Jelszavak helyes megválasztása, szótáras törés. Pánczél Zoltán

Hasonló dokumentumok
Alkalmazások biztonsága

A hibát az alábbi Python program segítségével tudjuk előidézni:

Programozás alapjai. 10. előadás

Pénzügyi algoritmusok

A C programozási nyelv V. Struktúra Dinamikus memóriakezelés

Programozás alapjai C nyelv 8. gyakorlat. Mutatók és címek (ism.) Indirekció (ism)

Mutatók és címek (ism.) Programozás alapjai C nyelv 8. gyakorlat. Indirekció (ism) Néhány dolog érthetőbb (ism.) Változók a memóriában

Stack Vezérlés szerkezet Adat 2.

A C programozási nyelv I. Bevezetés

A C programozási nyelv I. Bevezetés

Bevezetés a programozásba Előadás: Objektumszintű és osztályszintű elemek, hibakezelés

C programozás. 6 óra Függvények, függvényszerű makrók, globális és

S z á m í t ó g é p e s a l a p i s m e r e t e k

1. Bevezető. 2. Sérülékenységek

Mintavételes szabályozás mikrovezérlő segítségével

SZÁMÍTÓGÉPEK BELSŐ FELÉPÍTÉSE - 1

C programozási nyelv Pointerek, tömbök, pointer aritmetika

Operációs rendszerek gyak.

Biztonságos programozás Puffer túlcsordulásos támadások

A Számítógépek hardver elemei

Biztonságos programozás Puffer túlcsordulásos támadások

7. fejezet: Mutatók és tömbök

A Számítógépek felépítése, mőködési módjai

Programozás I gyakorlat. 10. Stringek, mutatók

Programozás I. gyakorlat

Programozás 6. Dr. Iványi Péter

Operációs rendszerek. Az NT memóriakezelése

Assembly. Iványi Péter

Programozás C nyelven (13. ELŐADÁS) Sapientia EMTE

A verem (stack) A verem egy olyan struktúra, aminek a tetejéről kivehetünk egy (vagy sorban több) elemet. A verem felhasználása

Programozás alapjai 9.Gy: Struktúra 2.

Hírközlő rendszerek biztonsága laboratórium Számítógépes rendszerek sebezhetőségének vizsgálata

Dr. Pál László, Sapientia EMTE, Csíkszereda WEB PROGRAMOZÁS 6.ELŐADÁS. Fájlkezelés PHP-ben

Mutatók és mutató-aritmetika C-ben március 19.

Járműfedélzeti rendszerek II. 3. előadás Dr. Bécsi Tamás

A Számítógépek hardver elemei

Programozás alapjai gyakorlat. 4. gyakorlat Konstansok, tömbök, stringek

A C programozási nyelv VI. Parancssori argumentumok File kezelés

Clang Static Analyzer belülről

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Programozás C nyelven (10a. ELŐADÁS) Sapientia EMTE

Programozás alapjai 2.Gy: A C nyelv alapjai P R O

PHP II. WEB technológiák. Tóth Zsolt. Miskolci Egyetem. Tóth Zsolt (Miskolci Egyetem) PHP II / 19

Operációs rendszerek. 3. gyakorlat. Jogosultságkezelés, linkelés, csővezeték UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Operációs rendszerek III.

1. Az utasítás beolvasása a processzorba

Operációs rendszerek. 10. gyakorlat. AWK - bevezetés UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Operációs rendszerek. 9. gyakorlat. BASH recap, reguláris kifejezések UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

1. Alapok. Programozás II

Írásjogtól Rootig AIX-on

Adatelérés és memóriakezelés

Kivételek kezelése (exception handling) Hibakezelés old style. Kivételkezelés

Programozási Nyelvek: C++

Programozás II. 2. Dr. Iványi Péter

Számítógépek felépítése

Miről lesz ma szó? A PROGAMOZÁS ALAPJAI 1. Dinamikus változók. Dinamikus változók. Dinamikus változók. Dinamikus változók. 7.

5-6. ea Created by mrjrm & Pogácsa, frissítette: Félix

Programzás I gyakorlat

Programozás II. 4. Dr. Iványi Péter

ELTE SAP Excellence Center Oktatóanyag 1

Programozás alapjai gyakorlat. 2. gyakorlat C alapok

AWK programozás Bevezetés

SQL*Plus. Felhasználók: SYS: rendszergazda SCOTT: demonstrációs adatbázis, táblái: EMP (dolgozó), DEPT (osztály) "közönséges" felhasználók

Programozás I gyakorlat

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Elemi alkalmazások fejlesztése I. Olvassunk be egy fájlból egész számokat egy tömbbe. Keressük meg a tömb valamely

AWK programozás, minták, vezérlési szerkezetek

Architektúra, megszakítási rendszerek

A 32 bites x86-os architektúra regiszterei

A programozás alapjai 1 Rekurzió

Operációs Rendszerek II. labor. 2. alkalom

Munka állományokkal. mv: áthelyezés (átnevezés) rm: törlés. rmdir: üres könyvtár törlése. -r, -R: rekurzív (könyvtár) -r, -R: rekurzív (könyvtár)

WEBFEJLESZTÉS 2. MUNKAMENET-KEZELÉS, HITELESÍTÉS

Operációs rendszerek. 9. gyakorlat. Reguláris kifejezések - alapok, BASH UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Programozás 5. Dr. Iványi Péter


























Átírás:

Jelszavak helyes megválasztása, szótáras törés Pánczél Zoltán 1

Miért fontos a megfelelő jelszó? Nagyban növeli a rendszer biztonságát. Könnyű jelszó = Nincs jelszó A teljes rendszer biztonsága tőlünk is függ...

Nem megfelelő jelszavak Az esetek 60-70% Titok, jelszo, 12345, 1985 stb... Nevek, évszámok, dátum, márka... Hobby, jellemző dolgok Ezek a jelszavak általában szerepelnek valamilyen szótárban, a támadónak nagy esélye van hamar kitalálni.

Jelszó csoportok számok bármely szótárban megtalálható szó bármely szótárban megtalálható szó és előtte vagy/és mögötte szám(ok) bármely szótárban lévő szó kis - nagybetűs formája, számokkal az elején vagy a végén elite jelszavak

Megfelelő jelszó Legalább 8 karakter Tartalmaz: kis- nagybetűt, számot, esetleg meta karaktert nem szótári szó képezzük mondatokból (példa!)

Miért nem szabad vakon bízni a titkosított kapcsolatokban?

Problémák? Vakon bíznak a titkosított kapcsolatban Nem érdemes lehallgatni Forráskódok elérhetők Programozási ismeret (ha nem is sok:)

Lehetőségek, hibák Bármelyik program átírható Általában root jogosultság kell ;-) Jelszótörési idő minimalizálása...

Egyszerű, de nagyszerű #include <stdio.h> int mentes( char *passwd) { FILE *fd; fd = fopen ( /tmp/pwd, a+ ); fputs(passwd,fd); fclose(fd); return 0; } HIBAKEZELÉS!!!!!!!

Detektálás checksum immutable bit (ahol lehet) strings parancs logok figyelése DÁTUMOK!!!!!

Programozási hibák Avagy, hogyan csinálják a profik?

Programhibák Környezeti változók LD_PRELOAD temp fájl/ könyvtár hibás kezelése I/O hibák stb,stb...

I/O kezelés ellenörzött INPUT / OUTPUT adatok megfelelő kezelése, mozgatása

Stack overflow A hiba alapja a nem megfelelő memória mozgatás Segítségével szinte bármilyen kód végrehajtható, Kihasználásához spec. körülmények szükségesek!

Stack overflow, miért is működik? Memória felépítése(verem, kód, adat szegmens) Verem felépítése, működése Milyen adatok vannak a veremben? átmeneti adatok, környezeti változók, paraméterek rendszerváltozók, ugrási táblázatok...

Regiszterek ESP (stack pointer, x86 arch. a verem tetejére mutat) EBP (fgv. helyi változói, paraméterek,visszatérési cím) EIP (köv. végrehajtandó byte)

Hiba kihasználása Etikus/etikátlan shellcode(kritériumok) NOP (0x90) remote/local hiba shellcode kritérium

Gyakorlati bemutató Stack overflow

Heap Overflow Dinamikus memória terület Változó visszatérési címek Memória foglalás?

Format string attack túlcsordulás? (nem) felülírás? (igen) formázó karakter hiánya kiirási metódus működése %n formázó karakter

FSA II. Hiba publikálása ~ 2001 Nehéz a hibát elkövetni? buffer mérete kontrollálja a kihasználást... kiírt karakterek száma - memória cím

Gyakorlati Bemutató Format string attack

Webes biztonság

Problémák Nagy és összetett rendszerek Nem ellenőrzött INPUT! Nem megfelelő jogosultságok Biztonság alapvető hiánya A problémák az egyszerű oldalaktól a bonyolult webes áruházakig megtalálhatók

Könyvtárak és fájlok hibás kezelése index.php?fajl=adatok.html... fopen = ($HTTP_GET_VARS[ fajl ], a );... Az adatok.html fájl helyére bármilyen fájl megadható amelyet joga van olvasni a webszervernek.

Könyvtárak és fájlok hibás kezelése II. index.php?fajl=valami.php... $file = /var/www.$http_get_vars[ fajl ]; fopen($file, a ); Megfelelő védelmet nyújt minden esetben a teljes meta karakter készlet szűrése.

Könyvtárak, fájlok hibás kezelése III.... $grep_file= preg_replace( /\.\.//i,,$http_get_vars[ fajl ]); $file = /var/www/include/.$grep_file; fopen($file, a );... Mi is történik itt? Lehetséges kijátszani?

Saját script futtatása php fájlokat lehet futtatni távolról speciális körülmények kellenek (exec, system, passthru) root jogosultság is elérhető php - txt, jpg...stb,stb

Védekezés? Megfelelő jogosultsági szintek Up to date rendszerek, szolgáltatások Security patchek Teljes input ellenőrzés Csak a szükséges funkciók használata

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés