7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved.

Slides:



Advertisements
Podobne predstavitve
Preberite te nasvete, če želite izvedeti, kako: 1 Prilagodite logotip
Advertisements

VIRI NAPAKE Na katere vplive moramo paziti, ko izvajamo kvazi(eksperiment) 53.
Integracija tehnologij XML v projekte, ki temeljijo na objektni tehnologiji Uroš Novak, Zlatko Čajić, Borut Gorenjak, Milan Ojsteršek Laboratorij za.
Rootkits Miha Pihler, MCSA, MCSE, MCT, CISSP,
Tekmovanje mladih raziskovalcev
Naslov projekta Vaše ime | Ime učitelja | Šola
Upravljanje identitet v oblaku in avtentikacija
Going with the Flow: Uporaba Microsoft Flow v praksi
Trinivojska arhitektura v sistemih za obračunavanje storitev
Najboljše iz obeh svetov: uporaba javanskih knjižnic v .NET
Janez Eržen, Uroš Bajc - SCARF: Skaliranje digitalnega forenzičnega procesiranja z uporabo vsebniških tehnologij v oblaku 28. maj 2018.
VARNA ZABAVA NA INTERNETU
Varnost informacijskih sistemov
Utišajmo mobilne telefone !
_____________________________________ Ministrstvo za obrambo
7/3/2019 6:08 AM SQL in GDPR: Uporaba SQL funkcionalnosti za prilagoditev BI/DWH okolja GDPR zahtevam mag. Gašper Cotman, vodja področja omrežij in varnosti,
Celovita mobilna rešitev za ponudnike namestitvenih enot
NEMŠKI KURIKULUM IN PRIMERJAVA S SLOVENSKIM
Upravljajmo SQL Server z odprto kodo
Elektronska pošta.
Strukturirano logiranje v .NET Core
Naj bo IT investicija ali strošek?
Ukrep Vseživljenjsko učenje Podaktivnost
SOLVIT SOLVIT je sistem za pragmatično reševanje problemov, preko katerega lahko države članice s skupnimi močmi rešujejo probleme, ki nastanejo zaradi.
RAZPIS ZA VPIS V SREDNJE ŠOLE
Informacijska rešitev za agregacijo DEA flote v RTP V okviru slovensko-japonskega sodelovanja na področju pametnih omrežij, t.i. NEDO projekta Tomaž Buh.
Pogled zdravnika na mediacijo v zdravstvu
Izzivi podjetji pri črpanju nepovratnih srestev
Uporaba LOGGER PROja Aktiv fizikov SEŠTG
Operacijski sistemi.
Daniel Šalamon Knjižnica Ivana Potrča Ptuj
E-marketing in Merkur: Marketing Internet Communications of Merkur
Vodenje linije sterilnih izdelkov.
Vnos podatkov s tipkovnico
SVETOVNI SPLET (s programom MS Windows Internet Explorer
Lokalna omrežja.
Automated BI solution With Excel in 60 minutes
Napredno iskanje na spletnem mestu EBSCOhost ~ z enim iskalnim poljem
Grafične enote.
predmet: uporaba IKT pri poslovanju
IGRANJE RAČUNALNIŠKIH OZ. VIDEO IGER
Kaj je Oddaljeno namizje (ON)?
Modulacija in demodulacija signalov (prirejeno po gradivu avtorja N
Predstavitev programa google chrome 6
Operacijski sistemi in virtualizacija
Ko BaaS v MS Azure zamenja tračno knjižnico
program Lync v Trgovini Windows
Anika Zupančič RAČUNALNIŠKI VIRUSI.
ZAŠČITA PRED PROGRAMSKIMI VSILJIVCI
Prezentacija April 2002 šolska leta
Vodenje toplotne modelne naprave Armfield PCT-13
Vsebina Motivacija Beton in požar MABZVZ / UHPFRC
(tehnika in tehnologija, 6. razred)
Posvet „Kako bolje sodelovati v občini Cerknica“
Priprava na pisno preverjanje znanja iz informatike
PREDSTAVITEV PROJEKTNE NALOGE
Splošna matura 2019.
Fire Wall ( Požarni zid )
Interna struktura NTFS
Pripravil: Šolsko leto:
Seminarska naloga: termografija UPOROVNI TERMOMETER
Elementi uspeha za uspešno obvladovanje informacijskih tveganj
Utišajmo mobilne telefone !
Akcijsko raziskovanje za ZDT
primerjava kurikulumov Slovenija in Češka
Polno znanja!.
izkoristek Outlookovih funkcij
INTERNET – SVETOVNI SPLET
Naslavljanje v računalniških omrežjih 1
Kako pripraviti javno prireditev
Zapis predstavitve:

7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Spletni napadi v praksi 7/1/2019 6:19 PM Spletni napadi v praksi Miha Pihler “Doing security related stuff” eCTRL d.o.o. 2 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft MVP – Windows Security SloWUG Community Lead eCTRL d.o.o. MCSA, MCSE, MCT, CISSP, ... Microsoft MVP – Windows Security SloWUG Community Lead www.slowug.org Blog www.krneki.net www.krneki.net/blog www.krneki.net/BE Solastnik in soavtor www.parhelia-tools.com

Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

Zgodovina spletnih napadov Večinoma za zabavo Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov in po možnosti ustaviti Internet Buffer overflow napadi Črvi CodeRed http://en.wikipedia.org/wiki/Code_Red_worm Nimda http://en.wikipedia.org/wiki/Nimda_(computer_worm)

Code red GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Zgodovina spletnih napadov Večinoma za zabavo Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov… Bolj zabavno je okužiti tisoče računalnikov in s tem zaslužiti...

Aplikacije 21,5% XSS 14% SQL “Injections” 9,5% php “includes” 7,9 "buffer overflows“ 14.9.2006 Cca. 90% vseh strani ima XSS ranljivosti 9.4.2008 Jeremiah Grossman, WhiteHat Security Graf: http://en.wikipedia.org/wiki/Cross-site_scripting http://www.darkreading.com/document.asp?doc_id=103774 http://www.ebizq.net/blogs/mike_rothman/2008/04/the_enemy_of_application_secur.php http://www.sans.org/newsletters/newsbites/newsbites.php?vol=9&issue=15 https://forums.symantec.com/syment/blog/article?message.uid=305917

Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

Sporočila o napakah

Sporočila o napakah

Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

Google Hacking Enostavno Veliko prosto dostopnih informacij Brez posebnih “hacking” orodij Raziskovalec je lahko enostavno anonimen TOR proxy Veliko prosto dostopnih informacij Lahko so osnova za napade

Demo “Google hacking” http://johnny.ihackstuff.com/ghdb.php 7/1/2019 6:19 PM Demo “Google hacking” http://johnny.ihackstuff.com/ghdb.php http://johnny.ihackstuff.com/ghdb.php ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Google Hacking Zaščita 7/1/2019 6:19 PM Google Hacking Zaščita Iskanje nezaščitenih informacij in sistemov… ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

Injection in XSS napadi SQL Injection Brisanje Razkrivanje informacij Dodajanje informacij XSS napadi Pogosto je zlonamerna koda del spletnega foruma Izpostavljene so popularne strani

Injection in XSS napadi Kdo je kriv? Slabo napisane spletne aplikacije Uporaba slabe kode iz knjig/primerov

Manipulacija URL naslovov Enostavno Vsi URL naslovi so izpostavljeni SSL ne pomaga ;-) Uporabnik lahko vpliva na URL in njegovo vsebino Možna je uporaba orodij kot so Fiddler Izogibanje “client side” preverjanju vnosov Popravljanje polj – npr. Hidden field

Demo Manipulacija URL naslovov Injection napad Password generator HEX URL (password-stealing trojan) Del botneta

Injection napadi Zaščita 7/1/2019 6:19 PM Injection napadi Zaščita Dobro napisane spletne aplikacije Preverjanje vnosov! Vsa polja! ‘ znak... Na strani odjemalca : na strani strežnika Redno testiranje aplikacij! Po spremembah Orodja za testiranje Scrawlr Microsoft Source Code Analyzer for SQL Injection http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en https://download.spidynamics.com/Products/scrawlr/ ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Injection napadi Zaščita 7/1/2019 6:19 PM Injection napadi Zaščita Orodja za testiranje Scrawlr Microsoft Source Code Analyzer for SQL Injection Spletni viri How To: Protect From SQL Injection in ASP.NET %41%43%45%20%54%65%61%6d Hello Secure World http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en https://download.spidynamics.com/Products/scrawlr/ http://msdn.microsoft.com/en-us/library/ms998271.aspx http://blogs.msdn.com/hackers/default.aspx http://www.microsoft.com/click/hellosecureworld/default.mspx ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Injection napadi Zaščita… 7/1/2019 6:20 PM Injection napadi Zaščita… Konfiguracija omrežja Izhod iz DMZ Aplikacijski spletni požarni zidovi ISA Server URL Scan 3.0 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Demo ISA Server URL Scan 3.0 7/1/2019 6:20 PM Demo ISA Server URL Scan 3.0 Deluje na IIS 5.1 dalje – vključno z IIS 7 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Kje vse srečamo spletne strežnike Pogoste naprave, ki jih je možno upravljati na daljavo Usmerjevalniki Pa ne samo SOHO! Hladilniki Mikrovalovne pečice

Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

Od strežnika do odjemalca Napadi zaradi dobičkov Boti Spam, Phising Prehodni strežniki (proxy) DDoS na konkurenčne spletne strani Kako dobiti bote? XSS

Demo Napadi na odjemalce DNS in usmerjevalniki 7/1/2019 6:20 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Varovanje odjemalcev Izbira brskalnika IE DNS napad je neodvisen od odjemalca in brskalnika Rešitev je izključitev jave IE Protected mode Integrity levels

Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

Povzetek Za varnejše strežnike in omrežja DDoS napadi Konfiguracija omrežja Zakaj izhod iz DMZ? Nameščeni popravki (OS, aplikacije, …) Varovanje informacij (Google hacking) Šifriranje podatkov Uporaba NTFS (na IIS strežniku) Ločevanje razvojnega in prod. okolja

Povzetek Za varnejše strežnike in omrežja Napadi na aplikacije Varno napisane spletne aplikacije Rutinsko preverjanje vseh sprememb Testiranje z različnimi orodji Uporaba aplikacijskih filtrov ISA URL Scan

Povzetek Za varnejše strežnike in omrežja “Web hosting” Bo potencialno varoval vaše omrežje Kadar ni možno preveriti izvorne kode Druge spletne strani lahko potencialno ogrozijo vašo spletno stran

Q&A www.krneki.net/BE www.krneki.net 7/1/2019 6:20 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Povratne informacije: Pravilnik o zasebnosti Povratne informacije
O projektu: SlidePlayer Pogoje uporabe

© 2024 SlidePlayer.si Inc. All rights reserved.