Bezpečnost webových aplikací v ASP.NET
|
|
- Rudolf Procházka
- před 8 lety
- Počet zobrazení:
Transkript
1 Jakub Čermák Software fox, HAVIT, s.r.o. Bezpečnost webových aplikací v ASP.NET
2 Agenda Obecné zásady, kryptografická primitiva Běžné útoky a chyby A8 CSRF Overposting A3 XSS, CSP
3 Obecné zásady Nikdy nevěřte klientovi či klientské validaci Hiddenfield, <option>, Nikdy security by obscurity Používejte hotová kryptografické primitiva Útoky na implementaci
4 Hotová kryptografická primitiva Běžné věci přímo v.netu Jaké zvolit parametry? -> SecurityDriven.NET Inferno
5 Hashujeme Kontrola integrity dat proti poškození Rychlé porovnávání velkých dat Hesla Ne MD5, ne SHA1 SHA-2 PBDKF2 / Bcrypt/ scrypt Solíme Kryprografickysilná náhodná čísla Ne Random Dlouhé, unikátní DEMO: hashujeme hesla
6 Hashujemes klíčem HMAC, symetrický podpis Zabezpečení přes nezabezpečený kanál Přihlašovací tokeny, ověřovací kódy, resety hesla, DEMO: hmac
7 Šifrujeme symetricky Šifrování a dešifrování pomocí stejného klíče AES, Blowfish Zabezpečení externího úložiště dat aplikace Azure Storage
8 Šifrujeme asymetricky Veřejný klíč pro šifrování Soukromý klíč pro dešifrování RSA Posílání tajných dat po nezabezpečeném kanále Kombinace se symetrickou šifrou asymetricky šifruji náhodný klíč pro symetrickou šifru Rychlost Více klíčů více konzumentů (šifrování NTFS) DEMO: šifrování
9 Nejčastější závažné chyby aplikací OWASP top 10
10 Crosssiterequestforgery(OWASP A8) Naše aplikace umí mazat uživatele pomocí požadavku na /Admin/DeleteUser/ Útočník donutí oběť na tuto URL přistoupit (zpráva na foru, ajax, iframe,...) => oběť nevědomky smaže uživatele Metody obrany Antiforgerytoken Žádný GET DEMO: csrf + antiforgery
11 X-Frame-Options Hlavička odpovědi omezující použití zdroje jako zdroj pro <iframe> Znají ji browsery a dle toho nezobrazí iframe Možné vlastnosti: DENY -nikdy nepovolit SAMEORIGIN jen ze stejné domény ALLOW-FROM uri explicitní povolení vypsaných URI
12 Cross-origin resource sharing Omezení přístupu k REST službám / zdrojům Př. Zdroj example.com/api/deleteuser AJAX rest api Mám aplikaci na myapp.com doméně Z aplikace chci AJAXem přistupovat na DeleteUser Výchozí NELZE je na jiné doméně Je třeba explicitně povolit pomocí HTTP hlaviček posálaných cílovým zdrojem
13 DEMO: cors na CorsResource CORS posílané hlavičky Zjednodušený (GET-only, bez cookie): Origin: http// (posílá browser) Access-Control-Allow-Origin: Preflight check předpožadavek OPTION na zdroj zjišťující oprávnění Access-Control-Allow-Origin: Access-Control-Allow-Methods: PUT, DELETE Access-Control-Allow-Credentials: true
14 CORS podpora ve web api Nuget Microsoft.AspNet.Cors Konfigurace config.enablecors(); Na controlleru [EnableCors(origins: " headers: "*", methods: "*")]
15 MVC Over-posting MVC binder vyplní všechny propertíes na přijatém modelu (nebo TryUpdateModel), které dostane i když jsme nedělali pro ně input Registrace uživatele, model = entita z DB, má vlastnost IsAdmin Útočník ručně přidá hidden input s hodnotou IsAdmin=true => proběhne binding => máme nového admina
16 MVC Over-posting Nebindovat entity, ale ViewModely Pro každou akci mít vlastní, bez závadných properties V UI fasádě převést viewmodely na entity / business obj. Bindovat interface TryUpdateModel<IUserInputModel>(user); Bind atribut na parametru ViewResultEdit([Bind(Include = "FirstName")] User user) ViewResultEdit([Bind(Exclude = "IsAdmin")] User user) ReadOnly atribut na property bindovaného modelu DEMO: overposting registrace
17 XSS Typ injection; vkládání zlých věci do hodné stránky Vzdálené spouštění skriptů krádeže dat či identity CSRF
18 XSS (2) Persistentní (stored) Ukládané do db Typicky formuláře, fora, HTTP hlavičky při logování Nepersistentní (reflected) Součástí URL V mailech, na forech Provede přesměrování -phishing, načte zlý skript DEMO: XSS
19 XSS hlídání vstupů Neřešit adminstránky Zakázat Vlastní značovacíjazyk BBCode Sanitize Whitelistingtagůa atributů! Classjacking Temná zákoutí html -<button form="test" formaction="javascript:xxx">x</button> hlídat URL, cesty k souborům
20 Content Security Policy Omezení zdrojů přidruženého obsahu pomocí whitelistingu URL Zákaz obrázků z nepovolených domén Zákaz skriptů či inline skriptů... HTTP Hlavička Content-Security-Policy:default-src self cdn.moje.cz ; script-src none
21 CSP (2) -direktivy Child-src iframe Connect-src AJAX Font-src fonty Form-action omezení URL formulářů (experimental) Frame-ancestors X-Frame-Options Img-src Media-src audio, video Object-src -
22 CSP (3) -zdroje Cdn.domain.cz, *.domain.cz, * -vše none nic self jen aktuální doména Data: -povolení data-uri https: -jen pomocí šifrovaného spojení unsafe-inline unsafe-eval
23 CSP -nonce Explicitní povolení konkrétních inline skriptů/stylů/... Uvedení sha256 vkládaného inline skriptu Uvedení nonce Content-Security-Policy: default-src self'; script-src self 'nonce-rand <script type="text/javascript" nonce= RAND"> alert('inline skript test'); </script> DEMO: nonce
24 CSP -reporting Direktiva report-uri Bonzuje všechna porušení CSP Content-Security-Policy-Report-Only Pravidla nanečisto Pouze reporting, neblokuje DEMO: reporting
25 Insecure Direct Object References Častá chyba Skrytí tlačítka, neověření přístupu na konkrétní stránku Missing Function Level Access Control Varianta samého
26 OWASP Top 10 -nemusíme řešit A1 (SQL) Injection Vždy používat SQL parametry nebo ORM A2 BrokenAuthand Session Management Vestavěné řešení ve frameworku A5 SecurityMisconfiguration IIS a WinServer dosti restriktivní by default A6 Sensitive Data Exposure Web.configchráněn by default, vše mít tam Hashovathesla, pozor na okolní kanály zálohy, vývojové odlití produkční db A9 UsingcomponentswithKnownVulnerabilities Nuget
27 Tajná zbraň
28 Závěr Obecné zásady, kryptografická primitiva Běžné útoky a chyby A8 CSRF Overposting A3 XSS, CSP Kontakt: Jakub Čermák; jakub@jcermak.cz
HTTP hlavičky pro bezpečnější web
HTTP hlavičky pro bezpečnější web Petr Krčmář 13. dubna 2019 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) HTTP hlavičky
Testování webových aplikací Seznam.cz
Testování webových aplikací Seznam.cz Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
Zabezpečení web aplikací
Zabezpečení web aplikací Radomír Orkáč, Martin Černáč 2018-04-26, Praha, Seminar Proaktini bezpecnost 1 Rozdělení chyb Každý program je buď triviální, nebo obsahuje alespoň jednu chybu. Oblasti dle výskytu
Content Security Policy
Content Security Policy Nový přístup v boji proti XSS 2011.cCuMiNn. Cross Site Scripting (XSS) XSS je všudypřítomné výskyt cca v 80% webových aplikací Webový browser nevidí rozdíl mezi legitimním skriptem
Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz
Zranitelnosti webových aplikací Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz Terminologie Zranitelnost (vulnerability) Slabina, která umožní utočníkovi snížit/obejít ochranu dat a informací Security
Hitparáda webhackingu nestárnoucí hity. Roman Kümmel
Hitparáda webhackingu nestárnoucí hity Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci
Obsah přednášky. Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework
Web Jaroslav Nečas Obsah přednášky Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework Co to je web HTTP protokol bezstavový GET POST HEAD Cookies Session HTTPS
Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013
Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: Webové aplikace
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 18.4.2016 Webové aplikace JSON, AJAX/AJAJ, zpracování na straně JS, JSONP, proxy, REST strana 2 JSON objekt JavaScript Object Notation { "nazev": hodnota, "cislo":
Cross- Site Request Forgery
Prez en tace k p řed n ášce o CSRF ú tocích Přip raven o p ro SOOM session #4 2007 Jiné ozna ení této zranitelnosti č Cross- Site Request Forgery CSRF Cross- Site Reference Forgery XSRF Historie CSRF (první
Část IV - Bezpečnost 21. Kapitola 19 Bezpečnostní model ASP.NET 23
5 Obsah O autorech 15 O odborných korektorech 15 Úvod 16 Rozdělení knihy 16 Komu je tato kniha určena? 18 Co potřebujete, abyste mohli pracovat s touto knihou? 18 Sdělte nám svůj názor 18 Zdrojové kódy
Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) Bc. Aleš Joska Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky 3. duben 2018 Aleš Joska Cross-Site Scripting (XSS) 3. duben 2018 1 / 16
Vývoj Internetových Aplikací
10 Vývoj Internetových Aplikací Bezpečnost Ing. Michal Radecký, Ph.D. www.cs.vsb.cz/radecky https://www.ted.com/talks/mikko_hypponen_fighting_ viruses_defending_the_net Co je to Cyber kriminalita http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/
GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula
GDPR A INFORMAČNÍ SYSTÉM Nadežda Andrejčíková Libor Piškula GDPR a informační systém Obsah: 1. Principy ochrany 2. Legitimnost zpracování osobních údajů 3. Praktické dopady GDPR 4. Technologické aspekty
PHP a bezpečnost. nejen veřejná
PHP a bezpečnost nejen veřejná Navrhujeme bezpečné aplikace Efektivně spustitelných skriptů by mělo být co nejméně. V ideálním případě jen jeden "bootstrap" skript (index.php). Případně jeden bootstrap
Demilitarizovaná zóna (DMZ)
Demilitarizovaná zóna (DMZ) Bezpečnostní seminář ČP AFCEA Aktuální trendy v zabezpečení DMZ Dalibor Sommer/ březen 2013 Agenda HP Enterprise Security Strategy Aktuální bezpečnostní hrozby SDN a jeho využití
Protokol HTTP 4IZ228 tvorba webových stránek a aplikací
4IZ228 tvorba webových stránek a aplikací Jirka Kosek Poslední modifikace: $Date: 2006/11/23 15:11:51 $ Obsah Úvod... 3 Co je to HTTP... 4 Základní model protokolu... 5 Struktura požadavku v HTTP 1.0 a
Nejčastější zranitelnosti webových aplikací. Pavel Bašta pavel.basta@nic.cz 30.11.2013
Nejčastější zranitelnosti webových aplikací Pavel Bašta pavel.basta@nic.cz 30.11.2013 CSIRT.CZ CSIRT, národní CSIRT, vládní CSIRT CSIRT.CZ - Národní CSIRT České republiky Založen v rámci plnění grantu
Bezpečnost internetového bankovnictví, bankomaty
, bankomaty Filip Marada, filipmarada@gmail.com KM FJFI 15. května 2014 15. května 2014 1 / 18 Obsah prezentace 1 Bezpečnost internetového bankovnictví Možná rizika 2 Bankomaty Výběr z bankomatu Možná
Programování v jazyku C# II. 8.kapitola
Programování v jazyku C# II. 8.kapitola Obsah Kontrolky Validace Stavy Bezpečnost 2/27 Web formuláře Kontrolky na formuláři označené atributem runat="server" HTML kontrolky těsně kopírují rozhraní dané
Snadný vývoj webových aplikací s Nette. Lukáš Jelínek
Snadný vývoj webových aplikací s Nette Lukáš Jelínek Proč framework? ušetří spoustu práce (implementace, úpravy) vývoj = co udělat, ne jak to udělat bezpečnost štábní kultura prostředky pro ladění podpora
AJAX. Dynamické změny obsahu stránek
AJAX Dynamické změny obsahu stránek Co je AJAX Co je AJAX Co je AJAX Co je AJAX Co je AJAX AJAX = Asynchronous JavaScript And XML XHR = XMLHttpRequest Ajax je sada technik a nástrojů, které umožňují dynamické
WCF. IW5 - Programování v.net a C# WCF
IW5 - Programování v.net a C# Strana 1 Obsah přednášky Představení Konfigurace hosta Vygenerování klienta Několik názorných příkladů Strana 2 Co to je Windows Communication Foundation Náhrada za COM, DCOM,.NET
Bezpečnost a bezpečné programování
Bezpečnost a bezpečné programování 10. Bezpečnost webových aplikací Ing. Tomáš Zahradnický, EUR ING, Ph.D. České vysoké učení technické v Praze Fakulta informačních technologií Katedra počítačových systémů
Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.
Dell SonicWALL Security tips & tricks Jan Ježek business communication s.r.o. Příklady bezpečnostních rizik Pasivní útoky iniciované zvenku Virus attacks, Malware & Spyware SPAM, Phishing Exploit (OS,
ASP.NET Core 1.0: OCHRANA CITLIVÝCH INFORMACÍ
ASP.NET Core 1.0: OCHRANA CITLIVÝCH INFORMACÍ Michal Altair Valášek Development & Security Consultant Altairis, s. r. o. Microsoft Most Valuable Professional michal.valasek@altairis.cz ask.fm/ridercz KRYPTOGRAFIE
Vhodnost nasazení jednotlivých webových architektur, sdílení dat, perzistence, webové služby a REST, asynchronnost, messaging
Vhodnost nasazení jednotlivých webových architektur, sdílení dat, perzistence, webové služby a REST, asynchronnost, messaging 1. Vhodnost nasazení jednotlivých webových architektur - toto je podle Klímy
Datové schránky ante portas
Datové schránky ante portas tak Nepropadejte panice! Bezpečnost poprvé CSRF/XSRF CSRF/XSRF CSRF/XSRF SCRIPT SRC 'Image' Object var mess = new Image(); mess.src
Microsoft Azure Workshop
Miroslav Holec Developer Evangelist Microsoft MVP: Microsoft Azure, MCSD Microsoft Student Partner Lead miroslavholec.cz @miroslavholec Microsoft Azure Workshop Software Engineer HAVIT, s.r.o. Agenda ODKAZY
24.5.2008 Jaku b Su ch ý 1
Drupal API 24.5.2008 Jaku b Su ch ý 1 Témata Práce s databází Bezpečnost práce s Drupalem Forms API Jak udělat vlastní modul Hooks Lokalizace 24.5.2008 Jaku b Su ch ý 2 Práce s databází Drupal poskytuje
Bezpečnost SingleCase
Bezpečnost SingleCase (aktualizace 29. 11. 2016) BEZPEČNOST DAT A POVINNOST MLČENLIVOSTI ADVOKÁTA... 2 MÍSTO A ZPŮSOB ULOŽENÍ DAT... 2 ZÁLOHOVÁNÍ A EXPORT... 2 ŘÍZENÍ PŘÍSTUPU K DATŮM A TECHNICKÉ OPATŘENÍ
Systém zabezpečení dat
Systém zabezpečení dat (aktualizace 9. 1. 2017) Tímto dokumentem se my, společnost Single Case, s.r.o., se sídlem Národní 973/41, Staré Město, 110 00 Praha 1, IČO: 02894815, zapsaná v obchodním rejstříku
SSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
MVVM pro desktop i web
MVVM pro desktop i web Tomáš Herceg CEO @ RIGANTI Co-founder of Update Conference Microsoft MVP tomas.herceg@riganti.cz @hercegtomas www.tomasherceg.com/blog MVVM Model View ViewModel { firstname: "Humphrey",
RESTful API TAMZ 1. Cvičení 11
RESTful API TAMZ 1 Cvičení 11 REST Architektura rozhraní navržená pro distribuované prostředí Pojem REST byl představen v roce 2000 v disertační práci Roye Fieldinga, zkratka z Representional State Transfer
HP JetAdvantage Management. Oficiální zpráva o zabezpečení
HP JetAdvantage Management Oficiální zpráva o zabezpečení Copyright a licence 2015 Copyright HP Development Company, L.P. Kopírování, úpravy nebo překlad bez předchozího písemného souhlasu jsou zakázány,
1. Webové služby. K čemu slouží? 2. RPC Web Service. 3. SOA Web Service. 4. RESTful Web services
13. Webové služby. K čemu slouží? Popis a vyhledávání služeb. Co je a k čemu slouží orchestrace a choreografie služeb. Technologie pro implementaci služeb 1. Webové služby. K čemu slouží? Definice WS -
Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal
Návrh a implementace bezpečnosti v podnikových aplikacích Pavel Horal Obsah přednášky úvod do problematiky aplikace, bezpečnost, základní pojmy informační bezpečnost, řízení
Formuláře. Internetové publikování. Formuláře - příklad
Formuláře Internetové publikování Formuláře - příklad 1 Formuláře - použití Odeslání dat od uživatele Možnosti zpracování dat Webová aplikace na serveru (ASP, PHP) Odeslání e-mailem Lokální script Formuláře
Group policy. Jan Žák
Group policy Jan Žák K čemu Group Policy? Pořadí zpracování GP Group Policy lokálního počítače Group Policy objekty pro sídlo (site) Group Policy objekty pro doménu Group Policy objekty pro organizační
Užitečné odkazy: http://en.wikipedia.org/wiki/list_of_http_status_codes
Užitečné odkazy: http://en.wikipedia.org/wiki/list_of_http_status_codes Metoda PUT protokolu HTTP slouží k dotazu na možnou komunikaci se serverem na konkrétní URL analýze způsobu připojení zjištění typu
Základy HTML, URL, HTTP, druhy skriptování, formuláře
Základy HTML, URL, HTTP, druhy skriptování, formuláře Skriptování na straně klienta a serveru Skriptování na straně klienta se provádí pomocí programovacího jazyka JavaScript, který je vkládán do HTML
Zabezpečení proti SQL injection
Zabezpečení proti SQL injection ESO9 intranet a.s. Zpracoval: Tomáš Urych U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 19.9.2012 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz
ISZR Referenční agent.net
Informační systém základních registrů ISZR Referenční agent.net Název dokumentu: ISZR Referenční agent.net Verze: 1.04 Projekt: ISZR Stádium: Pracovní Autor/Autoři: Pavel Odstrčil Jméno souboru: ISZR Referenční
Úvod do aplikací internetu a přehled možností při tvorbě webu
CVT6 01a Úvod do aplikací internetu a přehled možností při tvorbě webu Internet a www Internet? Služby www ftp e-mail telnet NetNews konference IM komunikace Chaty Remote Access P2P aplikace Online games
Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008
Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008 1. Instalace na straně serveru Instalace aplikace BB24 24x7 vyžaduje základní znalosti z administrace SQL serveru. Při dodržení následujícího
Pokročilé Webové služby a Caché security. Š. Havlíček
Pokročilé Webové služby a Caché security Š. Havlíček Webové služby co se tím míní? Webová služba metoda komunikace mezi dvěma elektronickými zařízeními přes internet Typicky jsou pomocí rozhraní přístupné
Zabezpečení platformy SOA. Michal Opatřil Corinex Group
Zabezpečení platformy Michal Opatřil Corinex Group Agenda Současný přístup k bezpečnosti Požadavky zákazníků CA Security Manager Architektura Klíčové vlastnosti Proč CA Security Manager CA 2 Security Manager
Úvod do tvorby internetových aplikací
CVT6 01a Úvod do tvorby internetových aplikací Osnova předmětu (X)HTML a tvorba webu pomocí přímého zápisu kódu Tvorba web designu a skládání stránek z kousků Skriptovací jazyky na webu Návrh software
Server-side technologie pro webové aplikace
Server-side technologie pro webové aplikace PIA 2011/2012 Téma 6 Copyright 2006 Přemysl Brada, Západočeská univerzita Server-side scriptování Cíl dynamické generování webového obsahu/rozhraní integrace
Třídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);
Programovací jazyk PHP doc. Ing. Miroslav Beneš, Ph.D. katedra informatiky FEI VŠB-TUO A-1007 / 597 324 213 http://www.cs.vsb.cz/benes Miroslav.Benes@vsb.cz Obsah Třídy a objekty Výjimky Webové aplikace
Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni
Webové aplikace Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni Harmonogram Dopolední blok 9:00 12:30 Ing. Dostal Úvod, XHTML + CSS Ing. Brada,
WWW technologie. HTTP protokol
WWW technologie HTTP protokol HTTP protokol Princip - klient server - klient zašle požadavek (request), obdrží odpověď (response). klient request server response Verze - HTTP protokol HTTP 0.9 HTTP 1.0
Bezpečnost. Michal Dočekal
Michal Dočekal 2011 Právní doložka Právní doložka autor není právník autor neručí za pravdivost uvedených informací autor neručí za jakékoliv případné škody způsobené uvedenými informaci Osnova 1 Bezpečnost
Nasazení OAuth 2.0 pro systém Perun
Masarykova univerzita Fakulta informatiky Nasazení OAuth 2.0 pro systém Perun Bakalářská práce Ondřej Velíšek Brno, jaro 2016 Místo tohoto listu vložte kopie oficiálního podepsaného zadání práce a prohlášení
Zabezpečení webové vrstvy a EJB projektu Část nastavení specifická pro Glassfish, část dána Java EE
X33EJA Security, Realms Zabezpečení webové vrstvy a EJB projektu Část nastavení specifická pro Glassfish, část dána Java EE 'web.xml' 'glassfish-web.xml' dále nutno nastavit realm v admin. konzoli GF 1
Autentizace webových aplikací z pohledu NEbezpečnosti. Oldřich Válka Security
Autentizace webových aplikací z pohledu NEbezpečnosti. Oldřich Válka Security 2010 17.02.2010 Úvod - základní typy autentizací. Basic Digest NTLM Formulářová Autentizace pomocí Certifikátu Autentizace
1. Úvod do Ajaxu 11. Jak Ajax funguje? 13
Obsah Úvodem 9 1. Úvod do Ajaxu 11 Jak Ajax funguje? 13 Popis 13 Ukázky 13 Jaké jsou možnosti tvorby interaktivních webových aplikací? 15 Co je třeba znát? 16 Jak fungují technologie Ajaxu 16 Jak funguje
IdM v prostředí ZČU v Plzni
IdM v prostředí ZČU v Plzni Pavel Jindra, František Dvořák Západočeská univerzita v Plzni 26.11.2015, Seminář IdM CESNET Obsah Západočeská univerzita - z pohledu IT Identity Management Sun IdM - resource
KIV/PIA 2013 Jan Tichava
KIV/PIA 2013 Jan Tichava Java EE JSF, PrimeFaces Spring JPA, EclipseLink Java Platform, Enterprise Edition Persistence Zobrazovací vrstva Interakce aplikací Deployment Java Persistence API Enterprise
Návrh a tvorba WWW stránek 1/8. Formuláře
Návrh a tvorba WWW stránek 1/8 Formuláře význam předávání hodnot od uživatele skriptům mezi značkami a základní atributy action definuje obslužný skript, nelze v XHTML method metoda, kterou
7. Integrita a bezpečnost dat v DBS
7. Integrita a bezpečnost dat v DBS 7.1. Implementace integritních omezení... 2 7.1.1. Databázové triggery... 5 7.2. Zajištění bezpečnosti dat... 12 7.2.1. Bezpečnostní mechanismy poskytované SŘBD... 13
7. Integrita a bezpečnost dat v DBS
7. Integrita a bezpečnost dat v DBS 7.1. Implementace integritních omezení... 2 7.1.1. Databázové triggery... 5 7.2. Zajištění bezpečnosti dat... 12 7.2.1. Bezpečnostní mechanismy poskytované SŘBD... 13
Web Application Security aneb další. rozměr hackingu. XanthiX Soom session IV
Web Application Security aneb další rozměr hackingu XanthiX Struktura Uvedení do problematiky Vlastní výzkum v oblasti WAS Praktické ukázky Síla XSS aneb may the force be with you! Prohlížeč nebo systém
Vladimír Mach. @vladimirmach 2. 1. 2013
Vladimír Mach @vladimirmach 2. 1. 2013 SQL Server Compact Edition Jednoduchá relační databáze Použití i v malých zařízeních s omezenými zdroji Dříve pod názvem SQL Server Mobile Časté využití při programování
Informatika / bezpečnost
Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo
Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták
Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták 25.4.2005 Obsah Úvod Vrstvy podle TCP/IP Požadavek / Odpověď Metody požadavku Hlavičky Kódy odpovědi Ukázka 25.4.2005 Pavel
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 12.2.2015 Webové aplikace
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 12.2.2015 Webové aplikace Úvod strana 2 Vyučující Ing. Jiří Lýsek, Ph.D. Ing. Oldřich Faldík https://akela.mendelu.cz/~lysek/ https://akela.mendelu.cz/~xfaldik/wa/
APS 400 nadministrator
APS 400 APS 400 nadministrator Balík programů pro správu systému APS 400 Instalační příručka 2004 2008,TECH FASS s.r.o., Plavecká 503, 252 42 Jesenice, www.techfass.cz, techfass@techfass.cz (vydáno dne
INFORMAČNÍ SYSTÉMY NA WEBU
INFORMAČNÍ SYSTÉMY NA WEBU Webový informační systém je systém navržený pro provoz v podmínkách Internetu/intranetu, tzn. přístup na takový systém je realizován přes internetový prohlížeč. Použití internetového
Informační systém pro e-learning manuál
Informační systém pro e-learning manuál Verze 1.00 Úvod Tento dokument popisuje způsob práce s informačním systémem pro elektronické vzdělávání. Systém je určený pro vytvoření elektronického kurzu a jeho
Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol
Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém
Compatibility List. GORDIC spol. s r. o. Verze 3.60.5 8.4.2009
Compatibility List Verze 3.60.5 8.4.2009 GORDIC spol. s r. o. Copyright 1993-2009 1 Obsah Obsah 1 2 3 4 5 6 7 8 9 3.1 3.2 Úvodní informace Podporované databázové systémy Klientské prostředí Tlustý klient...
Diagnostika webových aplikací v Azure
Miroslav Holec Software Engineer Microsoft MVP: Microsoft Azure MCSD, MCSA, MSP Lead miroslavholec.cz @miroslavholec Diagnostika webových aplikací v Azure 18. 03. 10. 03. Brno Diagnostic tools in Microsoft
SPECIFIKACE PŘEDMĚTU PLNĚNÍ
SPECIFIKACE PŘEDMĚTU PLNĚNÍ pro zakázku, na kterou se nevztahuje postup pro zadávací řízení dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek Název zakázky IT Vzdělávání zaměstnanců UBK s.r.o. Základní
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: Webové aplikace
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 13. 2. 2019 Webové aplikace Autentizace, uživatelsky orientované aplikace, internacionalizace a lokalizace strana 2 Autentizace Proces ověření identity uživatele
Efektivní řízení rizik webových a portálových aplikací
Efektivní řízení rizik webových a portálových aplikací CLEVERLANCE Enterprise Solutions a.s. Ing. Jan Guzanič, CISA, Senior IT Security Consultant Mob.: +420 602 566 693 Email: jan.guzanic@cleverlance.com
Instalace a první spuštění Programu Job Abacus Pro
Instalace a první spuštění Programu Job Abacus Pro Pro chod programu je nutné mít nainstalované databázové úložiště, které je připraveno v instalačním balíčku GAMP, který si stáhnete z našich webových
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: Webové technologie
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 18.4.2017 Webové technologie RIA, SPA, AngularJS - šablony a controllery, služby $scope a $http strana 2 RIA - Rich Internet Application Chová se podobně jako desktopová
Synchronizace CRM ESO9 a MS Exchange
Synchronizace CRM ESO9 a MS Exchange Zpracoval: U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 1.4.2015 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz Dne: 23.2.2016 Obsah 1.
Novinky v.cz registru a mojeid. Zdeněk Brůna
Novinky v.cz registru a mojeid Zdeněk Brůna zdenek.bruna@nic.cz 20. 06. 2017 Osnova FRED Registr.CZ Infrastruktura DNS Weby & mojeid FRED Změny v EPP refaktoring EPP kompletní přepis implementace EPP backendu
Koláčky, sezení. Martin Klíma
Koláčky, sezení Martin Klíma UDRŽOVÁNÍ STAVU APLIKACE Udržování stavu aplikace 1. Pomocí skrytých polí (viz příklad wizard) 2. Pomocí obohacování odkazů 3. Pomocí cookies 4. Pomocí sessions Obohacování
Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.
Network Security Dell SonicWALL portfolio Jan Ježek business communication s.r.o. Bylo, nebylo Kybernetické hrozby v síti Nebezpečí nepřichází jen zvenku Víte, kdo je připojen do vaší sítě? Víte, jaké
Příloha č. 1 Verze IS esyco business
Příloha č. 1 Verze IS esyco business 1.10.1.1. Nasazení nové verze IS esyco business 1.10.1.1. proběhne u zákazníků postupně od 23. 4. 2018. V rámci nasazování verze budete kontaktováni konzultantem společnosti
Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky. v EEG/ERP portálu
Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky Diplomová práce Systém oprávnění v EEG/ERP portálu Plzeň, 2011 Jiří Vlašimský Prohlášení Prohlašuji, že
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 13.5.2015 Webové technologie
Připravil: Ing. Jiří Lýsek, Ph.D. Verze: 13.5.2015 Webové technologie RIA, JSON, REST, AngularJS strana 2 RIA - rich internet application chová se podobně jako desktopová aplikace velké množství logiky
BEZPEČNOST SLUŽEB NA INTERNETU
BEZPEČNOST SLUŽEB NA INTERNETU ANEB JAK SE SCHOVAT JAKUB JELEN @JakujeCZ LinuxDays, Praha, 2016 AGENDA Služby na Internetu Veřejné x neveřejné Útoky na Internetu Náhodné x cílené Ochrana služeb Aktivní
Pavel Kaňkovský, DCIT Consulting. kan@dcit.cz SOFTECON 2006 2. 3. 2006
Bezpečnostní slabiny webových aplikací Pavel Kaňkovský, DCIT Consulting kan@dcit.cz SOFTECON 2006 2. 3. 2006 Obsah Úvod co jsou webové aplikace a čím jsou specifické Autentizace a správa uživatelských
17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/
17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/ Úvod 1 Úvod Nedávno jsem zveřejnil návod na vytvoření návštěvní knihy bez nutnosti použít databázi. To je výhodné tehdy, kdy na serveru
Windows 2008 R2 - úvod. Lumír Návrat
Windows 2008 R2 - úvod Lumír Návrat Operační systémy Windows Stručný přehled Klientské OS Windows 95, 98, ME Windows NT Windows 2000 Windows XP Windows Vista Windows 7 Windows 8 Windows 8.1 Windows 10
Vývoj internetových aplikací. 9. Útoky na internetové aplikace. a možná obrana proti nim
Vývoj internetových aplikací 9. Útoky na internetové aplikace a možná obrana proti nim Tomáš Tureček, Jiří Suchora, VŠB-TU Ostrava, FEI, 456, 2009 Obsah přednášky Úvod PHP injekce SQL injekce XSS útoky
Popis logování v aplikačním serveru
Popis logování v aplikačním serveru Zpracoval: Tomáš Urych U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 3.10.2011 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz Dne: 26.3.2018
Artlingua Translation API
Artlingua Translation API Dokumentace Jan Šváb, Artlingua, a.s. 2015 Revize: 2015-09-22 - verze API : v1 Obsah Obsah... 2 Předávání dokumentů k překladu... 3 Implementace klientské aplikace pro Translation
Formuláře. Aby nám mohli uživatelé něco hezného napsat...... třeba co si o nás myslí!
Formuláře Aby nám mohli uživatelé něco hezného napsat...... třeba co si o nás myslí! HTML formuláře: Formuláře Možnost, jak uživatel může vložit obsah na web - odeslat data na server - zpracovat data ve
BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant
BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj
ZADÁNÍ BAKALÁŘSKÉ PRÁCE
ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ZADÁNÍ BAKALÁŘSKÉ PRÁCE Název: Analýza, návrh a implementace jednobodové autentizace pro portál Webgarden Student: Jan Chudomský Vedoucí:
DUM 14 téma: Interakce s uživatelem
DUM 14 téma: Interakce s uživatelem ze sady: 2 tematický okruh sady: Tvorba statických www stránek s použitím CSS ze šablony: 08 Internet určeno pro: 3. ročník vzdělávací obor: 18-20-M/01 Informační technologie
IP telephony security overview
Fakulta informatiky Masarykovy univerzity 19. listopadu 2009 Souhrn z technické zprávy CESNET 35/2006 (M. Vozňak, J. Růžička) Obsah I Autentizace v H.323 1 Autentizace v H.323 H.323 CryptoToken 2 SIP 3