Predstavitev se nalaga. Prosimo počakajte.

Predstavitev se nalaga. Prosimo počakajte.

7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved.

ObjavilАнфиса Апухтина

Podobne predstavitve

Predstavitev na temo: "7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved."— Zapis predstavitve:

1 7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 Spletni napadi v praksi
7/1/2019 6:19 PM Spletni napadi v praksi Miha Pihler “Doing security related stuff” eCTRL d.o.o. 2 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3 Microsoft MVP – Windows Security SloWUG Community Lead
eCTRL d.o.o. MCSA, MCSE, MCT, CISSP, ... Microsoft MVP – Windows Security SloWUG Community Lead Blog Solastnik in soavtor

4 Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking
Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

5 Zgodovina spletnih napadov
Večinoma za zabavo Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov in po možnosti ustaviti Internet Buffer overflow napadi Črvi CodeRed Nimda

6 Code red GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

7 Zgodovina spletnih napadov
Večinoma za zabavo Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov… Bolj zabavno je okužiti tisoče računalnikov in s tem zaslužiti...

8 Aplikacije 21,5% XSS 14% SQL “Injections” 9,5% php “includes”
7,9 "buffer overflows“ Cca. 90% vseh strani ima XSS ranljivosti Jeremiah Grossman, WhiteHat Security Graf:

9 Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking
Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

10 Sporočila o napakah

11 Sporočila o napakah

12 Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking
Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

13 Google Hacking Enostavno Veliko prosto dostopnih informacij
Brez posebnih “hacking” orodij Raziskovalec je lahko enostavno anonimen TOR proxy Veliko prosto dostopnih informacij Lahko so osnova za napade

14 Demo “Google hacking” http://johnny.ihackstuff.com/ghdb.php
7/1/2019 6:19 PM Demo “Google hacking” ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

15 Google Hacking Zaščita
7/1/2019 6:19 PM Google Hacking Zaščita Iskanje nezaščitenih informacij in sistemov… ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

16 Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking
Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

17 Injection in XSS napadi
SQL Injection Brisanje Razkrivanje informacij Dodajanje informacij XSS napadi Pogosto je zlonamerna koda del spletnega foruma Izpostavljene so popularne strani

18 Injection in XSS napadi
Kdo je kriv? Slabo napisane spletne aplikacije Uporaba slabe kode iz knjig/primerov

19 Manipulacija URL naslovov
Enostavno Vsi URL naslovi so izpostavljeni SSL ne pomaga ;-) Uporabnik lahko vpliva na URL in njegovo vsebino Možna je uporaba orodij kot so Fiddler Izogibanje “client side” preverjanju vnosov Popravljanje polj – npr. Hidden field

20 Demo Manipulacija URL naslovov Injection napad Password generator
HEX URL (password-stealing trojan) Del botneta

21 Injection napadi Zaščita
7/1/2019 6:19 PM Injection napadi Zaščita Dobro napisane spletne aplikacije Preverjanje vnosov! Vsa polja! ‘ znak... Na strani odjemalca : na strani strežnika Redno testiranje aplikacij! Po spremembah Orodja za testiranje Scrawlr Microsoft Source Code Analyzer for SQL Injection ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

22 Injection napadi Zaščita
7/1/2019 6:19 PM Injection napadi Zaščita Orodja za testiranje Scrawlr Microsoft Source Code Analyzer for SQL Injection Spletni viri How To: Protect From SQL Injection in ASP.NET %41%43%45%20%54%65%61%6d Hello Secure World ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23 Injection napadi Zaščita…
7/1/2019 6:20 PM Injection napadi Zaščita… Konfiguracija omrežja Izhod iz DMZ Aplikacijski spletni požarni zidovi ISA Server URL Scan 3.0 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

24 Demo ISA Server URL Scan 3.0
7/1/2019 6:20 PM Demo ISA Server URL Scan 3.0 Deluje na IIS 5.1 dalje – vključno z IIS 7 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25 Kje vse srečamo spletne strežnike
Pogoste naprave, ki jih je možno upravljati na daljavo Usmerjevalniki Pa ne samo SOHO! Hladilniki Mikrovalovne pečice

26 Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking
Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

27 Od strežnika do odjemalca
Napadi zaradi dobičkov Boti Spam, Phising Prehodni strežniki (proxy) DDoS na konkurenčne spletne strani Kako dobiti bote? XSS

28 Demo Napadi na odjemalce DNS in usmerjevalniki 7/1/2019 6:20 PM
©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

29 Varovanje odjemalcev Izbira brskalnika IE
DNS napad je neodvisen od odjemalca in brskalnika Rešitev je izključitev jave IE Protected mode Integrity levels

30 Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking
Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek

31 Povzetek Za varnejše strežnike in omrežja
DDoS napadi Konfiguracija omrežja Zakaj izhod iz DMZ? Nameščeni popravki (OS, aplikacije, …) Varovanje informacij (Google hacking) Šifriranje podatkov Uporaba NTFS (na IIS strežniku) Ločevanje razvojnega in prod. okolja

32 Povzetek Za varnejše strežnike in omrežja
Napadi na aplikacije Varno napisane spletne aplikacije Rutinsko preverjanje vseh sprememb Testiranje z različnimi orodji Uporaba aplikacijskih filtrov ISA URL Scan

33 Povzetek Za varnejše strežnike in omrežja
“Web hosting” Bo potencialno varoval vaše omrežje Kadar ni možno preveriti izvorne kode Druge spletne strani lahko potencialno ogrozijo vašo spletno stran

34 Q&A www.krneki.net/BE www.krneki.net 7/1/2019 6:20 PM
©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prenesi ppt "7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved."

Podobne predstavitve

Preberite te nasvete, če želite izvedeti, kako: 1 Prilagodite logotip

Preberite te nasvete, če želite izvedeti, kako: 1 Prilagodite logotip
VIRI NAPAKE Na katere vplive moramo paziti, ko izvajamo kvazi(eksperiment) 53.

VIRI NAPAKE Na katere vplive moramo paziti, ko izvajamo kvazi(eksperiment) 53.
Integracija tehnologij XML v projekte, ki temeljijo na objektni tehnologiji Uroš Novak, Zlatko Čajić, Borut Gorenjak, Milan Ojsteršek Laboratorij za.

Integracija tehnologij XML v projekte, ki temeljijo na objektni tehnologiji Uroš Novak, Zlatko Čajić, Borut Gorenjak, Milan Ojsteršek Laboratorij za.
Rootkits Miha Pihler, MCSA, MCSE, MCT, CISSP,

Rootkits Miha Pihler, MCSA, MCSE, MCT, CISSP,
Tekmovanje mladih raziskovalcev

Tekmovanje mladih raziskovalcev
Naslov projekta Vaše ime | Ime učitelja | Šola

Naslov projekta Vaše ime | Ime učitelja | Šola
Upravljanje identitet v oblaku in avtentikacija

Upravljanje identitet v oblaku in avtentikacija
Going with the Flow: Uporaba Microsoft Flow v praksi

Going with the Flow: Uporaba Microsoft Flow v praksi
Trinivojska arhitektura v sistemih za obračunavanje storitev

Trinivojska arhitektura v sistemih za obračunavanje storitev
Najboljše iz obeh svetov: uporaba javanskih knjižnic v .NET

Najboljše iz obeh svetov: uporaba javanskih knjižnic v .NET
Janez Eržen, Uroš Bajc - SCARF: Skaliranje digitalnega forenzičnega procesiranja z uporabo vsebniških tehnologij v oblaku 28. maj 2018.

Janez Eržen, Uroš Bajc - SCARF: Skaliranje digitalnega forenzičnega procesiranja z uporabo vsebniških tehnologij v oblaku 28. maj 2018.
VARNA ZABAVA NA INTERNETU

VARNA ZABAVA NA INTERNETU
Varnost informacijskih sistemov

Varnost informacijskih sistemov
Utišajmo mobilne telefone !

Utišajmo mobilne telefone !
_____________________________________ Ministrstvo za obrambo

_____________________________________ Ministrstvo za obrambo
7/3/2019 6:08 AM SQL in GDPR: Uporaba SQL funkcionalnosti za prilagoditev BI/DWH okolja GDPR zahtevam mag. Gašper Cotman, vodja področja omrežij in varnosti,

7/3/2019 6:08 AM SQL in GDPR: Uporaba SQL funkcionalnosti za prilagoditev BI/DWH okolja GDPR zahtevam mag. Gašper Cotman, vodja področja omrežij in varnosti,
Celovita mobilna rešitev za ponudnike namestitvenih enot

Celovita mobilna rešitev za ponudnike namestitvenih enot
NEMŠKI KURIKULUM IN PRIMERJAVA S SLOVENSKIM

NEMŠKI KURIKULUM IN PRIMERJAVA S SLOVENSKIM
Upravljajmo SQL Server z odprto kodo

Upravljajmo SQL Server z odprto kodo
Elektronska pošta.

Elektronska pošta.

Podobne predstavitve

Oglasi od Google