Weboldalak biztonsága

Hasonló dokumentumok
Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Elektronikus levelek. Az informatikai biztonság alapjai II.

Gyakorlati vizsgatevékenység A

Internet programozása. 1. előadás

Gyakorlati vizsgatevékenység B

WWW Kliens-szerver Alapfogalmak Technológiák Terv. Web programozás 1 / 31

Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk

Weboldalak Biztonsági Kérdései

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

BEVEZETÉS AZ INTERNET ÉS A WORLD WIDE WEB VILÁGÁBA. Kvaszingerné Prantner Csilla, EKF

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Számítógépes vírusok. Barta Bettina 12. B

web works hungary Rövid technikai tájékoztató Mars (mars.intelliweb.hu) szerverünkkel kapcsolatban meglévő és új ügyfeleink számára.

Informatika 9. évf. Webböngésző. Internet és kommunikáció II.

Zimbra levelező rendszer

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk. Cserép Máté

Kétcsatornás autentikáció

IT hálózat biztonság. Hálózati támadások

web works hungary Rövid technikai tájékoztató a webhosting szolgáltatásról. (PLESK szerver)

Mai program. Web Technológiák. Webalkalmazások. Webalkalmazás, mint UI

Földmérési és Távérzékelési Intézet

Webtárhely létrehozása a helyen. Lépések Teendő 1. Böngészőbe beírni: 2. Jobb oldalon regisztrálni (tárhelyigénylés).

Web-fejlesztés NGM_IN002_1

Budapest Főváros Kormányhivatala. Földmérési, Távérzékelési és Földhivatali Főosztály. Általános Szerződési Feltételek.

TESZ INTERNET ÉS KOMMUNIKÁCIÓ M7

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

A Miskolci Egyetem Wikije

XSS férgek és vírusok

ECDL Információ és kommunikáció

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

Web programoz as

Elektronikus Információs és Nyilvántartási Rendszer a Doktori Iskolák fiatal kutatói részére

FRISSÍTÉSI LEÍRÁS A WINIKSZ PROGRAMCSOMAGHOZ

1. fejezet Bevezetés a web programozásába (Balássy György munkája) Az internet működése... 11

Az iskolai rendszerű képzésben az összefüggő szakmai gyakorlat időtartama. 10. évfolyam Adatbázis- és szoftverfejlesztés gyakorlat 50 óra

Webkezdő. A modul célja

Tanári óratartás nyilvántartása a ZMNE-n

Hálózati alapismeretek

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ

Kezdő lépések Microsoft Outlook

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

Telepítés, újratelepítés több számítógépre, hálózatos telepítés Kulcs-Bér program

Felhőszámítástechnika (Cloud Computing) helye és szerepe az on-line világ folyamataiban. Dr. Élő Gábor Széchenyi István Egyetem ITOK 2013

Vonalkód olvasó rendszer. Specifikáció Vonalkód olvasó rendszer SoftMaster Kft. [1]

Marketing szolgáltatás tájékoztató

Tartalom. Bejelentkezés...2 Feltöltés...3 Dokumentumok...4 Jelszómódosítás...7 Jelszókérés...7 Kijelentkezés...8

ALKALMAZÁSOK ISMERTETÉSE

API tervezése mobil környezetbe. gyakorlat

Szolgáltatási csomagok I-SZERVIZ Kft. érvényes szeptember 1-től

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

PHP-MySQL. Adatbázisok gyakorlat

Gyakorlati vizsgatevékenység B

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

Általános fiók beállítási útmutató

Írásjogtól Rootig AIX-on

Syllabus 1.0 Ez a dokumentum részletesen ismerteti az ECDL IT-biztonság modult és megfelelő alapokat ad az elméleti és gyakorlati vizsgához is.

Készítette: Enisz Krisztián, Lugossy Balázs, Speiser Ferenc, Ughy Gergely

A SUPP.LI SÜTI POLITIKÁJA

Az internet az egész világot behálózó számítógép-hálózat.

IV. Számítógépes vírusok és védekezési módszerek

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

Internet alkamazások Készítette: Methos L. Müller Készült: 2010

Flash és PHP kommunikáció. Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft

IT-biztonság A kiberbűnözés fogalma A hackelés, a crackelés és az etikus hackelés közötti különbségek

Tanúsítványok kezelése az ibahir rendszerben

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

OSINT. Avagy az internet egy hacker szemszögéből

COOKIE KEZELÉSI TÁJÉKOZTATÓ. A HTTP-cookie (köznyelvben csak cookie, vagy süti) egy olyan fájl, (egy adatsor)

IT hálózat biztonság. A hálózati támadások célpontjai

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

Tartalom. Google szolgáltatásai. Googol Google. Története. Hogyan működik? Titka

IT-biztonság Syllabus 1.0 A syllabus célja 2014 ECDL Alapítvány Jogi nyilatkozat A modul célja

Információbiztonsági kihívások. Horváth Tamás & Dellei László

JAVA webes alkalmazások

HTML és CSS. Horváth Árpád május 6. Óbudai Egyetem Alba Regia M szaki Kar (AMK) Székesfehérvár

Számítógépes munkakörnyezet II. Szoftver

TERC V.I.P. hardverkulcs regisztráció

Felhasználói kézikönyv a WEB EDInet rendszer használatához

Tipikus időbeli internetezői profilok nagyméretű webes naplóállományok alapján

TANFOLYAMI AJÁNLATUNK

Adatkezelési nyilatkozat

A tananyag beosztása, informatika, szakközépiskola, 9. évfolyam 36

Cloud Security. Homo mensura november Sallai Gyorgy

Az RDC támogatási webhely elérése

Szolgáltatási szint megállapodás

Microsoft SQL Server telepítése

Felhasználói kézikönyv

TUDNIVALÓK A WEB-FEJLESZTÉS I. KURZUSRÓL

Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz

Az Internet. avagy a hálózatok hálózata

Szolgáltatás Orientált Architektúra és több felhasználós adatbázis használata OKF keretein belül. Beke Dániel

Átírás:

Weboldalak biztonsága Kertész Gábor kertesz.gabor@arek.uni-obuda.hu Óbudai Egyetem Alba Regia Egyetemi Központ http://arek.uni-obuda.hu/~kerteszg Mi a web? Gyakori tévedés: az internet és a web nem ugyanaz! Internet: világméretű hálózat Web: egy alkalmazás az interneten Tipikus használati formája: a böngészőn keresztül 1

1991: Tim Berners-Lee, CERN Kutatók együttműködését segítő rendszer létrehozásának ötlete Hypertext Browser Server Kis történelem 2

3

Statikus oldalak A HTML kód a háttérben változatlan A tartalom módosításához a forrásfájlok szerkesztése szükséges Felhasználói interakció gyakorlatilag nincs Statikus oldalak biztonsága Tömören: biztonságos A fájlok csak olvashatóak a weben keresztül A módosításhoz a kiszolgálóra való bejelentkezés szükséges A kiszolgáló operációs rendszere, fájlkiszolgálója, webkiszolgálója azonban mindig tartalmazhat hibát, amellyel hozzáférést biztosíthat jogosulatlanoknak 4

Dinamikus oldalak A webkiszolgáló megkapja a kérést, kikeresi a tárhelyén a kiszolgálandó dokumentumot A dokumentum azonban értelmezendő utasításokat tartalmazhat Ezt a programot futtatva áll elő a kiszolgálandó tartalom A böngésző és a felhasználó számára ez láthatatlan PHP Personal Home Page Tools Szerver oldali általános scriptnyelv 5

Űrlapok feldolgozása Adatbázisok a háttérben Felhasználói űrlapok direkt tárolása Tartalmak betöltése az adatbázisból Weblap online adminisztrációja Ki fér hozzá? 6

Dinamikus oldalak biztonságossága Tömören: biztonságos, ha a fejlesztő tudja a dolgát A program forrásfájljai nem elérhetőek a webről: mindig csak a futtatás eredményét kapja meg a böngésző, azaz a HTML oldalt Különlegesség, hogy a kiszolgáló szoftverei ezúttal az adatbázis kiszolgáló és az értelmező program is, bennük is lehet hiba Persze a programozó hibázhat, és hagyhat rést de erről majd később Hitelesítés, munkafolyam követés A web a tervezéséből adódóan olyan rendszer, amely nem követi, hogy kivel mi történt eddig TBL statikus dokumentum-kiszolgálásra fejlesztette ki, az autentikáció olyan funkció, amit utólag kellett beletenni Megoldás böngésző oldalról: süti Apró szöveges állomány, amely minden kéréssel elküldődik a kiszolgálónak, a feldolgozónyelv eléri a tartalmát. Szerver oldali megoldás: session A süti elvére épül, azonban a böngészőben csak egy azonosító kerül tárolásra, és ez az azonosító van továbbítva a szervernek. A szerveren az azonosítóhoz változók, értékek társíthatóak. 7

Ki a hiteles felhasználó? Adatbázis alapú hitelesítés, a webalkalmazás saját logikája alapján Hitelesítés a kiszolgáló saját felhasználói fiókjai alapján (HTTP protokoll sajátja) A hitelesítés biztonságos? Süti: önmagában különleges megoldás, a tartalmak a számítógépen vannak tárolva. Mindenki, aki a számítógépet használja, potenciálisan hozzáférhet az állományokhoz nem érdemes jelszavakat, felhasználói információkat tárolni benne. Session: alapjaiban biztonságosnak hihető, hiszen az adatok a kiszolgálón tároltak. De! Az azonosítót a böngésző küldi, és sütiben tárolja: sütilopás, sessionlopás 8

Dinamikus kód a böngészőben JavaScript Brendan Eich nevű fiatalember alkotta meg a 90- es évek közepén, mindössze 10 nap alatt! Ártalmas kódok, gyors halál, majd 2002 körül újra feltűnt A mai weboldalak nem tudnak létezni nélküle AJAX Web 2.0 Web 2.0 Tim O Reilly tollából Olyan alkalmazások, ahol a tartalmakat a felhasználó szolgáltatja, nem a webszerkesztő. Technikai ismeretekre nincs szükség Facebook, Youtube, Wikipedia, Twitter, Tumblr, Blogok, Amazon, ebay, stbstb 9

JavaScript kódok biztonsága Tömören: kicsit sem biztonságos! A kódok a HTML forrásában vannak, komolyabb technikai tudás nélkül is olvashatóak ezek Kis ügyeskedéssel módosíthatóak Ha hitelesítés, vagy tartalom validálása van a kliens-oldalon végezve, akkor kellemetlen tapasztalataink lehetnek A böngészők különféle szinteken támogatják a nyelvet, lehet, hogy nem ugyanazt a viselkedést produkálja(!) 10

Támadási, betörési módok Hálózat hiányosságaira alapozott Ember-alapú módszerek Technológia hibáját kihasználó módszer A szolgáltatás elérését korlátozó módszerek Programozó hibájából eredő veszélyek Hálózat hiányosságaira alapozott Man in the middle A vonal lehallgatása, a bejelentkezési információk ellopása A vonal lehallgatása, az átmenő utasítások, és a visszaadott oldalak módosítása Megoldás: Titkosítás, digitális aláírás, csomagok ellenőrző számmal 11

Ember-alapú módszerek Social engineering Emberek bizalmára alapozott információszerzés E-mail jelszó a szolgáltatótól Shoulder Surfing Dumpster Diving Ál-oldalak Az eredetivel megegyező kinézetű, de más viselkedésű oldalak, amelyek esetleg tárolják a belépési infokat Phishing Megtévesztő e-mail címről küldött üzenetek, amelyek vagy hivatkozásra kattintást, vagy választ várnak Technológia hibáját kihasználó módszer Exploit Egy biztonsági rés hibáját kiaknázó program Vírus, trójai faló Gyakori hibák helye az operációs rendszer, a kiszolgáló vagy az adatbázis Megoldás Patch, hivatalos frissítés, javítás JavaScript-beli hiba Rosszindulatú kódok jogosulatlanul elérhetnek privát információkat Böngészőfrissítés szükséges! 12

Pingflood A szolgáltatás elérését korlátozó módszerek A kiszolgálót egy adott típusú kéréssel leterheli az ügyfél, aki képtelen lesz felelni, és leszakad a hálózatról DOS Denial Of Service, szolgáltatásmegtagadás Kiszolgáló terhelése többféle kéréssel, netán általános de gyakori kérésekkel, hogy nehezebben legyen kiszűrhető Distributed DOS Elosztott szolgáltatásmegtagadás Sok gép által, együttesen indított támadás Botnet Nagyon elterjedt, még a nagyok is nehezen élik túl És persze az emberi tényező: a szerver áramellátásának vagy a kapcsolatának szabotálása Programozó hibájából eredő veszélyek SQL Injection Adatbázis utasítások módosítása a beviteli űrlapon keresztül SQL utasítás módosítása, és a viselkedés alapjaiban megváltozik 13

Programozó hibájából eredő veszélyek XSS Cross Site Scripting Beviteli mezőn bevitt tartalom valójában JavaScript kód, amely betöltéskor lefut Védekezés? Ha a programozó nem tette meg, és a felhasználó belefut, akkor nehézkes NoScript Webes biztonság A támadások általánosságban összetettek, több módszert alkalmaznak Hazai kötődésű mintapélda: chat.hu jelszólopás XSS-résen keresztül, ál-oldallal http://www.youtube.com/watch?v=sxsx0hqnla0 14

Köszönöm a figyelmet! E-mail: kertesz.gabor@arek.uni-obuda.hu Web: http://arek.uni-obuda.hu/~kerteszg 15

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés