost Phishing Školení pro uživatele sítě WEBnet Jiří Čepák / úterý 10. 10. 2017 ÚVOD Teroristický útok vs. Kybernetický útok Několik společných rysů Útočník (terorista vs. hacker) Cíl (skupina
VíceINFORMAČNÍ SYSTÉMY NA WEBU
INFORMAČNÍ SYSTÉMY NA WEBU Webový informační systém je systém navržený pro provoz v podmínkách Internetu/intranetu, tzn. přístup na takový systém je realizován přes internetový prohlížeč. Použití internetového
VíceUživatel počítačové sítě
Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00
VíceAPS Administrator.OP
APS Administrator.OP Rozšiřující webový modul pro APS Administrator Přehled přítomnosti osob v oblastech a místnostech Instalační a uživatelská příručka 2004 2013,TECH FASS s.r.o., Věštínská 1611/19, Praha,
VíceWebová stránka. Matěj Klenka
Webová stránka Matěj Klenka Osobní webová stránka Toto je dokumentace k mé webové stránce This is a documentation to my web page Já, Matěj Klenka, prohlašuji, že má webová stránka byla vytvořena mnou a
VíceSSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
VíceInovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz
http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem Českérepubliky. Internet a zdroje Bezpečnost na Internetu Petr Jakubec Tomáš
VíceČíslo a název šablony III / 2 = Inovace a zkvalitnění výuky prostřednictvím ICT
Číslo projektu CZ.1.07/1.5.00/34.0556 Číslo a název šablony III / 2 = Inovace a zkvalitnění výuky prostřednictvím ICT klíčové aktivity Označení materiálu VY_32_INOVACE_SO_IKT_16 Název školy Střední průmyslová
VícePRŮBĚHOVÝ TEST Z PŘEDNÁŠEK
PRŮBĚHOVÝ TEST Z PŘEDNÁŠEK listopad 2009 souhrn v1 Červené dobře (nejspíš), modré možná Oracle Internet Directory OID: Databáze nemůže z OID přebírat seznam uživatelů *Databáze může získat z OID seznam
VíceKoláčky, sezení. Martin Klíma
Koláčky, sezení Martin Klíma UDRŽOVÁNÍ STAVU APLIKACE Udržování stavu aplikace 1. Pomocí skrytých polí (viz příklad wizard) 2. Pomocí obohacování odkazů 3. Pomocí cookies 4. Pomocí sessions Obohacování
VíceSYLABUS IT V. Jiří Kubica. Ostrava 2011
P MODULU SYLABUS IT V DÍLČÍ ČÁST PROGRAMOVÁNÍ BUSINESS APLIKACÍ PODNIKU Bronislav Heryán Jiří Kubica Ostrava 20 : Autoři: Vydání: Počet stran: Tisk: Vydala: Sylabus modulu IT v podniku Programování business
VíceNovinky ve FlowMon 6.x/FlowMon ADS 6.x
Novinky ve FlowMon 6.x/FlowMon ADS 6.x FlowMon je kompletní řešení pro monitorování a bezpečnost počítačových sítí, které je založeno na technologii sledování IP toků (NetFlow/IPFIX/sFlow) a analýze chování
VíceObsah. Úvodem 9. Kapitola 1 Než začneme 11. Kapitola 2 Dynamické zobrazování obsahu 25. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10
Obsah Úvodem 9 Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10 Kapitola 1 Než začneme 11 Dynamické vs. statické stránky 11 Co je a k čemu slouží PHP 12 Instalace potřebného softwarového
VíceInternet 2 css, skriptování, dynamické prvky
Internet 2 css, skriptování, dynamické prvky Martin Hejtmánek hejtmmar@fjfi.cvut.cz http://kmlinux.fjfi.cvut.cz/ hejtmmar Počítačový kurs Univerzity třetího věku na FJFI ČVUT Znalci 26. března 2009 Dnešní
VíceElektronická podpora výuky předmětu Komprese dat
Elektronická podpora výuky předmětu Komprese dat Vojtěch Ouška ouskav1@fel.cvut.cz 19. června 2006 Vojtěch Ouška Elektronická podpora výuky předmětu Komprese dat - 1 /15 Co je to SyVyKod? SyVyKod = Systém
VíceCross Site Request Forgery
Cross Site Request Forgery Útok.cCuMiNn. stupeň obtížnosti Na Internetu se můžete chovat jakkoliv obezřetně, ale jakmile jednou navštívíte webovou stránku nebo kliknete na odkaz, nemůžete si již být jisti,
VíceObsah. Rozdíly mezi systémy Joomla 1.0 a 1.5...15 Systém Joomla coby jednička online komunity...16 Shrnutí...16
Obsah Kapitola 1 Seznámení se systémem Joomla!................................. 9 Přehled systémů pro správu obsahu....................................................10 Použití systému pro správu obsahu.....................................................11
VíceInternet cvičení. ZS 2009/10, Cvičení 3.,8.12.2009. Tomáš Pop. DISTRIBUTED SYSTEMS RESEARCH GROUP http://dsrg.mff.cuni.cz
Internet cvičení ZS 2009/10, Cvičení 3.,8.12.2009 Tomáš Pop DISTRIBUTED SYSTEMS RESEARCH GROUP http://dsrg.mff.cuni.cz CHARLES UNIVERSITY PRAGUE Faculty of Mathematics and Physics Java Script obecně Moc
VíceBezpečnostní zásady. Příloha č. 1 k Podmínkám České národní banky pro používání služby ABO-K internetové bankovnictví
Bezpečnostní zásady Česká národní banka (ČNB) věnuje trvalou pozornost nadstandardnímu zabezpečení aplikace ABO-K internetové bankovnictví (dále jen ABO-K ), proto využívá moderní technologie pro ochranu
VíceAnalýza aplikačních protokolů
ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická PROJEKT Č. 4 Analýza aplikačních protokolů Vypracoval: V rámci předmětu: Jan HLÍDEK Komunikace v datových sítích (X32KDS) Měřeno: 28. 4. 2008
Vícepřes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek tomas@petranek.eu
Open Sourceřešení správy studentských počítačových sítí na kolejích SU OPF Karviná aneb cesta, jak efektivně administrovat síť a její uživatele přes webový prohlížeč pomocí P@wouka Ing. Tomáš Petránek
VíceRelační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.
Aplikační vrstva http-protokol, díky kterému je možné zobrazovat webové stránky. -Protokol dokáže přenášet jakékoliv soubory (stránky, obrázky, ) a používá se také k různým dalším službám na internetu
VíceOchrana prezentací vytvořených v systému Visual PHP proti vnějším útokům
Ochrana prezentací vytvořených v systému Visual PHP proti vnějším útokům 1 Cross Site Scripting (XSS) Problém: Nejobvyklejší a nejběžnější chyba zabezpečení webových aplikací. XSS vznikne v okamžiku, kdy
VíceBezpečnost sítí útoky
Bezpečnost sítí útoky na počítač číhá mnoho rizik napadení místním uživatelem (krádež/poškození dat) napadení po síti krádež požár,... ochrana něco stojí (peníze, komfort, flexibilitu,...) je třeba chovat
VíceWNC::WebNucleatCreator
Tomáš Dlouhý WNC::WebNucleatCreator Verze: 5.1 1 Obsah Obsah...2 Úvod...3 Novinky...3 Požadavky...4 Instalace...4 Přihlášení se do WNC...6 Moduly...7 Modul Blog...7 Modul Categories...8 Modul News...8
Vícelanguage="javascript">... </script>.
WWW (World Wide Web) je dnes společně s elektronickou poštou nejvyužívanější službou internetu. URL (Uniform Resource Locator) slouží ke kompletní adresaci informace na internetu. Udává jak protokol, který
VíceStřední odborná škola a Střední odborné učiliště, Hořovice
Kód DUM : VY_32_INOVACE_DYN.1.18 Název materiálu: Anotace Autor Jazyk Očekávaný výstup 18 PHP- Základy práce s databází PHP - MySQL DUM naučí žáky postupu při vytvoření, připojení databáze a vytvoření
VíceDalibor Kačmář 21. 9. 2015
Dalibor Kačmář 21. 9. 2015 200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná
VíceTřídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);
Programovací jazyk PHP doc. Ing. Miroslav Beneš, Ph.D. katedra informatiky FEI VŠB-TUO A-1007 / 597 324 213 http://www.cs.vsb.cz/benes Miroslav.Benes@vsb.cz Obsah Třídy a objekty Výjimky Webové aplikace
VíceVýukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/21.2374, Modernizace výuky
Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/21.2374, Modernizace výuky Šablona: III/2 Sada: 3 Ověření ve výuce: (nutno poznamenat v TK) Třída: IX.A Datum: 10. 12. 2013 IX.B 17. 12. 2013
VíceDUM č. 11 v sadě. 36. Inf-12 Počítačové sítě
projekt GML Brno Docens DUM č. 11 v sadě 36. Inf-12 Počítačové sítě Autor: Lukáš Rýdlo Datum: 06.05.2014 Ročník: 3AV, 3AF Anotace DUMu: WWW, HTML, HTTP, HTTPS, webhosting Materiály jsou určeny pro bezplatné
VíceSnadný vývoj webových aplikací s Nette. Lukáš Jelínek
Snadný vývoj webových aplikací s Nette Lukáš Jelínek Proč framework? ušetří spoustu práce (implementace, úpravy) vývoj = co udělat, ne jak to udělat bezpečnost štábní kultura prostředky pro ladění podpora
VíceÚvod do informačních služeb Internetu
Úvod do informačních služeb Internetu Rozdělení počítačových sítí Počítačové sítě se obecně rozdělují do základních typů podle toho, na jak velkém území spojují počítače a jaké spojovací prostředky k tomu
Více1.1. Základní informace o aplikacích pro pacienta
Registrace a aktivace uživatelského profilu k přístupu do aplikace systému erecept pro pacienta, přihlášení do aplikace systému erecept pro pacienta na základě registrovaného profilu v NIA nebo elektronického
Více