Bezpečnost webových aplikací



Podobné dokumenty
Třídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);

Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

Integrovaný agent obchodníka elektronického obchodu (IMA) Příručka správce

Zabezpečení dat pomocí SSL přehled důvěryhodných certifikačních autorit na trhu. Petr Komárek, Jindřich Zechmeister ZONER software, a.s.

BankKlient. FAQs. verze 9.50

Formuláře. Internetové publikování

Vývoj internetových aplikací. 9. Útoky na internetové aplikace. a možná obrana proti nim

Uživatelská příručka 6.A6. (obr.1.)

Inovace firemnı webove aplikace SPEA-SYSTE M

Identifikátor materiálu: ICT-3-55

Postačí z hlediska bezpečnosti ochrana heslem?

Redakční systém. SimpleAdmin Beta. Jan Shimi Šimonek

Příručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:

OZW772 V3 Odečet údajů o spotřebě energií. Building Technologies

PHP a bezpečnost. nejen veřejná

Chybová hlášení při pokusu o vstup do aplikace

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Návod k vydání kvalifikovaného certifikátu společnosti První certifikační autorita, a.s.

Základní pojmy spojené s webovým publikováním ~ malý slovníček pojmů~ C3231 Základy WWW publikování Radka Svobodová, Stanislav Geidl

Minebot manuál (v 1.2)

Instalace a konfigurace

NÁVOD KE SNADNÉ INSTALACI IP TELEFONU YEALINK W52P

HTTPS na virtuálních web serverech

Obsah přednášky. Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework

INTERNET. Vypracoval: Mgr. Marek Nývlt

Regionální knihovní systémy. Ing. Jiří Šilha, LANius s.r.o.

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012

Mobilní aplikace docházkového programu

Konfigurace pracovní stanice pro ISOP-Centrum verze

VÝVOJ INTERNETOVÝCH APLIKACÍ - VIA

Tlačítkem Poskládej jiný počítač se hra vrátí na úvodní obrazovku a lze zvolit jiný obrázek.

Dálkový přístup do katastru nemovitostí

Individuální projekt z předmětu webových stránek Anketa Jan Livora

Vývoj Internetových Aplikací

Internet WEB stránky HTML, Hypertext MarkUp Language - nadtextový jazyk - Místo příkazů obsahuje tagy - značky

FlexiBee Časté chyby. Ondřej Světlík FlexiBee Systems s.r.o.

Maturitní témata z předmětu PROGRAMOVÉ VYBAVENÍ pro šk. rok 2012/2013

Elektronické bankovnictví. Přednáška v kurzu KBaA2 ZS 2009

Uživatelská příručka pro práci s Portálem VZP. Test kompatibility nastavení prohlížeče

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Apple Safari

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Let s Encrypt nahoďte šifrování na webu

Webové programování je CHALENGE! Milan Čapoun, Samuel Šramko

Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

Smlouva o zabezpečené komunikaci a přístupu k datům

Technická specifikace

ISPOP 2016 PRŮVODCE REGISTRACÍ SUBJEKTU. verze 1.0

17. července :51 z moravec@yahoo.com


Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Datové schránky ante portas

Úvodem Seznámení s HTML Rozhraní Canvas... 47

Část 1 Moderní JavaScript

2N NetSpeaker IP Audio Systém

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

DATA ARTICLE. AiP Beroun s.r.o.

UŽIVATELSKÁ DOKUMENTACE PRO DODAVATELE. Stav ke dni v. 2.0

Content Security Policy

Market > Autumn Realitní trh: konec zlatých časů? Ing. Petr Illetško, MBA generální ředitel

DUM č. 11 v sadě. 36. Inf-12 Počítačové sítě

Uživatelský manuál. Kerio Technologies

2N NetSpeaker. IP Audio Systém. Manuál 1.4

14,819 (5.84 Stránky/Návštěva) Čvn Kvě Čvc Srp 2014

KOUKAAM a.s. U Vinných sklepů Praha 9

Principy fungování WWW serverů a browserů. Internetové publikování

Zákaznická linka:

Malý průvodce Internetem

Rozhraní pro tvorbu doplňků v moderních prohlížečích. Martin Straka martin.straka@nic.cz

Koláčky, sezení. Martin Klíma

HTTP protokol. HTTP protokol - úvod. Zpracoval : Petr Novotný novotny0@students.zcu.cz

Workmonitor. Servisní návod. 24. června 2014 w w w. p a p o u c h. c o m

Generování žádosti o certifikát Uživatelská příručka

Dokumentaci k semestrální úloze z předmětu Internet a WWW (X36WWW)

M I S Y S - W E B. Intranet řešení systému MISYS. Verze Příručka uživatele

MANUÁL uživatelská příručka Speciální IT systémové řešení

Střední odborná škola a Střední odborné učiliště, Hořovice

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Téma: PC viry II. Vytvořil: Vítězslav Jindra. Dne: VY_32_Inovace/1_058

Tvorba přizpůsobivých webových rozhraní

Obsah. Úvodem 9 Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10

GPS lokátor s výdrží až 180 dní

Jak být online a ušetřit? Ing. Ondřej Helar

Uživatelská příručka

WiFiS Uživatelská příručka Obsah

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Inovace bakalářského studijního oboru Aplikovaná chemie

Systém IZIP. internetový přístup ke zdravotním informacím pacienta. Elektronická zdravotní knížka. .:. Jiří Venclík.:.

Petra Bartošová Partner Account Manager

WWW technologie. HTTP protokol

Inteligentní učebna a měřicí pracoviště

číslo aktuální verze programu instalační soubor programu M3

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Zabezpečení web aplikací

Instalace certifikátu

Mediální komunikace. Vysoká škola mezinárodních a veřejných vztahů PhDr. Peter Jan Kosmály, Ph.D

WEB KNIHOVNY JAKO NÁSTROJ K PROPAGACI SLUŽEB A INFORMACÍ ING. PAVEL CIMBÁLNÍK

SMART GATE webové a aplikační ovládací rozhraní zařízení ESIM120

Transkript:

Bezpečnost webových aplikací Začátek Bezpečnost webových aplikací Luboš Matějka

Bezpečnost čeho? Zneužití Data na serveru Data uživatelů na PC Odesílaná data Odmítnutí Kompromitace serveru Odmítnutí služeb

Oblasti bezpečnosti WWW Server Prostředí, aplikace, dostupnost... Programátor Zdrojový kod, špatné Prostředí SSL, DNSSEC, Viry,... Uživatel Čemu věřit, co zadávat a kam...

Server Sdílené prostředí? Práva všem? Chroot? Nepotřebný SW? Monitorovací služby? Zálohování Problém NE! ANO! Smazat! Zakázat! ANO ANO ANO

Co může vadit? Vkládání cizího obsahu allow_url_include, allow_url_fopen Přistup k cizím datům safe_mode, open_basedir, chroot, práva... Nahrávání dat file_upload, upload_max_filesize Nahraný soubor nahradí jiný Může jít spustit

Musím to vidět?? server-status Kdo, kam, kdy a odkud přistupuje phpinfo(), server-info, banner Verze, nastavení, cesty

Proměnné register_globals GET přebíhá POST index.php?stranka=/etc/passwd mail() Spamování, ale kdo to byl?? OFF OFF OFF! Wrapper přidávající identitu virtuálu Odesílat přes WWW z jiného portu než 25

Programátor Kontrola vstupních dat Problém při práci s databází Ladící výpisy Nepořádek na serveru i v kódu Ukládání citlivých dat Cizí aplikace Bezpečné prostředí

Kontrola vstupních dat Kontrolujte vše! Mezní hodnoty index.php?=timeout=10000000 <?php sleep( $timeout );?> Neoprávněný přístup index.php?command=edit&id=3 Validace Javascriptem? NE! pěkné, ale pro bezpečnost k ničemu

Práce s databází Escapování všech dat! mysql_real_escape_string() addslashes() / stripslashes() Bindovaní proměnných $bind=mysqli->preprare( insert into user values(?,?) ); $bind->bind_parm( pepa, pepa ); $bind->execute();

XSS HTML a Javascript Vložení obsahu přes formulář Místo pokus vložím <B>pokus</B> Ale mohu i javascript a mám problém <script src= http://s.cz/xss2.js ></script> replace(/</g, '<').replace(/>/g, '>') htmlspecialchars()

XSS - CSS MS IE <div style="width:expression(alert('xss'));"> Gecko - Mozilla, Firefox <p style=-moz-binding:url(xssbycssinfirefox.xml#xss);>x</p> WhiteListy + Filter Programová filtrace Vlastní není úplně triviální Existující, např HTML Purifier http://htmlpurifier.org/

XSS - Zneužití Odcizení cookie Jména, hesla, adresa, telefon,... Přesměrování na jiný obsah Přihlášení do banky, reklama... Sběr informací Vlastně se nic nestane, ale má data má někdo jiný

Ladící výpisy Logování všeho jen do souboru soubor nenalezen? Když něco na obrazovku tak jen pro uživatele A musí to být vidět? @mysql_conect(...) Logování jako zdroj dat po útoku Ladící výpisy pod heslem Produkční server není na ladění

Nepořádek V kódu V HTML zakomentované části pryč s nimi V kódu hesla v komentářích V souborech neco.bak, neco.php~, zaloha... Zakázat výpis adresářů Neumožnit stahování.htaccess, xx.inc, config.ini

Ukládání citlivých dat Citlivá data Co nemusím, neukládám Hesla, č. kreditek, maily, RD,OP, č. pasu Vždy přes POST, GET se ukládá Šifrovat ukládání sha256(náhodná čísla+sha256(cit.data)) Šifrovat komunikaci https, kontrolovat a redirectovat

Bezpečné prostředí Aktualizace operačního systému Aktualizace prohlížeče Minimalizace doplňků Sice nevím co to je, ale instaluju?? NE! Co nepoužívám nepotřebuji, tedy zakazuji/mažu Na sporné prvky se ptám ActiveX, Java

Bezpečné prostředí Šifrování spojení Dříve nutná vlastní IP, dnes SNI Certifikační autority Verisign, Thawte DNSSEC Ověření platnosti záznamu Podepsané kořenové servery Cyklické generování

Uživatel == Problém Social engineering Nikomu nevěř! Nevíš kde jsi? Pryč odsud! Vypadá to podobně, ale... Pošlete heslo mailem?? Nikdy! Řekněte heslo do telefonu pro ověření? NE!

Cena za bezpečnost Vše něco stojí, bezpečnost dvojnásob Náročnější HW šifrovaní Náklady navíc, certifikáty, testování... Menší komfort, captcha, hesla, potvrzování... Co je a co není nutné? 100% zabezpečení neexistuje Skládanka, každý dílek pomůže Čím více tím lépe, ale...

Bezpečný konec Děkuji za pozornost! Dotazy??