Vývoj Internetových Aplikací

Podobné dokumenty
Vývoj internetových aplikací. 9. Útoky na internetové aplikace. a možná obrana proti nim

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

CISCO CCNA I. 8. Rizika síťového narušení

Typy bezpečnostních incidentů

Informační a komunikační technologie. 1.5 Malware

Testování webových aplikací Seznam.cz

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Cross-Site Scripting (XSS)

Hitparáda webhackingu nestárnoucí hity. Roman Kümmel

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

VY_32_INOVACE_IKTO2_1960 PCH

Právní klasifikace online kriminality a prevence. Doc. JUDr. Tomáš Gřivna, Ph.D. Mgr. et Mgr. Kateřina Lukášová

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007

Obrana sítě - základní principy

PHP a bezpečnost. nejen veřejná

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Kybernetická kriminalita a kybernetická bezpečnost. Václav Stupka

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

KYBERNETICKÁ KRIMINALITA ÚVOD DO STUDIA PŘEDMĚTU

Počítačová bezpečnost Aktualizace OS a aplikačních programů Firewall a další bezpečnostní nástroje

Bezpečnost a virová problematika

Template pro oznámení porušení zabezpečení osobních údajů

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Kybernetická kriminalita v judikatuře českých soudů. doc. JUDr. Tomáš Gřivna, Ph.D. Právnická fakulta UK v Praze

Malware. počítačové viry, počítačové červy, trojské koně, spyware, adware

Počítačové viry a jiné hrozby

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

Cross- Site Request Forgery

Demilitarizovaná zóna (DMZ)

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Bezpečnost internetového bankovnictví, bankomaty

Efektivní řízení rizik

Tematický celek: Základy hardware a sítí. Učivo (téma): Hrozby internetu škodlivé programy

Úvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11

Nejčastější podvody a útoky na Internetu. Pavel Bašta

Bezpečnost sítí útoky

EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - IT Security SYLABUS 1.0 (M12)

Efektivní řízení rizik webových a portálových aplikací

INFORMAČNÍ SYSTÉMY NA WEBU

Monitorování datových sítí: Dnes

Kaspersky Tablet Security

Hacking Jak reálná je tato hrozba? Jak se jí bránit?

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Podvodné zprávy jako cesta k citlivým datům

Web Application Security aneb další. rozměr hackingu. XanthiX Soom session IV

Jaku b Su ch ý 1

Ochrana prezentací vytvořených v systému Visual PHP proti vnějším útokům

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Bezpečnost ve světě ICT - 10

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Desktop systémy Microsoft Windows

2. Nízké systémové nároky

Výukový materiál zpracován vrámci projektu EU peníze školám

Nejčastější zranitelnosti webových aplikací. Pavel Bašta

Petr Šnajdr, bezpečnostní expert ESET software spol. s r.o.

Bezpečnost počítače tače e a dat

Kybernetické hrozby - existuje komplexní řešení?

Název materiálu: Viry

F-Secure Anti-Virus for Mac 2015

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Bezpečnostní zásady. Příloha č. 1 k Podmínkám České národní banky pro používání služby ABO-K internetové bankovnictví

Kapitola 1: Začínáme...3

Základní definice, vztahující se k tématu kybernetické bezpečnosti

Metody zabezpečení webového provozu. Jakub Truschka Konference Security Praha,

Mgr. et Mgr. Jakub Fučík

Úvod - Podniková informační bezpečnost PS1-2

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

ACTIVE 24 CSIRT na Cyber Europe Ing. Tomáš Hála ACTIVE 24, s.r.o.

1 Webový server, instalace PHP a MySQL 13

Odhalování a vyšetřování kybernetické kriminality

Strategie sdružení CESNET v oblasti bezpečnosti

Wichterlovo gymnázium, Ostrava-Poruba, příspěvková organizace. Maturitní otázky z předmětu INFORMATIKA A VÝPOČETNÍ TECHNIKA

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnost IS. Základní bezpečnostní cíle

Příloha č. 1 Verze IS esyco business

Základní zabezpečení. Ing. Radomír Orkáč , Opava.

Základní zabezpečení. Ing. Radomír Orkáč , Ostrava.

Bezepečnost IS v organizaci

Desktop systémy Microsoft Windows

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Masivní prostup informačních technologií do běžného života každého z nás (zejména Internetu),

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

TOP. Agenda. bezpečnostní témata pro Milan Chromý. Zavádíme a provozujeme užitečné informační technologie v organizacích.

Počítačová síť ve škole a rizika jejího provozu

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Transkript:

10 Vývoj Internetových Aplikací Bezpečnost Ing. Michal Radecký, Ph.D. www.cs.vsb.cz/radecky

https://www.ted.com/talks/mikko_hypponen_fighting_ viruses_defending_the_net

Co je to Cyber kriminalita http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/ - Trestná činnost páchaná za pomoci informačních a komunikačních technologií - Formální rozdělení (podle EU) - Trestné činy proti důvěrnosti, integritě adostupnosti počítačových dat a systémů (neoprávněný přístup, neoprávněné odposlouchávání, narušování dat, narušování systémů, zneužívání zařízení). - Trestné činy se vztahem k počítači (počítačový podvod, padělání počítačem). - Trestné činy se vztahem k obsahu počítače - Trestné činy související s porušováním autorského práva a souvisejících práv.

http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/ Co je to Cyber kriminalita - Rozdělení kriminality podle účelu - Porušování soukromí - Aktivity proti osobnosti - Ovlivňování komunikace a infrastruktury - Šíření závadného obsahu - Přímé ekonomické dopady - Porušování autorských práv - Atd.

Hrozby Hype Cycle http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/

Statistiky a přehledy - https://us.norton.com/cyber-security-insights

PHP Injection - Využití vstupů (URL) k modifikaci funkčnosti, a to vložením cizího kódu - Vypsání zdrojového kódu - Práce s adresáři a soubory - Využití parametrů sezení (session) - Zneužití funkcí include a require - - Aplikace filtrace na vstupu (addslashes, htmlspecialchars)

SQL Injection - Využití vstupu k modifikace SQL dotazu či jeho rozšíření - Získání dat z databáze - Modifikace či odstranění dat - Získání přístupu do aplikace a dalším zdrojům - Zneužití speciálních znaků v neošetřeném vstupu - Aplikace filtrace na vstupech, kontrola vstupních dat, uživatelská práva, logování pro rekonstrukci

XSS Cross Site Scripting - Zneužití skriptovacího jazyka na straně klienta přímo v prohlížeči - Spuštění kódu u uživatele v rámci webové stránky/aplikace - Získání informací z hostitelské stránky (DOM), resp. modifikace - Krádež dat (cookies, session) - Keylogger, atd. http://url/stranka.php?nadpis=cokoliv<script>alert('toto je úspěšný XSS útok.');</script> - Dočasný/okamžitý - Podvržené URL obsahující rovnou útočný kód konkrétní uživatel - Persistentní - Vkládání skriptů do obsahu aplikace/webu všichni návštěvníci - Eliminace skriptování, filtrace vstupů

CSRF Cross Site Request Forgery - Skryté volání požadavků na danou funkcionalitu mezi stránkami (záložkami) - Získání přístupu a spuštění standardní funkcionality (přihlášená oběť) - Nutná znalost prostředí, na které se útočí, často v rámci autorizovaného přístupu (uživatel je přihlášen) - Podvrhnutí URL (obrázek, iframe), které provede danou operaci v systému, často kombinace s XSS - Tajné tokeny na straně serveru, proměnné URL, opatrnost uživatele

Brute-force slovníkové útoky - Zjišťování informací (funkcionality) opakováním zkoušením vstupů - Přístupové údaje k systému - Získání dat - Časově náročné v závislosti na náročnosti prostředí, na které se útočí a sofistikovanému typu útoku - Omezení počtu/času pro opakování požadavků, složitost odhalovaných údajů

SPAM - Jedná se spíše o nástroj k útokům prostředek pro šíření jiných forem útoků - Využití emailové komunikace na velké množství cílových adres nevyžádaná pošta, obtěžující, přilákání na nebezpečnou stránku - Nemusí se jednat jen o emaily, ale také diskusní fóra, sociální sítě, apod. - Filtry na různých úrovních (Black list, White List, Gray List) - Znemožnění automatizovaného vkládání obsahu (CAPTCHA), eliminace dolování adresátů

Malware - Malware označuje každý software, jehož účelem je poškození počítače či ovlivnění jeho funkce. Malware může z počítače krást citlivé údaje, může postupně zpomalovat chod počítače nebo dokonce může zasílat podvodné e-maily z e-mailového účtu uživatele bez jeho vědomí. - Virus:Škodlivý počítačový program, který dokáže kopírovat sám sebe a nakazit počítač. - Červ: Škodlivý počítačový program, který prostřednictvím sítě rozesílá své vlastní kopie do dalších počítačů. - Spyware:Malware, který shromažďuje informace o uživatelích bez jejich vědomí. - Adware:Software, který v počítači automaticky přehrává, zobrazuje či stahuje reklamy. - Trojský kůň:zhoubný program, který se tváří jako užitečná aplikace, ale po instalaci poškodí daný počítač nebo z něho odcizí informace. - Botnet síť napadených počítačů, které mohou realizovat řízený distribuovaný útok, sběr dat, apod.

Phishing, sociální inženýrství - Nástroj pro získávání citlivých a osobních údajů pro jejich další využití - Obchodování se sociálními údaji - Přistup ke službám (autentifikace) - Phishing podvodné emaily/weby (nejen), jejichž úkolem je lovit osobní data - Simulace běžného, pro uživatele známého, prostředí. Vzbuzení důvěry. Využití technických prostředků pro směrování, atd.

DoS, DDoS (Denial of Service) - Útok, který využívá technické zahlcení serveru za účelem odstavit danou službu/web - Využití TCP protokolu (SYN flood) nekompletní požadavek na navázání komunikace v rámci handshake - Využití PING - Atd. - Balancování prostředků pro jednotlivé aplikace/moduly na straně serveru pod útokem je jen část systému - Paketové filtry (SW i HW)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář