Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.

OpublikowałWalerian Szpunar Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services."— Zapis prezentacji:

1 Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services

2 Kontakt Michał Jankowski MJ Software Solutions Services michal.jankowski@mjsss.com http://www.mjsss.com/ http://mjnski.com/ Michał Jankowski MJ Software Solutions Services michal.jankowski@mjsss.com http://www.mjsss.com/ http://mjnski.com/

3 Cel prezentacji Zapoznanie z monitorami ruchu sieciowego Zwrócenie uwagi na błędy w aplikacjach internetowych Przedstawienie sposobów zapobiegania atakom

4 Agenda NarzędziaBłędyDemo

5 Narzędzia

6 Microsoft Network Monitor

7 http://www.microsoft.com/en-us/download/details.aspx?id=4865 Darmowy Wersja 3.4 Przechwytywanie i analiza komunikacji sieciowej Parsery dla wielu protokołów http://www.microsoft.com/en-us/download/details.aspx?id=4865 Darmowy Wersja 3.4 Przechwytywanie i analiza komunikacji sieciowej Parsery dla wielu protokołów

8 Microsoft Message Analyzer

9 https://connect.microsoft.com/site216 (wymagany Microsoft Account) https://connect.microsoft.com/site216 http://technet.microsoft.com/en-us/library/jj649776.aspx Obecnie w wersji Beta 2 Na razie darmowy Następca Microsoft Network Monitor Nowoczesny interfejs (wstążka) Analiza ruchu sieciowego, Bluetooth, USB https://connect.microsoft.com/site216 (wymagany Microsoft Account) https://connect.microsoft.com/site216 http://technet.microsoft.com/en-us/library/jj649776.aspx Obecnie w wersji Beta 2 Na razie darmowy Następca Microsoft Network Monitor Nowoczesny interfejs (wstążka) Analiza ruchu sieciowego, Bluetooth, USB

10 Fiddler

11 http://www.fiddler2.com/ Analiza ruchu http(s) Stworzony przez byłego programistę Microsoft (zespół IE) - Eric Lawrence Darmowy – jak dotąd (przejęty przez Teleric) Gigantyczne możliwości (tworzenie zapytań, podgląd komunikacji, statystyki, filtry) Obowiązkowy program dla każdego webdevelopera http://www.fiddler2.com/ Analiza ruchu http(s) Stworzony przez byłego programistę Microsoft (zespół IE) - Eric Lawrence Darmowy – jak dotąd (przejęty przez Teleric) Gigantyczne możliwości (tworzenie zapytań, podgląd komunikacji, statystyki, filtry) Obowiązkowy program dla każdego webdevelopera

12 Błędy

13 Środowisko deweloperskie Ujawnienie wrażliwych danych (struktura bazy danych, konfiguracja, użyte moduły, czasami nawet hasła!!!) Często łatwe do znalezienia, wystarczy Google (Symfony/frontend_dev.php) Pozyskanie informacji ułatwiających kolejne ataki Koniecznie wyłączać albo ograniczać dostęp Uważać na domyślną konfigurację serwerów Konta testowe w systemie? Usunąć! Hasła zapisane w systemach kontroli wersji – unikać jeśli można Ujawnienie wrażliwych danych (struktura bazy danych, konfiguracja, użyte moduły, czasami nawet hasła!!!) Często łatwe do znalezienia, wystarczy Google (Symfony/frontend_dev.php) Pozyskanie informacji ułatwiających kolejne ataki Koniecznie wyłączać albo ograniczać dostęp Uważać na domyślną konfigurację serwerów Konta testowe w systemie? Usunąć! Hasła zapisane w systemach kontroli wersji – unikać jeśli można

14 Brak obsługi błędów Ujawniają wrażliwe dane (strukturę bazy danych, błędy programistów) Odstraszają użytkowników Pozyskanie cennych danych do dalszych ataków Konieczna prawidłowa obsługa błędów w aplikacjach!! Ujawniają wrażliwe dane (strukturę bazy danych, błędy programistów) Odstraszają użytkowników Pozyskanie cennych danych do dalszych ataków Konieczna prawidłowa obsługa błędów w aplikacjach!!

15 Filtrowanie danych wejściowych Brak prowadzi do ataków XSS, CSRF, … Filtrowanie wszystkich pól formularza Również te przekazywane w nagłówkach HTTP (ciasteczka), nazwy plików, Nie ufać danym od użytkownika Koniecznie uważać przy zapisie do bazy danych – atak SQL Injection Przy zapisywaniu danych, czy przy prezentacji? Brak prowadzi do ataków XSS, CSRF, … Filtrowanie wszystkich pól formularza Również te przekazywane w nagłówkach HTTP (ciasteczka), nazwy plików, Nie ufać danym od użytkownika Koniecznie uważać przy zapisie do bazy danych – atak SQL Injection Przy zapisywaniu danych, czy przy prezentacji?

16 Walidacja danych wejściowych Konieczna walidacja danych od użytkownika, obojętne, czy była również po stronie klienta – możliwość przesłania danych, których nie oczekujemy Współczesne frameworki znacznie ułatwiają walidację formularzy – warto korzystać Sprawdzenie, czy otrzymujemy dane, o które prosiliśmy – ataki CSRF Konieczna walidacja danych od użytkownika, obojętne, czy była również po stronie klienta – możliwość przesłania danych, których nie oczekujemy Współczesne frameworki znacznie ułatwiają walidację formularzy – warto korzystać Sprawdzenie, czy otrzymujemy dane, o które prosiliśmy – ataki CSRF

17 Sprawdzanie uprawnień użytkownika Sprawdzanie, czy użytkownik ma uprawnienia do zasobu, który zażądał Atak poprzez prostą podmianę wartości GET, albo POST – interfejs nie jest dobrym miejscem na ograniczanie dostępu Podobny do poprzedniego błędu Sprawdzanie, czy użytkownik ma uprawnienia do zasobu, który zażądał Atak poprzez prostą podmianę wartości GET, albo POST – interfejs nie jest dobrym miejscem na ograniczanie dostępu Podobny do poprzedniego błędu

18 Ochrona sesji Przejęcie sesji Losowe identyfikatory sesji – czy na pewno losowe? Lepiej przekazywać przez ciasteczko niż jako parametr URL Przesyłanie identyfikatora sesji tylko poprzez szyfrowane połączenie Regenerowanie identyfikatora sesji po zalogowaniu Ważne działania powinny być poprzedzone ponownym uwierzytelnieniem Przejęcie sesji Losowe identyfikatory sesji – czy na pewno losowe? Lepiej przekazywać przez ciasteczko niż jako parametr URL Przesyłanie identyfikatora sesji tylko poprzez szyfrowane połączenie Regenerowanie identyfikatora sesji po zalogowaniu Ważne działania powinny być poprzedzone ponownym uwierzytelnieniem

19 SQL Injection Wstrzyknięcie złośliwego kodu SQL wraz z danymi przesłanymi przez użytkownika Nie tylko formularze HTML, także parametry GET, ciasteczka, nazwy plików, nagłówki HTTP, zawartość plików – WSZYSTKO co pochodzi od użytkownika a trafia do bazy danych Zawsze filtrować dane pochodzące od użytkownika, korzystać z lepszych mechanizmów – preparowanie zapytań, ORMy (?), budować warstwy abstrakcji – to chyba oczywiste w modelu MVC? Wstrzyknięcie złośliwego kodu SQL wraz z danymi przesłanymi przez użytkownika Nie tylko formularze HTML, także parametry GET, ciasteczka, nazwy plików, nagłówki HTTP, zawartość plików – WSZYSTKO co pochodzi od użytkownika a trafia do bazy danych Zawsze filtrować dane pochodzące od użytkownika, korzystać z lepszych mechanizmów – preparowanie zapytań, ORMy (?), budować warstwy abstrakcji – to chyba oczywiste w modelu MVC?

20 Skompresowane pliki (Zip bomb) Zagrożenie w postaci przesłania na serwer olbrzymiego skompresowanego pliku Zawsze sprawdzać rozmiar pliku przed rozpakowaniem!! Zagrożenie w postaci przesłania na serwer olbrzymiego skompresowanego pliku Zawsze sprawdzać rozmiar pliku przed rozpakowaniem!!

21 Demo

22 Dziękuję za uwagę Prezentacja do pobrania na http://mjnski.com/resources/http://mjnski.com/resources/ Prezentacja do pobrania na http://mjnski.com/resources/http://mjnski.com/resources/

Pobierz ppt "Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services."

Podobne prezentacje

Internetowe Bazy Danych

Internetowe Bazy Danych
20041 Projektowanie dynamicznych witryn internetowych Paweł Górczyński ASP 3.0.

20041 Projektowanie dynamicznych witryn internetowych Paweł Górczyński ASP 3.0.
Nowy model komunikacji z emitentami

Nowy model komunikacji z emitentami
Marcin Piotrowski. Najpopularniejszymi darmowymi przeglądarkami są Internet Explorer, Opera, Mozilla Firefox, Google Chrome.

Marcin Piotrowski. Najpopularniejszymi darmowymi przeglądarkami są Internet Explorer, Opera, Mozilla Firefox, Google Chrome.
Wykorzystanie konta uczelnianego dla potrzeb stron WWW

Wykorzystanie konta uczelnianego dla potrzeb stron WWW
Decyzje projektowe w .NET Framework

Decyzje projektowe w .NET Framework
SQL INJECTION Wykorzystanie błędów w językach skryptowych

SQL INJECTION Wykorzystanie błędów w językach skryptowych
Wprowadzenie do języka skryptowego PHP

Wprowadzenie do języka skryptowego PHP
Bezpieczeństwo aplikacji WWW

Bezpieczeństwo aplikacji WWW
Kamil Smitkiewicz Bezpieczeństwo w PHP.

Kamil Smitkiewicz Bezpieczeństwo w PHP.
Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.

Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.
Autor Roman Jędras Prowadzący: dr inż. Antoni Izworski Przedmiot:

Autor Roman Jędras Prowadzący: dr inż. Antoni Izworski Przedmiot:
Uwierzytelnianie i autoryzacja dostępu do portali

Uwierzytelnianie i autoryzacja dostępu do portali
16-11-2004 1 SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE PODSTAWOWE.

SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE PODSTAWOWE.
PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS

PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS
Obsługa bazy danych z poziomu phpMyAdmin

Obsługa bazy danych z poziomu phpMyAdmin
Obsługa serwera zdalnego przez klienta FTP

Obsługa serwera zdalnego przez klienta FTP
Proxy (WWW cache) Sieci Komputerowe

Proxy (WWW cache) Sieci Komputerowe
Information Bridge Framework platforma integracji Microsoft Office 2003 z aplikacjami Line of Business Krzysztof Michalski10/01/2005.

Information Bridge Framework platforma integracji Microsoft Office 2003 z aplikacjami Line of Business Krzysztof Michalski10/01/2005.
Systemy zarządzania treścią CMS

Systemy zarządzania treścią CMS

Podobne prezentacje

Reklamy Google