Drupal biztonság. Tuesday, April 3, 12
|
|
- Dezső Sipos
- 8 évvel ezelőtt
- Látták:
Átírás
1 Drupal biztonság
2 Ki célpont?
3 mi nem vagyunk célpontok Az adatok értékesek (pl. tematizált címlista az {user} táblából) A látogatók értékesek Minden gép számít (botnetek) Vandálkodni jó :)
4 Ki célpont? Mindenki
5 Biztonságról általában Csak biztonságos és nem biztonságos oldal van, nincs félig biztonságos Egy rossz sor kód is elég ahhoz, hogy bárki bármit tehessen az oldalunkkal / szerverünkkel A webfejlesztő is programozó, ugyanúgy kell nekünk is törődnünk a biztonsággal, mint annak, aki az amerikai védelmi hivatalnak fejleszt.
6 Hálózati biztonság Titkosított protokollok használata (FTP és HTTP (feltöltés) kerülendő) Wi-Fi esetén WPA titkosítás Total Commander nem jelszómegőrző
7 Így hallgathatlak le téged
8 Bárki lehallgathat Nem csak a képzett crackerek sudo ifconfig wlan0 down sudo iwconfig wlan0 mode monitor sudo ifconfig wlan0 up sudo wireshark
9 Megoldások SSL-lel titkosított protokollok használata: FTPS SFTP HTTPS SSH VPN
10 Szerverbeállítások FastCGI (DDoS ellen jobb) PHP suhosin használata php.ini open_basedir disabled_functions disabled_classes safe_mode kikapcsolása (hamis biztonságérzet, gyakorlatban nem sokat véd)
11 Formok biztonsága a hidden (és bármilyen más) mezők tartalmai ugyanúgy módosíthatóak a felhasználók által! (meglepően sok oldal törhető így) szerencsére ezt a form api kivédi
12 Formok biztonsága Bizonyos érzékeny adatok (pl.: bankkártya szám) beviteli mezőjénél az autocomplete= off attribútum használata
13 HTTP kérések Írás soha ne legyen GET Létrehozás, szerkesztés az POST (form miatt), de a törlés is legyen az! Nem árt, ha rákérdezünk a felhasználóra törlés előtt (Drupalban: confirm_form() függvény) Ha bejut valamilyen bot, akkor a linkeken végigmegy ha ez egy admin felület, akkor törölheti az összes tartalmat
14 HTTP kérések Érzékeny adatot URL-ben soha
15 JavaScript A JavaScript által végzett ellenőrzés csak kényelmi szolgáltatás, minden ellenőrzést el kell végezni a szerver oldalon is!
16 JavaScript Valós életből vett ellenpélda: <script language="javascript"> <!--// /*This Script allows people to enter by using a form that asks for a UserID and Password*/ function pasuser(form) { if (form.id.value=="buyers") { if (form.pass.value=="gov1996") { location=" } else { alert("invalid Password") } } else { alert("invalid UserID") } } //--> </script>
17 File inclusion File-t SOHA nem include-olunk URL alapján Triviális példa: passwd
18 Drupal biztonság
19 Alapok Soha, de soha ne nyúljunk a core kódhoz!
20 Alapok Használjuk a Drupal függvényeit és API-jait Nálunk tapasztaltabb emberek írták Könnyű megtanulni őket Hosszú távon úgyis gyorsabban végezzük el a feladatainkat
21 Alapok Minimális jogosultságok mindenkinek A következő jogosultságok megadásával odaadjuk a siteunkat: Administer content types Administer users Administer permissions Administer filters Administer site configuration
22 Input formats Amit csak nagyon megbízható felhasználóknak engedünk: Full HTML PHP
23 Access control Használd: node_access user_access hook_menu
24 hook_menu() 'access callback' ezzel a függvénnyel ellenőrzi a Drupal, hogy az adott felhasználó jogosult-e az oldal megnézésére alapértelmezett érték: user_access 'access arguments' egy tömb, ami paraméterként adódik át user_access esetén elég egy elem, a jogosultság neve
25 hook_menu() Rossz példa: function hook_menu() { return array( 'foobar' => array( 'access callback' => TRUE, ), ); }
26 hook_menu() Még egy rossz példa function hook_menu() { } return array('foobar' => array( )); 'access callback' => user_access('some permission'),
27 hook_menu() Jó példa function hook_perm() { return array('do sg with my module'); } function hook_menu() { return array( 'foobar' => array( 'access arguments' => array('do sg with my module'), )); }
28 Valamit csinálni akarunk egy másik user nevében Rossz példa global $user; $user = user_load(1); Rossz példa global $user;... $user->uid = 1;
29 Valamit csinálni akarunk egy másik user nevében Jó példa global $user; drupal_save_session(false); $user = user_load(1); Ha nem muszáj a jelenlegi userre hivatkozni, akkor ne használjuk az user változót
30 SQL injection Nem megfelelően kezelt sztring beillesztése SQL lekérésbe Mindig kritikus hiba
31 SQL injection mysqli_query( SELECT * FROM node WHERE nid =. $_GET['nid']); Ez ilyesztő
32 SQL injection mysqli_query( SELECT * FROM node WHERE nid =. $_REQUEST['nid']); Ez még ilyesztőbb
33 SQL injection mysqli_query($_request['searchquery']); Ez talán a legrémesebb. Van ilyen: Google inurl:select inurl:from inurl:where
34 SQL injection Nem SQL injection, de sok kezdő fejlesztő beleszalad SELECT * FROM user WHERE name LIKE '% $username%'
35 Feltöltött fájlok Mindig ellenőrizni: méret kiterjesztés felbontás (képek esetén) file_check_location() Lehetőleg soha ne include-oljunk felhasználó által feltöltött fájlt
36 CSRF <img src= />
37 CSRF Cross-site request forgery
38 Megelőzés Ahol lehet, ott form api-t használni token használata hozzáadás: $token = drupal_get_token('foo'); l($text, some/path/$token ); ellenőrzés: function my_page_callback($args, $token) { if(!drupal_valid_token($token, 'foo')) drupal_access_denied(); else {... } }
39 XSS Cross site scripting
40 XSS példa Node címek listázása saját theme függvénnyel: $output = '<li>'. $node->title. '</li>'; return $output; Mi van, ha a node címe a következő? '<script>alert( U R H4XXD LULZ ); </script>'
41 XSS Nem csak vicces dialógusok feldobálásra való Bármit megtehetünk, amit az adott bejelentkezett felhasználó megtehet.
42 Példa $.get(drupal.settings.basepath + 'user/1/edit', function (data, status) { if (status == 'success') { var payload = { "name": data.match(/id="edit-name" size="[0-9]*" value="([a-z0-9]*)"/)[1], "mail": data.match(/id="edit-mail" size="[0-9]*" value="([a-z0-9]*@[a-z0-9]*.[a-z0-9]*)"/)[1], "form_id": 'user_profile_form', "form_token": data.match(/id="edit-user-profile-form-form-token" value="([a-z0-9]*)"/)[1], build_id: data.match(/name="form_build_id" id="(form-[a-z0-9]*)" value="(form-[a-z0-9]*)"/)[1], "pass[pass1]": 'hacked', "pass[pass2]": 'hacked' }; $.post(drupal.settings.basepath + 'user/1/edit', payload); } } );
43 Védekezés Csak escape-elni kell htmlspecialchars($text, ENT_QUOTES, 'UTF-8'); de nem szabad elfelejteni nem kellene többször megcsinálni abban a szövegben sem lesz markup, ahol kellene lennie
44 Problémák A környezet más értelmet ad a jeleknek I CAN HAZ <b>cheezburger</b> LULZ! <b> is not deprecated <span attribute= $foo >$bar</span>
45 Megoldások check_plain() check_markup() check_url() filter_xss() t()
46 check_plain() plain text környezet: <b> is not deprecated html környezet: <b> is not deprecated
47 check_markup() Rich text környezet [#8] foobar \n baz HTML környezet <p> <a href= > node/8 </a> foobar <br /> baz </p>
48 check_url() URL környezet HTML környezet
49 filter_xss() Felhasználó által adott HTML <p>foo</p><script>alert('bar');</script> Biztonságos HTML <p>foo</p>alert('bar');
50 filter_xss() Felhasználó által adott HTML <img src= abc.jpg onmouseover=... /> Biztonságos HTML <img src= abc.jpg />
51 filter_xss() Felhasználó által adott HTML <img src= javascript:dosomethingbad() /> Biztonságos HTML <img src= dosomethingbad() />
52 Mi mit vár HTML Sima szöveg checkboxes #options select #options radios #options l() l() drupal_set_title drupal_set_message watchdog
53 Mi mit vár HTML site mission slogan footer
54 Mi mit vár Sima szöveg termek felhasználónevek tartalomtípusok node név
55 Mi mit vár Rich text comment body node body
56 t() Plain text HTML => plain text t('%var', array('%var' => $plain_text)); %: kiemelt szöveg HTML HTML t('!var', array('!var' => $html));
57 .htaccess Nagyon fontos fájl! Ha nincs ott, akkor könnyen okozhat sebezhetőséget pl.: directory listing + backup a settings.php-ről
58 Példák sebezhetőségekre Webshopnál az áru mennyisége nem 1, hanem.1 Webshop: ár eltárolása hidden mezőben, átírva 0-ra ingyen lehet rendelni
59 Példák sebezhetőségekre Sütiben felhasználónév vagy userid eltárolása Sok oldalnál nyitvahagyják a memcache portját (11211), így a cache-elt adatok könnyedén manipulálhatók.
60 További olvasnivaló
61 Belga-magyar cég Közép-Európa egyik legjobb csapata <15 fő Utazás, csoki, sör
Egészítsük ki a Drupal-t. Drupal modul fejlesztés
Egészítsük ki a Drupal-t Drupal modul fejlesztés Drupal 6.0 2008. február 13. Miért írjunk Drupal modult? Nincs az igényeinknek megfelelő modul Valamilyen közösségi igény kielégítése Valami nem úgy működik
RészletesebbenWebapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András
Webapp (in)security Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt Veres-Szentkirályi András Rövid áttekintés Webalkalmazások fejlesztése során elkövetett leggyakoribb hibák
RészletesebbenMicroSigner Közvetítő Szerver fejlesztői dokumentáció
MICROSEC ZRT. MicroSigner Közvetítő Szerver fejlesztői dokumentáció verzió: 1.0 Ivicsics Sándor, Máté Norbert, Vanczák Gergely 2016.06.09. Tartalom Általános információk... 2 ESign munkamenet létrehozása...
RészletesebbenBiztonságos PHP a gyakorlatban
Biztonságos PHP a gyakorlatban Ahhoz, hogy meg tudjuk védeni PHP alkalmazásainkat, az elsõ és legfontosabb lépés a biztonsági veszélyek felismerése és megértése. Az elmúlt két évben a PHP magfejlesztõi
RészletesebbenWeboldalak Biztonsági Kérdései
Weboldalak Biztonsági Kérdései Kliens szerver modellek Kliens szerver modellek Offline világ Online világ és a programokkal szemben támasztott elvárások helyett... Fejlesztés üteme gyors Előregyártott
RészletesebbenMicroSigner Közvetítő Szerver fejlesztői dokumentáció
MICROSEC ZRT. MicroSigner Közvetítő Szerver fejlesztői dokumentáció verzió: 1.0 Ivicsics Sándor, Máté Norbert, Vanczák Gergely 2016.06.09. Tartalom Általános információk... 2 ESign munkamenet létrehozása...
RészletesebbenAdatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009
Adatbázisok elleni fenyegetések rendszerezése Fleiner Rita BMF/NIK Robothadviselés 2009 Előadás tartalma Adatbázis biztonsággal kapcsolatos fogalmak értelmezése Rendszertani alapok Rendszerezési kategóriák
RészletesebbenÁLTALÁNOSAN LEÍRVA: KONKRÉTAN AZ INSOMNIA ESETÉBEN:
Drupal telepítés 1. A http://drupal.hu oldalról töltsük le a legfrissebb Drupal veriót (Drupal 7.23 link alatt: drupal-7.23.tar) és a magyar fordítást (Fordítás link alatt: drupal-7.23.hu.po)! 1 2. Csomagoljuk
RészletesebbenPHP alapjai, bevezetés. Vincze Dávid Miskolci Egyetem, IIT
alapjai, bevezetés Vincze Dávid Miskolci Egyetem, IIT vincze.david@iit.uni-miskolc.hu PHP Personal Home Page (Tools) Script nyelv -> interpretált Elsősorban weboldal (dinamikus) tartalmak előállítására
Részletesebben8. óra Weboldalak biztonsága. Gyimesi Ákos
8. óra Weboldalak biztonsága Gyimesi Ákos gyimesi.akos@gmail.com http://webprog.gy-i-m.com Bevezetés Kiket fenyeget veszély? a weblap üzemeltetőit: adminisztrátori jogosultságok szerzése adminisztrátori
RészletesebbenSilent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1
Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1 Témáink Bevezető Webáruház, mint IT rendszer biztonsága OWASP TOP10 webes hiba
RészletesebbenWEBFEJLESZTÉS 2. ADATBÁZIS-KEZELÉS, OSZTÁLYOK
WEBFEJLESZTÉS 2. ADATBÁZIS-KEZELÉS, OSZTÁLYOK Horváth Győző Egyetemi adjunktus 1117 Budapest, Pázmány Péter sétány 1/C, 2.420 Tel: (1) 372-2500/1816 2 Ismétlés Ismétlés 3 Fájl/Adatbázis 3 4 Szerver 2 CGI
RészletesebbenMicroSigner Közvetítő Szerver fejlesztői dokumentáció
MICROSEC ZRT. MicroSigner Közvetítő Szerver fejlesztői dokumentáció verzió: 1.0 Ivicsics Sándor, Máté Norbert, Vanczák Gergely 2016.06.09. Tartalom Általános információk... 2 ESign munkamenet létrehozása...
RészletesebbenWEBFEJLESZTÉS 2. MUNKAMENET-KEZELÉS, HITELESÍTÉS
WEBFEJLESZTÉS 2. MUNKAMENET-KEZELÉS, HITELESÍTÉS Horváth Győző Egyetemi adjunktus 1117 Budapest, Pázmány Péter sétány 1/C, 2.420 Tel: (1) 372-2500/1816 PHP beadandó 2 Honlapról elérhető Labirintus-játék
RészletesebbenHálózati architektúrák és Protokollok GI Kocsis Gergely
Hálózati architektúrák és Protokollok GI - 10 Kocsis Gergely 2015.11.30. FTP File Transfer Protocol Legegyszerűbb FTP parancsok: USER name PASS jelszo CD, RETRIEVE, STORE, MKDIR, RMDIR, HELP, BYE Feladat:
RészletesebbenDRUPAL 7. újdonságai. Hojtsy Gábor Drupal Hétvége, Budapest - 2009. november 14. Angela Byron fóliái alapján
A DRUPAL 7 újdonságai Hojtsy Gábor Drupal Hétvége, Budapest - 2009. november 14. Angela Byron fóliái alapján MIKOR JELENIK MEG? Itt vagyunk! MIKOR JELENIK MEG? Itt vagyunk! Dec 1, 2009 KINEK KÖSZÖNHETJÜK?
RészletesebbenWebes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk
Eötvös Loránd Tudományegyetem Informatikai Kar Webes alkalmazások fejlesztése 1. előadás Webes alkalmazások és biztonságuk 2014.02.10. Giachetta Roberto groberto@inf.elte.hu http://people.inf.elte.hu/groberto
RészletesebbenSymfony kurzus 2014/2015 I. félév. Security: authentication, authorization, user provider, role-ok, access control, FOS user bundle
Symfony kurzus 2014/2015 I. félév Security: authentication, authorization, user provider, role-ok, access control, FOS user bundle Authen'ca'on Ez még csak azt dönti el, hogy a rendszer által azonosítóható-e
RészletesebbenMegtanuljuk, hogyan lehet egy web-alkalmazással adatbázishoz csatlakozni Pontosan megnézzük a PHP lehetőségeit o MySQL-hez o Oracle-höz
PHP Adatbázis Tartalomjegyzék PHP ADATBÁZIS...1 TARTALOMJEGYZÉK...1 EDDIG VOLT...1 MAI ANYAG...1 TEHÁT RÉSZLETESEBBEN...1 Kapcsolódás web-alkalmazásokból adatbázisokhoz...1 Biztonsági kérdések...2 PHP...2
Részletesebben1. Bevezető. 2. Sérülékenységek
1. Bevezető A dokumentum összefoglalja a Silent Signal Kft. szakértőinek 2011-ben elért kutatási és fejlesztési eredményeit. Ebben az időszakban munkatársaink 16 sebezhetőséget azonosítottak elterjedt
RészletesebbenJavaScript bűvésztrükkök, avagy PDF olvasó és böngésző hackelés
JavaScript bűvésztrükkök, avagy PDF olvasó és böngésző hackelés Bemutatkozás Molnár Gábor Ukatemi Technologies IT biztonsági szakértő gmolnar@ukatemi.com Áttekintés JavaScript Firefox JS sebezhetőség Adober
RészletesebbenAPI tervezése mobil környezetbe. gyakorlat
API tervezése mobil környezetbe gyakorlat Feladat Szenzoradatokat gyűjtő rendszer Mobil klienssel Webes adminisztrációs felület API felhasználói Szenzor node Egyirányú adatküldés Kis számítási kapacitás
RészletesebbenWWW Kliens-szerver Alapfogalmak Technológiák Terv. Web programozás 1 / 31
Web programozás 2011 2012 1 / 31 Áttekintés Mi a web? / A web rövid története Kliens szerver architektúra Néhány alapfogalom Kliens- illetve szerver oldali technológiák áttekintése Miről lesz szó... (kurzus/labor/vizsga)
RészletesebbenSzéchenyi István Egyetem www.sze.hu/~herno
Oldal: 1/6 A feladat során megismerkedünk a C# és a LabVIEW összekapcsolásának egy lehetőségével, pontosabban nagyon egyszerű C#- ban írt kódból fordítunk DLL-t, amit meghívunk LabVIEW-ból. Az eljárás
RészletesebbenMailMasterPlus API. fejlesztői dokumentáció
MailMasterPlus API fejlesztői dokumentáció 1. Bevezetés A MailMasterPlus API (továbbiakban API) célja, hogy lehetővé tegye a MailMasterPlus (továbbiakban MMP) rendszer integrációját, oda vissza történő
RészletesebbenCTools és Panels pluginok
CTools és Panels pluginok Wittmann Balázs Ádám Drupal fejlesztő KYbest 2013, November 16. Elérhetőségek Előadás diák http://kybest.hu/hu/blog Forráskódok https://github.com/whitelikeman/ctools_plugin_examples.git
RészletesebbenAz Educatio weboldalain elhelyezhető hirdetések technikai paraméterei
Az Educatio weboldalain elhelyezhető hirdetések technikai paraméterei Az Educatio Társadalmi Szolgáltató Nonprofit Kft. a következő feltételek szerint készült bannerek elhelyezését vállalja weboldalain:
RészletesebbenOO PDO. Tehát PDO használatával, könnyen átállhatunk egy másik adatbáziskezelőre, anélkül hogy a kódot teljes egészében újraírnánk.
OO PDO PDO VS MYSQLi VS MYSQL ================================================================================ A PHP mysql metódusai elavultak, helyette lehet hazsnálni a MYSQLi metódusokat, amelyek szinte
RészletesebbenSakk játék. Feladat: JavaScript segítségével olyan programot kell írni, ami egy sakktáblát szimulál. Kiválasztásra változtatják a helyüket.
Sakk játék Felhasználói dokumentáció Feladat: JavaScript segítségével olyan programot kell írni, ami egy sakktáblát szimulál. Kiválasztásra változtatják a helyüket. Futtatási környezet: A http://10.0.0.101/~hgy/sakk/
RészletesebbenWebes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk. Cserép Máté
Eötvös Loránd Tudományegyetem Informatikai Kar Webes alkalmazások fejlesztése 1. előadás Webes alkalmazások és biztonságuk Cserép Máté mcserep@inf.elte.hu http://mcserep.web.elte.hu Kommunikáció Alkalmazások
Részletesebben1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7
1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7 1.1. Új virtuális gép és Windows Server 2008 R2 Enterprise alap lemez létrehozása 1.2. A differenciális lemezek és a két új virtuális
RészletesebbenMoodle-integrálás intézményi környezetben
Moodle-integrálás intézményi környezetben Dr. Tornóci László, Dr. Kokovay Ágnes Semmelweis Egyetem E-learning és Digitális Tartalomfejlesztő Igazgatóság A felhasználóazonosítás és a jogosultságkezelés
RészletesebbenValimed API. REST API a magyarországi orvos pecsétszámok validálására
Valimed API REST API a magyarországi orvos pecsétszámok validálására 1. A Valimedről és a jogi háttérről A Valimed legfőképpen gyógyszergyártóknak és orvosi témában érdekelt online szolgáltatóknak szóló
RészletesebbenA webprogramozás alapjai. Óbudai Egyetem Neumann János Informatikai Kar 2018/19/1 szemeszter
1 A webprogramozás alapjai Óbudai Egyetem Neumann János Informatikai Kar 2018/19/1 szemeszter IV. előadás Nyelv típusok HTML nyelv fontosabb elemei I. Mappaszerkezet és file struktúra Szerkesztők bemutatása,
RészletesebbenSzámítógépes Hálózatok GY 8.hét
Számítógépes Hálózatok GY 8.hét Laki Sándor ELTE-Ericsson Kommunikációs Hálózatok Laboratórium ELTE IK - Információs Rendszerek Tanszék lakis@elte.hu http://lakis.web.elte.hu Teszt 10 kérdés 10 perc canvas.elte.hu
RészletesebbenGyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu
Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu Cardinal Kft., Gyimesi István 2007. 1 Hova fejlődött az Internet az elmúlt 10 évben? Kommunkációs protokollok A web nyelve
RészletesebbenKét tűz között. statikus site generátorok és javascript alkalmazások és a Drupal
Két tűz között statikus site generátorok és javascript alkalmazások és a Drupal Várady Zoltán @drifter! zoltan@farm.co.hu! http://farm.co.hu http://www.fsz.bme.hu/hungary/homepage_h.html Magyar Honlap
RészletesebbenInternet technológiák
Szabadkai Műszaki Szakfőiskola Internet technológiák dr Zlatko Čović chole@vts.su.ac.rs 1 XHTML űrlapok 2 XHTML űrlapok Minden űrlap jelölőelem a: form{action, enctype, method} Űrlaptartalom /form jelölőelem
RészletesebbenWebtárhely létrehozása a WWW.freeweb.hu helyen. Lépések Teendő 1. Böngészőbe beírni: www.freeweb.hu. 2. Jobb oldalon regisztrálni (tárhelyigénylés).
Lépések Teendő 1. Böngészőbe beírni: www.freeweb.hu Kép 2. Jobb oldalon regisztrálni (tárhelyigénylés). 3. 4. Értelemszerűen kitölteni a regisztrációs lapot, és elküldeni. 5. Postafiókomra érkező levélben
RészletesebbenHálózati architektúrák és Protokollok GI Kocsis Gergely
Hálózati architektúrák és Protokollok GI - 11 Kocsis Gergely 2015.12.06. FTP File Transfer Protocol Legegyszerűbb FTP parancsok: USER name PASS jelszo CD, RETRIEVE, STORE, MKDIR, RMDIR, HELP, BYE Feladat:
RészletesebbenCsatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network
Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network Table of Contents Windows 7... 2 Windows 8... 6 Windows Phone... 11 Android... 12 iphone... 14 Linux (Debian)... 20 Sebők Márton
RészletesebbenSQLi és XSS sérülékenységek
SQLi és XSS sérülékenységek --==SecuriTeam==-- SQL alapok SQL injection megismeréséhez Az SQL(ejtsd: eszkjuel vagy szíkvel ) egy standardizált nyelv relációs adatbázis-kezelők lekérdezéséhez, adatbázisok
RészletesebbenHálózati architektúrák és Protokollok GI Kocsis Gergely
Hálózati architektúrák és Protokollok GI - 10 Kocsis Gergely 2016.12.05. netcat Feladat (szerver): indítsunk saját szervert, ami az 5555 porton várja a kliens jelentkezését $ nc -l port_száma Feladat (kliens):
RészletesebbenWEB PROGRAMOZÁS 3.ELŐADÁS. Űrlapok
WEB PROGRAMOZÁS 3.ELŐADÁS Űrlapok 2 Globális és környezeti változók Globális és környezeti változók 3 A globális változók azok a változók, amelyeket a program legfelső szintjén, azaz a függvényeken kívül
RészletesebbenMoodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban
Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban Vágvölgyi Csaba (vagvolgy@kfrtkf.hu) Kölcsey Ferenc Református Tanítóképző Főiskola Debrecen Moodle??? Mi is ez egyáltalán? Moodle
RészletesebbenFlash és PHP kommunikáció. Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft
Flash és PHP kommunikáció Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft A lehetőségek FlashVars External Interface Loadvars XML SOAP Socket AMF AMFphp PHPObject Flash Vars Flash verziótól függetlenül
RészletesebbenLOGalyze Telepítési és Frissítési Dokumentáció Verzió 3.0
LOGalyze Telepítési és Frissítési Dokumentáció Verzió 3.0 Dokumentum verzió: 3.0/1 Utolsó módosítás: 2009. március 5. 2 LOGalyze Telepítési és Frissítési Dokumentáció LOGalyze 3.0 Telepítési és Frissítési
RészletesebbenMultimédia 2017/2018 II.
Multimédia 2017/2018 II. 1. gyakorlat HTML5, CSS3 alapok Alapvető HTML5 elemek Egyszerű HTML dokumentum Oldal cime
RészletesebbenSilent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András 2010.02.26.
Silent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András 2010.02.26. 2010.02.26 Webáruházak Szövetsége 1 Témáink Bevezető Vizsgálati módszerek,
RészletesebbenWebszolgáltatások (WS)
Webszolgáltatások (WS) Webszolgáltatások fogalma IBM (lényege) Egy interface, mely a hálózaton keresztül szabványos XML üzenetekkel érhető el és hozzá formálsi XML leírás tartozik. (soap, wsdl) Sun Szoftverelemek,
RészletesebbenHTML. Dr. Nyéki Lajos 2016
HTML Dr. Nyéki Lajos 2016 HTML és SGML HTML (Hypertext Markup Language) SGML (Standard Generalized Markup Language) ISO 8879:1986 A HTML nyelven készült dokumentumok kiterjesztése - az Internet szerveren:.html;
RészletesebbenWeb-technológia PHP-vel
Web-technológia PHP-vel A PHP programnyelv 2, futtatókörnyezet beálĺıtások Erős Bence February 26, 2013 Erős Bence () Web-technológia PHP-vel February 26, 2013 1 / 19 Szuperglobális változók $ GET : request
RészletesebbenSQL*Plus. Felhasználók: SYS: rendszergazda SCOTT: demonstrációs adatbázis, táblái: EMP (dolgozó), DEPT (osztály) "közönséges" felhasználók
SQL*Plus Felhasználók: SYS: rendszergazda SCOTT: demonstrációs adatbázis, táblái: EMP dolgozó), DEPT osztály) "közönséges" felhasználók Adatszótár: metaadatokat tartalmazó, csak olvasható táblák táblanév-prefixek:
RészletesebbenPHP. Adatbázisok gyakorlat
PHP Adatbázisok gyakorlat Mi a PHP? A PHP (PHP: Hypertext Preprocessor) egy nyílt forráskódú, számítógépes szkriptnyelv, legfőbb felhasználási területe a dinamikus weboldalak készítése. A PHP-kódunk általában
RészletesebbenSakk-játék. Bármilyen számítógépen működik, amin található böngésző és Java alkalmazás. Indító képernyő
Felhasználói dokumentáció Sakk-játék Feladat: JavaScript és CSS segítségével sakk-játék készítése. Futtatási környezet: A http://10.0.0.101/~szabby/ linkre kattintva megjelenik az oldal. Az oldal megtekintéséhez
RészletesebbenA HTML5 hirdetések előkészítéséhez szükséges műszaki előírások
A HTML5 hirdetések előkészítéséhez szükséges műszaki előírások Általános információk A hirdetések egy tag-be ágyazzuk be. A paramétereket az tag forráshivatkozásán keresztül adjuk át
RészletesebbenPHP gyorstalpaló, avagy a Hello World-től az űrlapellenőrzésig
PHP gyorstalpaló, avagy a Hello World-től az űrlapellenőrzésig
RészletesebbenNGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2
NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2 Balogh Viktor TMSI Kft. viktor.balogh@tmsi.hu CISM, Sophos UTM Architect, FireEye Certified Engineer antidotum 2014 Sophos UTM 9.1 tulajdonságai röviden NGFW
RészletesebbenElektronikus levelek. Az informatikai biztonság alapjai II.
Elektronikus levelek Az informatikai biztonság alapjai II. Készítette: Póserné Oláh Valéria poserne.valeria@nik.bmf.hu Miről lesz szó? Elektronikus levelek felépítése egyszerű szövegű levél felépítése
RészletesebbenTermészetesen készíts egy csempe nevű könyvtárat és ide mentsd az index.html állományt.
Csempe kalkula tor A küldetésünk az, hogy segítsünk kiszámítani egy fürdőszoba csempeszükségletét (felületét). Sőt, ha a kalkulátort használó ügyfél elégedett egyből elküldheti az e-mail címét, hogy a
RészletesebbenMemória játék. Felhasználói dokumentáció
Memória játék Felhasználói dokumentáció Feladat: JavaScript segítségével, olyan programot írni, mely összekeveri a lapokat, majd a felhasználónak kell párosítani. HTML oldalba ágyazva és CSS-el formázva.
RészletesebbenFacebook album beillesztése az oldalba
Facebook album beillesztése az oldalba Facebook Album Fetcher modul A modulról A Facebook Album Fetcher modul teszi lehetővé, hogy a megadott facebook felhasználó albumai a drupal alapú oldalon megjelenjenek,
RészletesebbenSzalai Ferenc szferi@gluon.hu. http://www.gluon.hu
Amit mindig is tudni akartál az LDAP-ról, de sosem merted megkérdezni Szalai Ferenc szferi@gluon.hu Bevezető Mi szösz az az LDAP? OpenLDAP szerver adatbázis felépítése szerver beállítása Mire jó az LDAP
RészletesebbenKilencedik témakör: Lazarus-Firebird. Készítette: Dr. Kotsis Domokos
PASzSz Kilencedik témakör: Lazarus-Firebird Készítette: Dr. Kotsis Domokos Az SQLdb fülön IBConnection Kapcsolat A Data Access fülön Az SQLdb fülön... Select 1. Az SQLQuery lezárása. (Active := false,
RészletesebbenMVC. Model View Controller
MVC Model View Controller Szoftver fejlesztés régen Console-based alkalmazások Pure HTML weboldalak Assembly, C Tipikusan kevés fejlesztő (Johm Carmack Wolfenstein, Doom, Quake..) Szűkös erőforrások optimális
RészletesebbenA PHP nyelv alapjai. Web-Sky Consulting Kft Tóth Imre 2009
A PHP nyelv alapjai Web-Sky Consulting Kft Tóth Imre 2009 Előadások címei 1. PHP nyelv alapjai 2. Objektumorientáltság a PHP-ben 3. A Http és a PHP kapcsolata 4. Adatbázis kezelés a PHP-ben 5. MVC alapjai
Részletesebben11. Gyakorlat: Certificate Authority (CA), FTP site-ok
11. Gyakorlat: Certificate Authority (CA), FTP site-ok 11.1. A CA szerver szerepkör telepítése a DC01-es szerverre 11.2. Az FTP szervíz telepítése a DC01-es szerverre 11.3. A szükséges DNS rekordok létrehozása
RészletesebbenWebes alkalmazások fejlesztése
Webes alkalmazások fejlesztése 3. gyakorlat Authentikáció, adatok feltöltése Szabó Tamás (sztrabi@inf.elte.hu) - sztrabi.web.elte.hu Authentikáció Manapság már elvárás, hogy a felhasználó regisztrálni
RészletesebbenWebes űrlapok és az XForms ajánlás
Debreceni Egyetem Informatikai Kar Webes űrlapok és az XForms ajánlás Témavezető: Dr. Adamkó Attila egyetemi adjunktus Készítette: Hetei György programtervező Informatikus Debrecen 2010 Bevezetés 3 A HTML
RészletesebbenOperációs rendszerek 1.
Operációs rendszerek 1. Fájlkezelés Balla Tibor balla.tibor@inf.unideb.hu Fájlrendszer: Könyvtárak és Fájlok Inode szuperblokk inode tábla tényleges lemezterület inode = index-node Az inode tábla egy fix
RészletesebbenSmarty AJAX. Miért jó ez? Ha utálsz gépelni, akkor tudod. Milyen műveletet tudunk elvégezni velük:
Smarty AJAX Smarty sablonrendszer fegyverzetét (Funkcióit) igyekszik kiegészíteni, néhány alap AJAX metódussal, amivel a megjelenést, kényelmet vagy a funkcionalitást növelhetjük. A Smarty Ajax függvényeknek
Részletesebben5-ös lottó játék. Felhasználói dokumentáció
5-ös lottó játék Felhasználói dokumentáció Feladat: JavaScript és CSS segítségével 5-ös lottó játék készítése. Futtatási környezet: A http://10.0.0.101/~szabby/ linkre kattintva megjelenik az oldal. Az
RészletesebbenHTML. Ismerkedés a JavaScripttel. A JavaScript lehet ségei. A JavaScript kód helye. Önálló JavaScript fájlok
HTML Ismerkedés a JavaScripttel webprogramozó A weblapokat HTML nyelven készíthetjük el. A HTML egyszer leírónyelv, nem alkalmas válaszolni a felhasználóknak, nem tud döntéseket hozni, nem tud végrehajtani
RészletesebbenAz image objektum. Az image eseménykezel i. Képek el zetes betöltése. Feladat. Váltóképek készítése
Az image objektum Multimédiás alkalmazások készítése JavaScript segítségével webprogramozó a document leszármazottja az images tömbön keresztül érhet el complete : teljesen letölt dött-e? height, width
RészletesebbenHány komputer van a kezemben?
Hány komputer van a kezemben? Ismerkedés az embedded rendszerek programozásával aki nem tudja, tanítja alapon bemutatja az junior programozója Kft SoC AT91SAM7X256 ARM7TDMI @ 55 MHz 256K program Flash
RészletesebbenMoodle IPSZILON előadás - 2005. március 23.
Telepítési és üzemeltetési feladatok a Moodle LMS rendszerben Vágvölgyi Csaba (vagvolgy@kfrtkf.hu) Kölcsey Ferenc Református Tanítóképző Főiskola Debrecen Amiről szó lesz A telepítés rövid ismertetése
RészletesebbenHTML és CSS. Horváth Árpád május 6. Óbudai Egyetem Alba Regia M szaki Kar (AMK) Székesfehérvár
Óbudai Egyetem Alba Regia M szaki Kar (AMK) Székesfehérvár 2015. május 6. Vázlat 1 2 A világháló Története statikus és dinamikus oldal URL DNS-feloldás IP-cím ügyfél (kliens, böngész ) és szerver (kiszolgáló)
RészletesebbenObjektumorientált programozás
JavaScript Objektumorientált programozás böngésző jó néhány objektumot bocsájt a rendelkezésünkre tulajdonságok var txt="hello World!" document.write(txt.length) Web programozás I. - Kecskeméti Fõiskola
RészletesebbenS z á m í t ó g é p e s a l a p i s m e r e t e k
S z á m í t ó g é p e s a l a p i s m e r e t e k 11. Előadás Ami eddig volt Számítógépek architektúrája Alapvető alkotóelemek Hardver elemek Szoftver Gépi kódtól az operációs rendszerig Unix alapok,shell
Részletesebben2008/09 ősz 1. Word / Excel 2. Solver 3. ZH 4. Windows 5. Windows 6. ZH 7. HTML - CSS 8. HTML - CSS 9. ZH 10. Adatszerkezetek, változók, tömbök 11. Számábrázolási kérdések 12. ZH 13. Pótlás Alapfogalmak
RészletesebbenSzámítógépes hálózatok
Számítógépes hálózatok 3.gyakorlat Harmadik gyakorlat forgalomszűrés, DNS, HTTP forgalom elemzés Laki Sándor Hálózati forgalom elemzése 1/3 Különböző célok miatt szükség lehet a hálózati forgalom megfigyelésére
RészletesebbenWEBES ALKALMAZÁSFEJLESZTÉS 1.
WEBES ALKALMAZÁSFEJLESZTÉS 1. Horváth Győző Egyetemi adjunktus 1117 Budapest, Pázmány Péter sétány 1/C, 2.420 Tel: (1) 372-2500/1816 Tartalom 2 Adatbázis-biztonság Model-View-Controller minta MVC keretrendszerek
RészletesebbenEnabling Grids for E-sciencE. EGEE köztesréteg. Adat szolgáltatások a glite-ban. www.eu-egee.org INFSO-RI-222667
EGEE köztesréteg Adat szolgáltatások a glite-ban www.eu-egee.org INFSO-RI-222667 Adat szolgáltatások a Gridben Egyszerű adat fájlok Grid specifikus tárolón Köztesréteg támogatás Replika fájlok Hogy a fájl
RészletesebbenWEBFEJLESZTÉS 2. ADATTÁROLÁS, FÁJLOK
WEBFEJLESZTÉS 2. ADATTÁROLÁS, FÁJLOK Horváth Győző Egyetemi adjunktus 1117 Budapest, Pázmány Péter sétány 1/C, 2.420 Tel: (1) 372-2500/1816 2 Ismétlés Ismétlés 3 Dinamikus szerveroldali webprogramozás:
Részletesebben4. Gyakorlat: Csoportházirend beállítások
4. Gyakorlat: Csoportházirend beállítások 4.1. A Default Domain Policy jelszóra vonatkozó beállításai 4.2. Parancsikon, mappa és hálózati meghajtó megjelenítése csoport házirend segítségével 4.3. Alkalmazások
RészletesebbenHTML é s wéblapféjlészté s
HTML é s wéblapféjlészté s 1. Melyik országból ered a hipertext-es felület kialakítása? USA Japán Svájc 2. Webfejlesztéskor ha a site-on belül hivatkozunk egy file-ra, akkor az elérési útnak... relatívnak
RészletesebbenBiztonság java web alkalmazásokban
Biztonság java web alkalmazásokban Webalkalmazások fejlesztése tananyag Krizsán Zoltán 1 [2012. május 9.] 1 Általános Informatikai Tanszék Miskolci Egyetem 2012. május 9. Krizsán Zoltán [2012. május 9.]
RészletesebbenMiért érdemes váltani, mikor ezeket más szoftverek is tudják?
Néhány hónapja elhatároztam, hogy elkezdek megismerkedni az Eclipse varázslatos világával. A projektet régóta figyelemmel kísértem, de idő hiányában nem tudtam komolyabban kipróbálni. Plusz a sok előre
RészletesebbenInternet, Az internet főbb szolgáltatásai web keresőszolgáltatásokkal Keresőrendszerek: Kulcsszavas 2) Egyéb keresők: Metakeresők gyűjtőkörű keresők
Web alapok Az Internet, számítógépes hálózatok világhálózata, amely behálózza az egész földet. Az internet főbb szolgáltatásai: web (www, alapja a kliens/szerver modell) elektronikus levelezés (e-mail)
RészletesebbenSymfony kurzus 2014/2015 I. félév. Controller, Routing
Symfony kurzus 2014/2015 I. félév Controller, Routing Request - Response GET / HTTP/1.1 Host: xkcd.com Accept: text/html User-Agent: Mozilla/5.0 (Macintosh) HTTP/1.1 200 OK Date: Sat, 02 Apr 2011 21:05:05
RészletesebbenWebkezdő. A modul célja
Webkezdő A modul célja Az ECDL Webkezdő modulvizsga követelménye (Syllabus 1.5), hogy a jelölt tisztában legyen a Webszerkesztés fogalmával, és képes legyen egy weboldalt létrehozni. A jelöltnek értenie
RészletesebbenAz alábbi kód egy JSON objektumot definiál, amiből az adtokat JavaScript segítségével a weboldal tartalmába ágyazzuk.
JSON tutorial Készítette: Cyber Zero Web: www.cyberzero.tk E-mail: cyberzero@freemail.hu Msn: cyberzero@mailpont.hu Skype: cyberzero_cz Fb: https://www.facebook.com/cyberzero.cz BEVEZETÉS: A JSON (JavaScript
RészletesebbenAlapfogalmak, WWW, HTTP
Alapfogalmak, WWW, HTTP WEB technológiák Dr. Tóth Zsolt Miskolci Egyetem 2015 Dr. Tóth Zsolt (Miskolci Egyetem) Alapfogalmak, WWW, HTTP 2015 1 / 34 Tartalomjegyzék Hálózati Alapfogalmak Internet 1 Hálózati
RészletesebbenExtrémen brutál, gyors talpaló PHP nyelvhez (database). v2.1
Extrémen brutál, gyors talpaló PHP nyelvhez (database). v2.1 Eljárásorientált MySqli Írta: Girhiny Róbert a w3schools.com PHP MySQL leírása alapján. http://www.w3schools.com/php/php_mysql_intro.asp http://www.w3schools.com/php/php_ref_mysqli.asp
RészletesebbenFelhasználói útmutató a portal.nakvi.hu oldalhoz
Felhasználói útmutató a portal.nakvi.hu oldalhoz Tartalomjegyzék Tartalomjegyzék Hír beküldése Új oldal létrehozása Menük kezelése Tartalmak menühöz rendelése Hír beküldése Új hír beküldéséhez az adminisztrációs
RészletesebbenS, mint secure. Nagy Attila Gábor Wildom Kft. nagya@wildom.com
S, mint secure Wildom Kft. nagya@wildom.com Egy fejlesztő, sok hozzáférés Web alkalmazások esetében a fejlesztést és a telepítést általában ugyanaz a személy végzi Több rendszerhez és géphez rendelkezik
RészletesebbenWeboldalak biztonsága
Weboldalak biztonsága Kertész Gábor kertesz.gabor@arek.uni-obuda.hu Óbudai Egyetem Alba Regia Egyetemi Központ http://arek.uni-obuda.hu/~kerteszg Mi a web? Gyakori tévedés: az internet és a web nem ugyanaz!
RészletesebbenBackupPC. Az /etc/hosts fájlba betehetjük a hosztokat, ha nem a tejles (fqdn, DNS név) névvel hivatkozunk rájuk: # /etc/hosts #... 192.168.1.
BackupPC Bevezető A BackupPC számítógépek (szerver és munkaállomások) mentését megvalósító szoftver. Legfontosabb jellemzője, hogy távoli mentést alkalmaz smb, ftp, ssh/rsync segítségével. A szoftver perl
RészletesebbenTeszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -
VTP Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW2 SW3 2 Alap konfiguráció SW1-2-3 conf t interface e1/0 switchport trunk encapsulation dot1q switchport mode trunk vtp domain CCIE vtp mode transparent vtp
RészletesebbenPostGIS mogyoróhéjban
PostGIS mogyoróhéjban Siki Zoltán Tartalom Téradatbázis létrehozása Adatok betöltése a téradatbázisba shp2pgsql, QGIS DB kezelő Adatok lekérdezése elemzése Adatok exportálása pgsql2shp QGIS Adatok letöltése
Részletesebben