Безпека web-серверів. Класифікація вразливості атак Складається з дев'яти класів: 1. Аутентифікація (Authentication) 2. Авторизація (Authorization) 3.

Презентация:



Advertisements
Похожие презентации
Загальні відомості про системне, службове та прикладне програмне забезпечення. Класифікація, основні функції та складові операційних систем. Поняття про.
Advertisements

Студентки групи УБ-14 м Івасюк Тетяни Петрівни. Метою дослідження є підвищення захисту WEB-додатків для покращення захисту персональних даних. Обєкт дослідження.
Урок 10 5 клас. Комп'ютернні мережі. Локальна мережа. Використаннямережевих папок
КЛАСИФІКАЦІЯ ЗАГРОЗ БЕЗПЕЦІ ТА ПОШКОДЖЕННЯ ДАНИХ У КОМП ЮТЕРНИХ СИСТЕМАХ. ПІДГОТУВАЛА УЧЕНИЦЯ 9- Б КЛАСУ ДЕМЧУК АНАСТАСІЯ.
ІНФОРМАТИКА. 9 КЛАС Програмне забезпечення комп'ютерних систем Навчальна презентація вчителя Большакової Кристини Сергіївни ЗОШ 9 м. Ізмаїл.
Виконали студенти 11-ОВ Тітаренко М.А. Захарчук А.Р.
Основи алгоритмізації та програмування Надання значень величинам. Вказівки присвоєння та введення.
Важливою проблемою всієї криптографії з відкритим ключем, в тому числі і систем ЕЦП, є управління відкритими ключами. Так як відкритий ключ доступний.
Інформатика 9 клас Навчальна презентація з інформатики для 9 класу вчителя Анрієнко М.А.
Урок 6 5 клас. Файли, папки та операції над ними.
Презентація на тему: «Безпека інформації в системах електронного документообігу Виконала студентка 2 курсу 4 групи ФОАІС Гладиш Ірина.
Підготувала: вчитель інформатики Золотоніської гімназії ім С.Д. Скляренка Мірошніченко Т. І.
Тема уроку: Використання ресурсів (послуг) мережі Інтернет.
Розробив: Студент 221 грп Олару Дмитро. Залежно від відстані виділяють: Локальні мережі – об'єднання комп'ютерів, що розміщені на невеликих відстанях.
Тема 6 Потоки введення- виведення. Робота з файлами.
Урок 5 5 клас. ОС та її інтерфейс.
Дипломний проект Виконав: студент гр. П Ярошенко Я.І. Керівник дипломного проекту Сібрін Ю.І. Розробка програми Продаж друкованої продукції.
Урок № клас. СТВОРЕННЯ ПРЕЗЕНТАЦІЇ ЗА ДОПОМОГОЮ МАЙСТРА АВТОВМІСТУ ТА ШАБЛОНІВ ОФОРМЛЕННЯ.
ОДЕСЬКА ДЕРЖАВНА АКАДЕМIЯ ТЕХНIЧНОГО РЕГУЛЮВАННЯ ТА ЯКОСТI ОДЕСА 2017 АНАЛIЗ МЕТОДIВ ЗАХИСТУ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ ДЛЯ ВИМIРЮВАЛЬНИХ ПРИЛАДIВ НА БАЗI.
Формула – це основний інструмент аналізу даних. За допомогою формул можна виконувати математичні дії, порівнювати, обєднувати дані як у межах одного робочого.
Транксрипт:

Безпека web-серверів

Класифікація вразливості атак Складається з дев'яти класів: 1. Аутентифікація (Authentication) 2. Авторизація (Authorization) 3. Атаки на клієнтів (Client-side Attacks) 4. Виконання коду (Command Execution) 5. Розголошення інформації (Information Disclosure) 6. Логічні недоліки (Logical Flaws) 7. Не безпечні конфігурації (Misconfiguration) 8. Недоліки протоколу (Protocol Abuse) 9. Інші (Miscellaneous)

1.Аутентифікація (Authentication) Аутентифікація - процедура перевірки особистості вхідного в систему суб'єкта, що пред'явив свій ідентифікатор. Аутентифікацію не слід плутати з авторизацією (процедурою надання суб'єкту певних прав).

1.Аутентифікація (Authentication) Аутентифікація використовує як мінімум один з трьох механізмів (факторів): «щось, що ми маємо» ( магнітна карта, генератор паролів ) «щось, що ми знаємо» ( пароль, персональний індефікаційний номер) «щось, що ми є» ( голос, відбиток пальця, розпізнавання обличчя)

1.Аутентифікація (Authentication) До основних атак парольної аутентифікації відносять 1.Підбір 2.Недостатня аутентифікація 3.Небезпечне відновлення паролів

1.Підбір - автоматизований процес проб і помилок, що використовується для того, щоб вгадати ім'я користувача, пароль, номер кредитної картки, ключ шифрування і т.д. прямийзворотний. Підбір може бути прямий та зворотний. Приклад Имя користувача = Jon Пароли = smith, michael-jordan, [pet names], [birthdays], [car names], Имена користувачів = Jon, Dan, Ed, Sara, Barbara,..... Пароль = Для повного перебора можна використати такі програми як PasswordsPro, MD5 BFCPF, John the Ripper. вики

скорости перебора паролей паролей/сек

2.Недостатня аутентифікація Ця уразливість виникає, коли Web-сервер дозволяє атакуючому отримувати доступ до важливої інформації або функцій сервера без належної аутентифікації. Інтерфейси адміністрування через Web - яскравий приклад критичних систем. Необхідний URL може бути знайдений перебором типових файлів і директорій (таких як / admin /), з використанням повідомлень про помилки, журналів перехресних посилань або шляхом простого читання документації. Подібні ресурси повинні бути захищені адекватно важливості їх вмісту і функціональних можливостей.

Недостатня аутентифікація Приклад Багато Web-додатки за замовчуванням використовують для адміністративного доступу посилання в кореневій директорії сервера (/ admin /). Зазвичай посилання на цю сторінку не фігурує у вмісті сервера, проте сторінка доступна за допомогою стандартного браузера.

Авторизація Авторизація -процедура надання суб'єкту певних прав. До основних атак відносять: 1)Передбачуване значення ідентифікатора сесії 2) Недостатня авторизація 3) Відсутність таймауту сесії 4) Фіксація сесії 5)