Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1



Hasonló dokumentumok
Silent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András

Silent Signal Kft. WebShop Tuning. Bálint. Varga-Perke

Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Hogyan építsünk jó webáruházat? dr. Nyeste Gábor fps webügynökség ügyvezető

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Írásjogtól Rootig AIX-on

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

1. Bevezető. 2. Sérülékenységek

IBM Rational AppScan. IBM Software Group. Preisinger Balázs Rational termékmenedzser

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Bizalom, biztonság és a szabad szoftverek. Mátó Péter kurátor fsf.hu alapíttvány

Windows XP. és Ubuntu. mi a különbség? Mátó Péter <mato.peter@fsf.hu> Windows XP vs Ubuntu Mátó Péter <mato.peter@fsf.

Webáruház felhasználói útmutató

Új komponens a Talend Palettán: Starschema SAP Connector. Csillag Péter, Földi Tamás Starschema Kft.

Pánczél Zoltán / Lyukvadászok szabálykönyve

Webáruház felhasználói útmutató

Weboldalak Biztonsági Kérdései

OTRS bevezetése és tapasztalatok a DF-ISZK-n

IT hálózat biztonság. A hálózati támadások célpontjai

Java webalkalmazások felhasználó- és jogosultságkezelése

Számítógépes vírusok. Barta Bettina 12. B

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Könyvesbolt Adatbázis Alapú Rendszerek Kötelező program Készítette: Gmóser Ádám Ádám Gergő

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

Mai program. Web Technológiák. Webalkalmazások. Webalkalmazás, mint UI

Sulidoc Iskolai dokumentum megosztó Dokumentáció

BaBér bérügyviteli rendszer telepítési segédlete év

Minőségi téradat-szolgáltatások. fejlesztése és. és üzemeltetése

Az eladó minden termék és szolgáltatás esetében a Gabriano Pizzéria Kft.

Oktatási Portál Felhasználói segédlet. DMS One Oktatási Portál. Felhasználói segédlet

web works hungary Rövid technikai tájékoztató Mars (mars.intelliweb.hu) szerverünkkel kapcsolatban meglévő és új ügyfeleink számára.

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

JOOTTHON MÉDIAAJÁNLAT TARIFATÁBLÁZAT (utolsó frissítés: március 25.)

SAP Business One: hatékonyabb ellenőrzés, átláthatóbb üzleti folyamatok, megalapozottabb döntések, eredményesebb gazdálkodás

Felhasználói útmutató Tartalom

Az e közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben. Krasznay Csaba

Toborzás a Linkedin és okosórák korában A toborzás, mint ügyfélkapcsolat kezelés

Weboldalak biztonsága

Tisztelt Felhasználó!

BaBér. Bérügyviteli rendszer. Telepítési segédlet 2014.

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

EgroupWare: A csoportmunka megoldás

Adatvédelmi nyilatkozat

Egyetemi adatbázis nyilvántartása és weben

Mikroszámla. Interneten működő számlázóprogram. Kézikönyv

ÁNTSZ portál regisztráció, felhasználói adatok módosítása, jogosultságok felhasználói leírás [Alcím]

QB-Pharma II. és a minősített szolgáltatás

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

IRÁNYTŰ A SZABÁLYTENGERBEN

Adatvédelmi Nyilatkozat TársasTér ( weboldal

CRA - Cisco Remote Access

WEBrendelés modul Felhasználói kézikönyv

ÚTMUTATÓ. az MTA Akadémiai Adattárba (AAT) való regisztrációhoz és adatkitöltéshez, adatfrissítéshez

Felhasználói útmutató EUREST KFT. SEK BUDAPEST INTERNATIONAL SCHOOL HUNGARY MENÜRENDSZERÉNEK HASZNÁLATA

Integrált-HardverSzoftver-Rendszer

Az elektronikus növényorvosi vény (e-vény) szoftver

Folyamatok rugalmas irányítása. FourCorm Kft.

weboldal használati útmutató

5.1 Környezet Hálózati topológia

Földmérési és Távérzékelési Intézet

Kérjük, hogy mielőtt elkezdené használni a Csavarhat webáruházat, gondosan olvassa végig ezt a segédletet.

Webáruházak és a marketing Az e-kereskedelem új trendjei. Milyen webáruházat építsünk 2014-ben? Webáruház-forgalomnövelés Facebookkal.

Sapientia Egyetem, Matematika-Informatika Tanszék.

Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk

Vírusmentesítés naplóelemző eszközökkel

HaXSoN Nyílt forráskódú, zárt informatikai rendszer

Általános Szerződési Feltételek

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

WEBSHOP FELHASZNÁLÓI KÉZIKÖNYV

Regisztrációs és felhasználói beállítások

Biztonságos webalkalmazások fejlesztése

Megbízható kapcsolat az ételintoleranciával foglalkozó szolgáltató központok között. Lőcsey Tamás Budapest,

Felhasználói kézikönyv a WEB EDInet rendszer használatához

A CCL program használatbavétele

HONDA K2D webmodulok. Használati útmutató

Megbízhatóság az informatikai rendszerekben

8. Felhasználókezelés, jogosultságkezelés

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ

AZ OKOSPORTÁL BEMUTATÁSA A PORTÁL HASZNÁLATA OKTATÁSI INTÉZMÉNYBEN

IT hálózat biztonság. Hálózati támadások

Gyermekeink védelme a nemkívánt internetes tartalmaktól. Avagy hogyan fogjuk a kezüket úgy, hogy ne bilincsnek, hanem segítségnek érezzék

KKK2.0 Regisztráció. A regisztráció teljes folyamata: 1. Ügyfél kommunikációs jogosultságának regisztrálása a NAV vámszerveinél.

Oralce kliens installálása Windows Server 2003-ra

A biztonság már közvetlen üzleti előnyt is jelent

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

INFORMATIKAI BIZTONSÁG ALAPJAI

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Enterprise User Security

A Remote Support Platform 3.0 újdonságai

Fábián - Alkatrész Webáruház

Bár a szoftverleltárt elsősorban magamnak készítettem, de ha már itt van, miért is ne használhatná más is.

Felhasználói kézikönyv

Internet(?)biztonság(?) Elek Gábor c. r. alezredes vagyonvédelmi előadó

ECDL Információ és kommunikáció

(appended picture) hát azért, mert a rendszerek sosem

Átírás:

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1

Témáink Bevezető Webáruház, mint IT rendszer biztonsága OWASP TOP10 webes hiba Tévhitek webáruházak biztonságával kapcsolatban Konkrét esetek, példák DEMO 2011.03.04 Marketingtorta - 4 2

Bevezető Mennyire biztonságos az Ön webáruháza? Miből tudja ezt? Lehet vizsgálni a webáruház biztonságát? Érdemes a biztonsággal foglalkozni? Amíg nincs baj, addig még nem, ha pedig már baj van, akkor már nem?! Nagy kockázat! Ki támadná az én webáruházamat? Nagyon nagy munka egy sikeres támadás végrehajtása, ritkán fordul elő ilyen. Ez tényleg így van? Melyek a tipikus hibák, és mit lehet velük elérni? 2011.03.04 Marketingtorta - 4 3

A technika ördögei Webshop = Komplex IT rendszer Hibamentes rendszer létrehozása szinte lehetetlen Minden felhasználó potenciális támadó lehet Nem tudjuk megkülönböztetni a valós vásárlót egy szervezett támadótól Minden felhasználói kezelőelem fegyverré válhat egy támadó kezében Egy webalkalmazás jó bejutási pont lehet a háttérinfrastruktúrához Belső adatbázisok, fájlszerverek, munkaállomások 2011.03.04 Marketingtorta - 4 4

A támadások céljai Adatlopás, adathalászat Személyes adatok Pénzügyi információk Közvetlen és közvetett pénzügyi kár okozása szolgáltatásmegtagadásos (DoS) támadással Deface Politikai, társadalmi aktivizmus Hitelrontás Szórakozás, önkifejezés... Másodlagos cél (lásd következő dia) 2011.03.04 Marketingtorta - 4 5

Másodlagos célok 2011.03.04 Marketingtorta - 4 6

Néhány a TOP10 hibából No. Hiba megnevezése Lehetséges következmények 1. Injection (SQL, OS, LDAP) Adatbázis (ügyfelek, partnerek, üzleti információk) tartalmának megszerzése, szerkesztése, törlése akár észrevétlenül 2. Cross-Site Scripting (XSS) Weboldal tartalmának akár maradandó változtatása, üzenetek elhelyezése, malware terjesztés, lejáratás, ugródeszka 4. Insecure Direct Object References 5. Cross-Site Request Forgery (XSRF) Kedvezmények manipulálása, árak megváltoztatása Ügyfelek ill. adminisztrátor nevében tranzakciók indítása (rendelés, jelszó, ) 6. Security Misconfiguration Rendszerinformációk megszerzése, ezen keresztül további támadások véghezvitele 8. Failure to Restrict URL Access Ügyfél regisztrációval magasabb jogosultság megszerzése, ugródeszka + hírlevél 2011.03.04 Marketingtorta - 4 7

Biztonságos a webáruházam! Mert open-source alapokra épül Mert saját fejlesztésű Mert a fizetés SSL titkosítással megy Mert üzemeltetőnél fut, én csak bérlem vasvilla-biztonság Mr. Kocsis 2011.03.04 Marketingtorta - 4 8

mert open source Szabadon elérhető, ingyenes rendszerek használata Ez még önmagában nem lenne baj! Triviálisan adódik a felhasználók magas száma Ami ingyen van, és minőségi, azt többen használják Amit sokan használnak, abban megéri hibát keresni Amiben hibát keresnek, abban találnak is Frissítések nyomon követése és telepítése fontos Nem csak biztonság miatt, mégis rossz tapasztalatok Toldozgatás lehet a leggyengébb láncszem Állatorvosi ló: Hacktivity 2009 Hack The Vendor 2011.03.04 Marketingtorta - 4 9

mert saját fejlesztésű Ha egyedi webshopom van, a támadónak nincs meg a forráskód, így nem tud mit kezdeni vele tévedés A security through obscurity sosem működött A fejlesztők is emberek, és nagyon hasonló hibákat követnek el. Lásd OWASP webes hibák TOP10 listája Nem az egyedi webshop a probléma, hanem az általa keltett hamis biztonságérzet. Megoldás: rendszeres ellenőrzés és hibajavítás 2011.03.04 Marketingtorta - 4 10

mert SSL a fizetés Felhasználói adatok, elsősorban jelszavak Az ügyfél jelszavához az üzemeltetőnek semmi köze! Titkosítás nélkül a komplex jelszavak sem érnek semmit (OWASP TOP10 7. eleme!) Az egyedi fejlesztésű eljárások soha sem megbízhatóak Hálózati forgalom (OWASP TOP10 9. eleme!) SSL-t ad minden magyar kártyaelfogadó rendszer Mi a helyzet a regisztrációval, bejelentkezéssel, böngészéssel, rendeléssel? 2011.03.04 Marketingtorta - 4 11

Összefoglalás A biztonság NEM felesleges költség (lásd Casco) Alacsony biztonsági szint = magas üzleti kockázat Akihez az ügyfelek eljutnak, ahhoz a támadók is A szoftver és biztonsága nem termék, hanem folyamat, azaz nem egyszer kell minőségit alkotni, hanem folyamatosan tartani kell a szintet Módszer: Frissítések és auditok Alany: platform, (keret)rendszer, konfiguráció Adatbiztonság kiemelten fontos (titkosítás!) 2011.03.04 Marketingtorta - 4 12

Köszönjük megtisztelő figyelmüket! Veres-Szentkirályi András vsza@silentsignal.hu www.silentsignal.hu info@silentsignal.hu 13

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés