3971

ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0

Презентация

Информатика, кибернетика и программирование

ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0. Що таке Web 2.0 WEB 2.0 – це методика проектування систем, котрі шляхом врахування мережевих взаємодій стають тим краще, чим більше ними користуються. Web 2.0 - не технологія і не особливий ...

Украинкский

2012-11-10

359.9 KB

5 чел.

ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0

Михайлович Ігор (СН-41)


Що таке Web 2.0?

WEB 2.0 – це методика проектування систем, котрі шляхом врахування

мережевих взаємодій стають тим краще, чим більше ними користуються.

Web 2.0 - не технологія і не особливий стиль Web-дизайну. Це в першу

чергу комплексний підхід в організації та підтримці Web-ресурсів самими

користувачами.

Web 2.0 – це не є чимось новим, це використання традиційних технологій

по –новому.

RSS


Що таке Web 2.0?


Основні напрями атак

1.Крос-сайтовий скріптинг в AJAX

2.Зараження XML

3.Виконання зловмисного AJAX-коду

4.RSS/Atom – ін’єкції

5.Сканування WSDL


Основні напрями атак

6.Валідація на стороні клієнта

7.Проблеми маршрутизації повідомлень

8.Маніпулювання параметрами в SOAP

9.XPATH-ін’єкція в SOAP повідомленні

10.Маніпуляція товстим клієнтом


Заходи захисту для розробників

Web-ресурсів

A. Виконання всієї бізнес-логіки на сервері

B. Перевірка всіх даних на вході/виході

C. Створення інтерфейсів нульової довіри


Заходи захисту для розробників

Web-ресурсів

А) Виконання всієї бізнес-логіки має

відбуватися на сервері, де ймовірнісь

маніпулювання нею значно менша

 Ви не можете довіряти коду з того моменту як він виходить зпід вашого контролю

 Може проводитися реверс – інженіринг web-коду

(java,flash,etc)

 Ніколи не штовхайте(push) критичну інформацію клієнту


Заходи захисту для розробників

Web-ресурсів

B) Перевіряйте дані що надходять та дані що

надсилаються

Перевіряйте ВСЕ, БЕЗ ВИНЯТКІВ,ЗАВЖДИ

Будьте впевнені в тому, що ваш додаток надсилає тільки

те, що треба


Заходи захисту для розробників

Web-ресурсів

С) Вважайте що ваш API чи Web – сервіс

обов'язково буде атакований

Ніколи не довіряйте власному коду, якщо він є в браузері

користувача

Ніколи не дозволяйте інтерфейсу надавати прямі дані,

запити підтвердження


Заходи захисту для розробників

Web-ресурсів

Web 2.0 зосереджений на зручності а не на

безпеці

«Круто» завжди переважає над «безпечно»

Ніколи не думайте, що користувач

«знає краще»


Заходи захисту для користувачів

 Остерігайтеся вірусів та шкідливих програм

 Остерігайтеся фішінг-нападів

 Остерігайтеся e-mail шахрайства

 Думайте перед тим як публікуєте

 Використовуйте жорсткі налаштування приватності


Список джерел

1. Shreeraj Shah. Top 10 web 2.0 Attack vectors http://www.netsecurity.org/article.php?id=949&p=1

2. Rafal Los. When Web 2.o Attcks http://h30501.www3.hp.com/t5/Following-theWhite-Rabbit-A/bg-p/119

3. iYogi. Top 5 Security Measures for Online Social Networking

Usershttp://www.iyogi.net/press-releases/march11/iyogi-reviews-the-top-5security-measures-for-online-social-networking-users.html



 

А также другие работы, которые могут Вас заинтересовать

22943. ФУНКЦІЇ ЯК ТИП ДАНИХ 49 KB
  Кожен з таких покажчиків має тип який відповідає типам параметрів та типу значення функції. З ними можна працювати як зі звичайними даними: присвоювати організовувати у вигляді масивів передавати у якості параметрів повертати як значення функції і т. ПОКАЖЧИКИ ФУНКЦІЙ ПОВИННІ БУТИ ЯВНО ОПИСАНІ В ПРОГРАМІ Імя та тип покажчика функції задаються її прототипом або описом.
22944. Загальна структура Сі-програми 217.5 KB
  oператор ::= безлейбовий_ оператор лейба : безлейбовий_ оператор безлейбовий_ оператор ::= базовий оператор структурований опeрaтор лейба ::= ідентифікатор базовий_оператор ::= порожній_oператор oперато_переходу присвоєння виклик_функції oператор_вираз порожній_oператор ::= ; Сем. вихід_ з_функції ::= return[ значення_функції ] ; значення_функції ::= вираз Сем. присвоєння ::= Lvalue_вираз [ операція ]= вираз ; вираз ::= терм Lvalue_вираз ::= ідентифікатор індексація_покажчика розіменування_покажчика ...
22945. СТАНДАРТНІ ТИПИ ДАНИХ 194.5 KB
  До них відносяться числа символи булеів значення та адреси. Вираз може не мати значення на певних даних наприклад зациклюватись. Вважається що в цьому разі він приймає значення =невизначено. 2 Яке значення набудуть змінні АВС після виконаня оператора { int A=0B=2C=1; A=2 A B C; } З точки зору семантики булевий тип є моделлю двозначної булевої алгебри.
22946. Інформатика як наукова дисципліна 347 KB
  Створення такого підгрунтя є актуальною задачею сучасної інформатики та програмології =теорії програмування Редько В. Тоді очевидно булевий тип Bool мов програмування з відповідними логічними операціями і відношенням є її точною ізоморфною моделлю I відносно функцій кодування 0=false 1=true та декодування = обернена функція до . Модель I використовується в компіляторах для реалізації множинних типів мов програмування високого рівня. Програми та програмування.
22947. ЖИТТЄВИЙ ЦИКЛ ПРОГРАМ (ЖЦП). ПОНЯТТЯ ПРО ТЕХНОЛОГІЮ ПРОГРАМУВАННЯ 73 KB
  ПОНЯТТЯ ПРО ТЕХНОЛОГІЮ ПРОГРАМУВАННЯ Пiд ЖЦП будемо розумiти сукупнiсть науковотехнiчних та органiзацiйних заходiв направлених на розробку та експлуатацiю програмних моделей систем. Щоб продукувати такі складні об'єкти використовують спецiальнi технологiї програмування. В основi технологiй програмування ТхП лежать засоби що реалiзують ЖЦП. Будьяка серйозна ТхП спирається на певну методологiю програмування сукупнiсть певних концепцій методiв програмування тощо.
22948. МАСИВИ. БАГАТОВИМІРНІ МАСИВИ 131.5 KB
  middle] void merge int min int middle int max {int i j m1m2; i=m1=min; m2=middle1; while m1 =middle m2 =max if a[m1] a[m2] b[i]= a[m1]; else b[i]= a[m2]; while m1 =middle b[i]= a[m1]; while m2 =max b[i]= a[m2]; for i=min; i =max; i a[i]=b[i]; } швидке упорядкованому за зростанням масиву a[] довжини n=2 за допомогую масиву b[] void...
22949. СБС-ПРОГРАМИ ТА РЕКУРЕНТНІ ПОСЛІДОВНОСТІ 599 KB
  Індуктивні визначення Структурні блок схеми та СБСпрограми. СБС програми це інтерпретовані структурні блоксхеми. Рекурентні функції і тільки вони обчислюється СБСпрограмами.
22950. Облік розрахунків з дебіторами 79 KB
  Види дебіторської заборгованості та облік рахунків до одержання. Облік наданих знижок, повернення товарів і податку на додану вартість. Методика розрахунку сумнівної дебіторської заборгованості. Облік векселів до одержання.
22951. Мова Сі 240.5 KB
  Дамо індуктивне визначення термів. Розрізнюють три види типізованих термів: префіксні інфіксні та постфіксні. Існує ще один вид термів змішані коли в індуктивному переході одночасно використовується два або і всі три різновиди термів. На практиці з метою спрощення запису термів приймаються ті чи інші угоди.