Recomendados
Recomendados
Mais conteúdo relacionado
Destaque
Destaque (20)
Web Aplikāciju Drošība
- 1. Web aplikāciju drošība Juris Pūce juris.puce@checkit.lv CISA ...
- 2. Kas tad ir web aplikācijas • Plašāka pāreja uz web aplikācijām – Bankas, sociālie tīkli, portāli, utml • WEB 2.0 – AJAX – Drošība vs. Lietojamība
- 3. Klasiskie drošības mehānismi • Perimetra drošības nodrošināšana • Jauninājumu instalēšana • Web aplikāciju gadījumā ar to nav gana...
- 4. Kā tad nodrošināt drošību • Tehnoloģiskā drošība – Operētājsistēma – Ar lapas apkalpošanu saistītie servisi – Tīkla infrastruktūra – Web aplikācijas saturs • Procedūras un procesi – Izstrāde ar fokusu uz drošību – Uzraudzība un kontrole • Auditācijas pieraksti • Pro-aktīva drošības testēšana
- 5. Tehnoloģiju daļa web lapu drošībā • SQL injection (un citi injection tipi – Piekļuve datu bāžu saturam • XSS Cross Site Scripting – Pārvirzīšana, sesiju nolaupīšana, lapas izskats (jebkura JavaScript funkcija) • Mainīgo minēšana – ?pass=xas2312 • Paroļu minēšana • Cookie izmantošana • Un citi...
- 6. Procesu daļa drošības nodrošināšanā • Izstrādes daļa – Secure Development – Testēšana pēc ieviešanas • Pastāvīga uzraudzība un kontrole – Auditācijas pieraksti • Proaktīvās darbības – Drošības pārbaudes • Vulnerability management process • Drošības incidentu izmeklēšana – Informācijas ievākšana
- 7. Kādi ir rezultāti • Defacement • Datu iegūšana • Šantāža • Izklaide...
- 8. Rezultāti
- 9. Kādi ir “top” gadījumi • Latvija – Valsts Policijas mājas lapa = 2007.07 – Iekšlietu ministrijas mājas lapa = 2007.10 – Kopumā katru mēnesi ~20 lapām • Pasaule – RIAA (ASV ierakstu industrija) 2008.04 • SQL injection – Twitter kontu laušana (t.sk. Baraka Obamas konts) 2009.02 • Brute force – Orkut, Myspace un citu sociālo tīklu problēmas ar XSS (2007/2008/2009) • Worm tipa aplikācijas
- 10. OWASP • Open Web Application Security Project • Projekti – PROTECT • Development guide • Sammy • Enterprise Security • Ruby on Rails – DETECT • WebScarab • LiveCD • Code Review & Testing • Top Ten (Qualys) – LIFE CYCLE • WebGoat • Legal • Latvian chapter
- 11. Kur gūt papildus informāciju • Google • OWASP.org • http://ha.ckers.org • www.zone-h.org