3971

ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0

Презентация

Информатика, кибернетика и программирование

ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0. Що таке Web 2.0 WEB 2.0 – це методика проектування систем, котрі шляхом врахування мережевих взаємодій стають тим краще, чим більше ними користуються. Web 2.0 - не технологія і не особливий ...

Украинкский

2012-11-10

359.9 KB

4 чел.

ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0

Михайлович Ігор (СН-41)


Що таке Web 2.0?

WEB 2.0 – це методика проектування систем, котрі шляхом врахування

мережевих взаємодій стають тим краще, чим більше ними користуються.

Web 2.0 - не технологія і не особливий стиль Web-дизайну. Це в першу

чергу комплексний підхід в організації та підтримці Web-ресурсів самими

користувачами.

Web 2.0 – це не є чимось новим, це використання традиційних технологій

по –новому.

RSS


Що таке Web 2.0?


Основні напрями атак

1.Крос-сайтовий скріптинг в AJAX

2.Зараження XML

3.Виконання зловмисного AJAX-коду

4.RSS/Atom – ін’єкції

5.Сканування WSDL


Основні напрями атак

6.Валідація на стороні клієнта

7.Проблеми маршрутизації повідомлень

8.Маніпулювання параметрами в SOAP

9.XPATH-ін’єкція в SOAP повідомленні

10.Маніпуляція товстим клієнтом


Заходи захисту для розробників

Web-ресурсів

A. Виконання всієї бізнес-логіки на сервері

B. Перевірка всіх даних на вході/виході

C. Створення інтерфейсів нульової довіри


Заходи захисту для розробників

Web-ресурсів

А) Виконання всієї бізнес-логіки має

відбуватися на сервері, де ймовірнісь

маніпулювання нею значно менша

 Ви не можете довіряти коду з того моменту як він виходить зпід вашого контролю

 Може проводитися реверс – інженіринг web-коду

(java,flash,etc)

 Ніколи не штовхайте(push) критичну інформацію клієнту


Заходи захисту для розробників

Web-ресурсів

B) Перевіряйте дані що надходять та дані що

надсилаються

Перевіряйте ВСЕ, БЕЗ ВИНЯТКІВ,ЗАВЖДИ

Будьте впевнені в тому, що ваш додаток надсилає тільки

те, що треба


Заходи захисту для розробників

Web-ресурсів

С) Вважайте що ваш API чи Web – сервіс

обов'язково буде атакований

Ніколи не довіряйте власному коду, якщо він є в браузері

користувача

Ніколи не дозволяйте інтерфейсу надавати прямі дані,

запити підтвердження


Заходи захисту для розробників

Web-ресурсів

Web 2.0 зосереджений на зручності а не на

безпеці

«Круто» завжди переважає над «безпечно»

Ніколи не думайте, що користувач

«знає краще»


Заходи захисту для користувачів

 Остерігайтеся вірусів та шкідливих програм

 Остерігайтеся фішінг-нападів

 Остерігайтеся e-mail шахрайства

 Думайте перед тим як публікуєте

 Використовуйте жорсткі налаштування приватності


Список джерел

1. Shreeraj Shah. Top 10 web 2.0 Attack vectors http://www.netsecurity.org/article.php?id=949&p=1

2. Rafal Los. When Web 2.o Attcks http://h30501.www3.hp.com/t5/Following-theWhite-Rabbit-A/bg-p/119

3. iYogi. Top 5 Security Measures for Online Social Networking

Usershttp://www.iyogi.net/press-releases/march11/iyogi-reviews-the-top-5security-measures-for-online-social-networking-users.html



 

А также другие работы, которые могут Вас заинтересовать

18416. Основные понятия и определения: система управления, объекты управления и их характеристика 91 KB
  Лекция 1. Введение. Основные понятия и определения: система управления объекты управления и их характеристика. До сего времени в повседневной жизни и в тех дисциплинах которые вы уже прослушали мы постоянно употребляли такие слова как система управление
18417. Общие сведения о технических средствах автоматизации 107 KB
  Лекция 2. Общие сведения о технических средствах автоматизации. Необходимость изучения общих вопросов касающихся технических средств автоматизации и государственной системы промышленных приборов и средств автоматизации ГСП диктуется тем что технические средств
18418. Модели и процессы принятия решений. Функции и критерии управления. Системный подход к управлению 80 KB
  Лекция 3. Модели и процессы принятия решений. Функции и критерии управления. Системный подход к управлению. Системный подход к задачам управления Существенное изменение масштабов производственных задач на современном предприятии требует использования эффективных ...
18419. Автоматизированные системы управления производством, технологическими процессами. Общая характеристика систем 48 KB
  Лекция 4. Автоматизированные системы управления производством технологическими процессами. Общая характеристика систем. Принципы создания и функционирования автоматизированных систем. Автоматизированные системы управления. Как мы уже знаем под автоматизацией
18420. Организационная и функциональная структура АСУ. Методика формализации систем 61.5 KB
  Лекция 5. Организационная и функциональная структура АСУ. Методика формализации систем. Структура АСУ и ее анализ. Организация протекающих внутри системы информационных и управляющих процессов основана на принятой для этого внутренней структуре. При изучении хара
18421. Последовательность разработки автоматизированных систем 48.5 KB
  Лекция 6. Последовательность разработки автоматизированных систем. Разработка автоматизированных систем включает в себя проектирование внедрение опытную эксплуатацию и нормальную работу АСУ. Большой объем и известная сложность разработки и внедрения АСУ опр
18422. Технология проектирования автоматизированных систем 76 KB
  Лекция 7. Технология проектирования автоматизированных систем. Предпроектной стадия создания АСУ. Предпроектной стадии предшествует ознакомление организацииразработчика с объектом автоматизации и создание организационных предпосылок для начала работ по создан...
18423. Техническое обеспечение автоматизированных систем. Государственная система приборов и средств автоматизации (ГСП). Состав и структура ГСП, характеристика элементов ГСП 185.5 KB
  Лекция 8. Техническое обеспечение автоматизированных систем. Государственная система приборов и средств автоматизации ГСП. Состав и структура ГСП характеристика элементов ГСП. Техническое обеспечение автоматизированных систем. Техническое обеспечение АСУ опре...
18424. Классификация и общая характеристика средств получения информации 36.5 KB
  Лекция 9. Классификация и общая характеристика средств получения информации. Надежная и эффективная работа систем автоматизации в первую очередь определяется достоверностью получаемой об объекте управления информации. Получение в АСУТП точной своевременной полн...