Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk

Hasonló dokumentumok
Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk. Cserép Máté

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

Weboldalak Biztonsági Kérdései

Webes alkalmazások fejlesztése 6. előadás. Állapotfenntartás (ASP.NET) 2015 Giachetta Roberto

Webes alkalmazások fejlesztése 6. előadás. Állapotfenntartás (ASP.NET) Állapotfenntartás. Állapotfenntartás. Állapotfenntartás.

Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Weboldalak biztonsága

Webes alkalmazások fejlesztése 6. előadás. Állapotfenntartás (ASP.NET) 2015 Giachetta Roberto

Számítógépes Hálózatok GY 7.hét

Az internet az egész világot behálózó számítógép-hálózat.

Webes alkalmazások fejlesztése 6. előadás. Állapotfenntartás (ASP.NET) Cserép Máté.

Számítógépes Hálózatok GY 6.hét

Webes alkalmazások fejlesztése 7. előadás. Autentikáció és autorizáció (ASP.NET)

Webes alkalmazások fejlesztése 3. előadás. Objektumrelációs adatkezelés (ASP.NET)

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

Webes alkalmazások fejlesztése 12. fejezet. Szolgáltatás alapú kommunikáció (WCF) Giachetta Roberto. Eötvös Loránd Tudományegyetem Informatikai Kar

Webes alkalmazások fejlesztése 7. előadás. Autentikáció és autorizáció (ASP.NET Core) Cserép Máté

Web-fejlesztés NGM_IN002_1

Webes alkalmazások fejlesztése 6. előadás. Állapotfenntartás (ASP.NET Core) Cserép Máté

Elektronikus levelek. Az informatikai biztonság alapjai II.

Vectory telepítési útmutató

Webes alkalmazások fejlesztése 4. előadás. Megjelenítés és tartalomkezelés (ASP.NET)

Webtárhely létrehozása a helyen. Lépések Teendő 1. Böngészőbe beírni: 2. Jobb oldalon regisztrálni (tárhelyigénylés).

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Írásjogtól Rootig AIX-on

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Webes alkalmazások fejlesztése 14. fejezet. Szolgáltatások adatkezelése (WCF) Giachetta Roberto. Eötvös Loránd Tudományegyetem Informatikai Kar

Webes alkalmazások fejlesztése Bevezetés. Célkitűzés, tematika, követelmények. A.NET Core keretrendszer

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Webes alkalmazások fejlesztése Bevezetés. Célkitűzés, tematika, követelmények. A.NET Core keretrendszer

A webhelyhez kötődő szoftverek architektúrája

web works hungary Rövid technikai tájékoztató Mars (mars.intelliweb.hu) szerverünkkel kapcsolatban meglévő és új ügyfeleink számára.

Dr. Pál László, Sapientia EMTE, Csíkszereda WEB PROGRAMOZÁS 5.ELŐADÁS. Sütik és munkamenetek kezelése

Webes alkalmazások fejlesztése 4. előadás. Megjelenítés és tartalomkezelés (ASP.NET) Cserép Máté.

Webes alkalmazások fejlesztése

Web programoz as

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

ADATKEZELÉSI SZABÁLYZAT KIVONATA

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1


Pampress Natural adatvédelmi tájékoztató

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

WEBFEJLESZTÉS 2. ADATBÁZIS-KEZELÉS, OSZTÁLYOK

A NÉGY BŰVÖS HÁRMAS WWW FTP SQL PHP. BRKK::Békéscsaba Linux rendszergazda képzés 2008

MIKOVINY SÁMUEL TÉRINFORMATIKAI EMLÉKVERSENY

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

IT hálózat biztonság. Hálózati támadások

4. Hivatkozási modellek

Gyakorlati vizsgatevékenység A

Bérprogram vásárlásakor az Ügyfélnek ben és levélben is megküldjük a termék letöltéséhez és aktiválásához szükséges termékszámot.

Webes alkalmazások fejlesztése 4. előadás. Megjelenítés és tartalomkezelés (ASP.NET Core) Cserép Máté

LBRA6i integrált rendszer

Pampress Natural adatvédelmi tájékoztató

Gyakorlati vizsgatevékenység B

web works hungary Rövid technikai tájékoztató a webhosting szolgáltatásról. (PLESK szerver)

ALKALMAZÁSOK ISMERTETÉSE

A Telekom MoziKlub Piknik oldalon használt sütik

A gyakorlat során MySQL adatbázis szerver és a böngészőben futó phpmyadmin használata javasolt. A gyakorlat során a következőket fogjuk gyakorolni:

Többrétegű műszaki nyilvántartás. NETinv

ADATKEZELÉSI TÁJÉKOZTATÓ

Programozás I. 1. gyakorlat. Szegedi Tudományegyetem Természettudományi és Informatikai Kar

WWW Kliens-szerver Alapfogalmak Technológiák Terv. Web programozás 1 / 31

Példa webáruház kialakítás rendszerdokumentáció

Számítógépes munkakörnyezet II. Szoftver

Az iskolai rendszerű képzésben az összefüggő szakmai gyakorlat időtartama. 10. évfolyam Adatbázis- és szoftverfejlesztés gyakorlat 50 óra

MŰSZAKI DOKUMENTÁCIÓ. Aleph WebOPAC elérhetővé tétele okostelefonon. Eötvös József Főiskola 6500 Baja, Szegedi út 2.

CAD-CAM

OEP Betegéletút lekérdezés háziorvosok és vénytörténet lekérdezés patikák számára. API dokumentáció. verzió: 2.01

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

WIN-TAX programrendszer hálózatban

Információ és kommunikáció

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Kommunikáció. 3. előadás

Sütik (cookie) kezelése

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

Operációs rendszerek gyak.

Kézikönyv. a HGCS-2014 Háztartási nagygépek cseréje. pályázati kiíráshoz kapcsolódó pályázati portál működéséhez.

T-Online-os Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra. Ha az ügyfél még nem rendelkezik saját domain névvel

Hálózati architektúrák és Protokollok GI Kocsis Gergely

Gyakorlati vizsgatevékenység B

Szkriptnyelvek. 1. UNIX shell

K&H e-posta és K&H e-kivonat felhasználói kézikönyv. legutolsó frissítés dátuma:

Elektronikus Információs és Nyilvántartási Rendszer a Doktori Iskolák fiatal kutatói részére

API tervezése mobil környezetbe. gyakorlat

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

Az autorizáció részletes leírása

PHP-MySQL. Adatbázisok gyakorlat

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Inczédy György Középiskola, Szakiskola és Kollégium Nyíregyháza, Árok u. 53. TANMENET. Informatika szakmacsoport

Vodafone-os beállítások Android operációs rendszer esetében

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

Az Internet. avagy a hálózatok hálózata

Excel ODBC-ADO API. Tevékenységpontok: - DBMS telepítés. - ODBC driver telepítése. - DSN létrehozatala. -Excel-ben ADO bevonása

Webes alkalmazások fejlesztése 2. előadás. Webfejlesztés MVC architektúrában (ASP.NET) Webfejlesztés MVC architektúrában Fejlesztés ASP.

OO PDO. Tehát PDO használatával, könnyen átállhatunk egy másik adatbáziskezelőre, anélkül hogy a kódot teljes egészében újraírnánk.

Adja meg, hogy ebben az esetben mely handshake üzenetek kerülnek átvitelre, és vázlatosan adja meg azok tartalmát! (8p)

Tájékoztató. az Online Számla rendszerben az adatszolgáltatási kötelezettség teljesítésének előfeltételeként szükséges regisztráció folyamatáról

Hálózati alapismeretek

Átírás:

Eötvös Loránd Tudományegyetem Informatikai Kar Webes alkalmazások fejlesztése 1. előadás Webes alkalmazások és biztonságuk 2014.02.10. Giachetta Roberto groberto@inf.elte.hu http://people.inf.elte.hu/groberto

Kommunikáció Alkalmazások sok esetben folytatnak kommunikációt hálózaton keresztül, általában az internetprotokollokra (TCP/IP) épülve különböző kommunikációs megoldásokat nyújt egy többrétegű architektúrában alkalmazás: WCF, ASP.NET, interfész: SOAP, CGI, WebSocket, WebGL, Gears, felhasználói: HTTP, FTP, TLS/SSL, BT, szállítói: UDP, TCP hálózati: IP ELTE IK, Webes alkalmazások fejlesztése 1:2

Kommunikáció a felsőbb rétegek absztrakciót nyújtanak, elfedik az alsóbb szinteket növelik a biztonságot, illetve a biztonságosságot biztosítják az összetett tartalommal való kommunikációt absztrakció objektum szöveges üzenet üzenet kommunikáció SOAP HTML TCP IP ELTE IK, Webes alkalmazások fejlesztése 1:3

Rendszerek A hálózaton kommunikáló alkalmazás-rendszerek alapvetően két kategóriába sorolhatóak: decentralizált, közvetlen kapcsolatú (P2P) kliens-szerver: egy központ gép látja el a funkciókat, és szolgál ki tetszőleges sok csatlakozó gépet, amely lehet: vastagkliens (thick client): a végrehajtást a kliens végzi, a szerver főleg kapcsolattartásra, adatkezelésre szolgál vékonykliens (thin client): a végrehajtást a szerver végzi, a kliens interakcióra szolgál kliens kliens szerver ELTE IK, Webes alkalmazások fejlesztése 1:4

Biztonság Egy webes alkalmazás esetén külön hangsúlyt kell helyezni a biztonságra, mivel számos ponton támadás érheti paraméter manipuláció kód injekció kliens alkalmazás szerver alkalmazás munkamenet lopás, identitás hamisítás túlterheléses támadás ELTE IK, Webes alkalmazások fejlesztése 1:5

Adatlopás A biztonsági támadások célja lehet: rendszerek megismerése, feltérképezése rendszerekbe történő beférkőzés, manipuláció felhasználás további támadásokhoz rendszerek megbénítása, leállítása adatlopás, adathalászat kulcsfontosságúak a személyes és pénzügyi adatok az adatokat lehetőség szerint megfelelően titkosítani kell nem visszafejthető kódok (MD5, SHA1, SHA512) sózás (a tartalom módosítása, kiegészítése) ELTE IK, Webes alkalmazások fejlesztése 1:6

Biztonsági támadások Szilícium-völgy (2009): Google, Yahoo és egyéb vállalatok adatai Playstation Network (2010): 77 millió felhasználó adatai Stuxnet (2010): behatolás Irán atomenergia programjába Citigroup (2011): 200 ezer ügyfél adatai BEAST (2011): TLS 1.0 feltörése LinkedIn (2012): 6.5 millió felhasználó jelszava World of Warcraft (2013): aukciós házak feltörése Snapchat (2013): 4.6 millió felhasználónév és telefonszám ELTE IK, Webes alkalmazások fejlesztése 1:7

Kód injekció A kód injekció során kártékony kód kerül átküldésre az alkalmazáshoz, ennek módszerei: SQL injekció: a szerveren futó SQL utasításokat manipulálja cross-site scripting (XSS): szkript kerül feltöltésre a szerverre, amelyet a kliens böngészője futtat dinamikus kiértékelés: a szerver által dinamikusan kiértékelt tartalmat manipulálja távoli fájl injekció: fájl beküldése a szerverre, majd a tartalom futtatása parancssori injekció: rendszerutasítások futtatása a szerveren ELTE IK, Webes alkalmazások fejlesztése 1:8

Kód injekció Pl. (SQL injekció): SqlCommand command = con.createcommand(); command.commandtext = "select * from user where username = '" + textname.text + "' and userpass = '" + textpass.text + "'; command.executereader(); // textpass.text = "' or '1' = '1" betölti // a teljes táblát Pl. (XSS): labelpost.text = textinput.text; // textinput.text = "<script> </script>" esetén // lefut a script a válaszban ELTE IK, Webes alkalmazások fejlesztése 1:9

Kód injekció Sebezhetőségi pontok: bemenő adat (kliens és szerver oldali) ellenőrzésének hiánya, vagy gyengesége (az alapértelmezetten lefutó automatikus ellenőrzés is okozhat sebezhetőségi pontokat) SQL utasítások ellenőrzés nélküli, szöveg alapján történő létrehozása és futtatása, adatbázis-hozzáférés szabályozatlansága gyenge kivételkezelés, és a kivétel információk megjelenése kliens oldalon (számos belső információt jeleníthet meg, amely tovább könnyíti a behatolást) ELTE IK, Webes alkalmazások fejlesztése 1:10

Paraméter manipuláció A paraméter manipuláció (parameter tampering) során a kliens oldalon tárolt speciális információkat írják át, úgymint: oldal argumentumok, űrlap tartalmak süti tartalmak, rejtett mezők, nézetállapotok, HTTP fejlécek Pl. (oldal argumentum): order.php?id=245601&disc=0 // disc=100 esetén ingyenes a rendelés Pl. (süti tartalom): user_id=3013 auto_login=true // a user_id átírásával másként jelentkezünk be ELTE IK, Webes alkalmazások fejlesztése 1:11

Paraméter manipuláció Sebezhetőségi pontok: oldal argumentumok túl nagy felelősséggel való felruházása, pl. elérési útvonalak megadása, felhasználói azonosítás (munkamenetek helyett) felhasználói információk tárolása kliens oldalon, pl. felhasználónév és jelszó sütiben információk (sütik) továbbítása nem biztonságos csatornán (HTTP) rejtett mezők használata az oldalban kritikus információ tárolásra ELTE IK, Webes alkalmazások fejlesztése 1:12

Munkamenet lopás A munkamenet lopás (session hijacking) során a munkafolyamat azonosítót lopják el, így hozzáférhetnek a felhasználói munkafolyamathoz a munkamenetet általában sütik segítségével tárolják a kliens oldalon, ezért a süti megszerzése egyben a munkafolyamathoz való hozzáférést is biztosítja Sebezhetőségi pontok: munkamenet sütik továbbítása nem biztonságos csatornán munkamenet lejáratának korlátozatlansága munkamenet sütin kívüli authentikáció hiánya ELTE IK, Webes alkalmazások fejlesztése 1:13

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés