Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет


НазваІнформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет
Дата конвертації23.03.2013
Розмір445 b.
ТипІнформації


Захист інформації в операційних системах, базах даних і мережах

  • Лекція 18

  • Безпека WWW


Основи веб-технології

  • Веб-технологія в наш час є основною технологією в Інтернет

  • Найголовніші її особливості:

    • використання гіпертекстових документів
    • застосування протоколу HTTP для обміну між клієнтом і сервером
  • Програма, що виконується на боці клієнта, називається браузер

  • У гіпертекстові документи можуть бути інтегрованими мультимедійні і програмні об’єкти

    • для демонстрації або виконання таких об’єктів використовуються вбудовані у браузер або підключені до нього модулі


Виконання програм на боці клієнта

  • Основні типи програм, що можуть завантажуватись на комп’ютер користувача і виконуватись на ньому (на боці клієнта):

    • Java-аплети;
    • програми, що написані на мові сценаріїв JavaScript (та деяких інших);
    • програмні компоненти ActiveX Controls;
    • інтерактивні мультимедійні об’єкти Flash.


CGI інтерфейс

  • Веб-сервер звертається до серверів, що реалізують прикладні функції, через інтерфейс CGI

    • Цей інтерфейс визначає
      • способи виклику Web-сервером прикладних програм або бібліотечних функцій
      • способи обміну інформацією з цими об’єктами
  • CGI-програми, у свою чергу, можуть звертатись до інших серверів

    • наприклад, серверів баз даних


Обмін параметрами між клієнтом і сервером

  • Клієнт і сервер за протоколом HTTP можуть обмінюватись параметрами

    • через запити і відповіді
      • клієнт може передавати серверу параметри методами GET і POST
    • через cookie
      • цей спосіб дозволяє серверу зберегти деякі дані про цього клієнта на боці клієнта у вигляді змінних в оперативній пам’яті або у спеціальних файлах


Динамічні сторінки

  • Динамічні сторінки є реакцією Web-сервера на зміну зовнішніх умов

    • Зовнішні умови для Web-сервера – це дані, які сервер отримує від клієнтів за протоколом HTTP
      • параметри запитів GET і POST
      • деякі з заголовків, що відправляються клієнтом
      • cookies
    • Ці дані передаються програмам, що виконуються на боці сервера, і впливають на їх виконання
  • Реакція сервера повинна бути повністю визначеною і документованою, тобто відомою наперед для будь-яких зовнішніх параметрів

    • Можуть існувати такі збіги зовнішніх умов (набори переданих параметрів) у сукупності із станом внутрішніх умов сервера (його тип і версія, ОС, СКБД, налаштовування самого сервера, ОС, файлової системи, змінні оточення, дані у файловій системі та у базі даних), які викликають непередбачену, як правило, несприятливу реакцію
    • У такому випадку можна говорити про вразливість системи до певних загроз і про можливість здійснення порушниками атаки


Основні загрози для сервера

  • Помилки у веб-серверах можуть призводити до таких наслідків:

    • втрата конфіденційності;
    • DoS-атаки;
    • виконання на сервері неавторизованого програмного коду.
  • Ін’єкція вихідного коду

    • дуже поширена і одночасно одна з найнебезпечніших уразливостей сценаріїв, що виконуються на боці сервера
    • характерна для сценаріїв на PHP і на Perl
    • полягає у тому, що порушник отримує можливість впровадити і виконати довільний код на відповідній мові сценаріїв
  • SQL-ін’єкція

    • уразливість, при якій порушник може впроваджувати свої дані, не передбачені розробниками веб-програми, у SQL-запит
  • Міжсайтове виконання сценаріїв (Cross-site scripting, XSS)

    • уразливість, яку можуть мати сторінки, частину вмісту яких користувачі можуть змінювати, і ці зміни потім виводяться іншим користувачам, що відвідують сторінку
    • уразливість полягає у можливості впровадити сценарій, який потім буде виконуватись на комп’ютерах інших користувачів


Уразливості клієнтського ПЗ

  • Типові вразливості клієнтського ПЗ (браузерів) можна класифікувати як:

    • помилки переповнення буферу;
    • помилки, що дозволяють здійснити НСД до файлів на комп’ютері користувача;
    • помилки, що дозволяють підробляти чужі веб-сайти;
    • помилки контролю коректності коду сторінок.


Безпека Java

  • Технологія Java є однією з лідируючих у сучасному Інтернет

  • Java широко застосовується у WWW як на боці клієнта, так і на боці сервера

  • Великою перевагою технології Java є вбудована модель безпеки, яка пропонує рішення проблеми безпеки вже на рівні архітектури

    • Ця модель забезпечує гнучке керування доступом, яке легко налаштовувати, що дозволяє ефективно реалізовувати будь-яку політику безпеки
  • Але і Java може мати вразливості!

    • У компіляторах і віртуальних машинах Java іноді виявляються помилки, що здатні негативно вплинути на безпеку комп’ютера
      • Це вимагає від адміністраторів і розробників систем контролю повідомлень про виявлені помилки і застосування нових виправлених версій
    • Завжди можна створити програму, яка не буде порушувати модель безпеки, але буде шкідливою з точки зору користувача. Наприклад, аплети Java можуть:
      • генерувати неприємні звуки з системного динаміку
      • не зупинятись при виході користувача з Web-сторінки, з якої аплет був завантажений
      • захоплювати значну частину системних ресурсів, наприклад, шляхом утворення великої кількості великих вікон на робочому столі тощо
    • Аплети можуть взаємодіяти з іншими об’єктами, що завантажені у браузер
      • наприклад, із сценаріями Javascript, які мають більші можливості і менший контроль доступу до об’єктів комп’ютера


Чим небезпечні сценарії JavaScript

  • Мова сценаріїв JavaScript була розроблена Netscape і не має практично нічого спільного з Java крім співзвучної назви

  • Сценарії можуть бути вписані безпосередньо у сторінку, або завантажуватись як зовнішні об’єкти

  • Сценарії надають значні можливості для нападів на комп’ютери користувачів. Сценарії можуть:

    • звертатись до численних об’єктів ОС
    • відкривати нові вікна браузера
    • формувати веб-документи і демонструвати їх у вікнах
    • переадресовувати браузер з однієї сторінки на іншу
    • звертатись до змінних cookie
      • з міркувань безпеки вони не можуть читати і записувати cookie, які знаходяться не в тому домені, з якого був завантажений сценарій
      • втім, час від часу виявляються деякі помилки або послідовності дій, які дозволяють ці обмеження обходити
    • Сценарії можуть використовуватись для розповсюдження шкідливих програм
  • У браузерах передбачена можливість заборонити виконання сценаріїв

    • Мало хто використовує цю можливість, оскільки переважна більшість сучасних сайтів в Інтернеті без виконання сценаріїв переглядати неможливо
  • Сучасні антивірусні програми переглядають веб-сторінки у кеші браузера і шукають відомі їм шкідливі сценарії за сигнатурами



Підвищення ступеня захищеності клієнтського ПЗ

  • Свідомо обрати для себе той браузер, який задовольняє вимогам користувача щодо безпеки, функціональності, зручності та гнучкості налаштовувань

    • Слідкувати за повідомленнями про виявлення вразливостей у браузері та усіх додаткових модулях, пов’язаних з ним
    • Своєчасно встановлювати виправлення та оновлені версії браузера.
  • Налаштувати безпеку браузера

    • Встановлення чи відмова від встановлення певних модулів розширення
    • Захист сертифікатів та встановлення параметрів протоколів захищених з’єднань
    • Формування політики стосовно контенту і правил доступу до окремих вузлів
  • Не відвідувати сумнівні вузли

    • не слідувати усім посиланням, не перевіривши їх!
  • Перевіряти весь завантажений контент антивірусним ПЗ з встановленими останніми оновленнями баз сигнатур

  • Використовувати персональний брандмауер, який перевіряє не лише вхідні, а й вихідні з’єднання

    • вбудований брандмауер Windows XP останню вимогу не задовольняє


Ін’єкція вихідного коду

  • Ін’єкція вихідного коду (англ. – Source Code Injection) полягає у тому, що порушник отримує можливість впровадити і виконати довільний код на відповідній мові сценаріїв

    • Ця вразливість є дуже поширеною і одночасно є однією з найнебезпечніших
    • Вона характерна для сценаріїв на PHP і на Perl
  • Ін’єкція вихідного коду PHP виникає внаслідок недостатньої перевірки змінних, що використовуються у таких функціях, як

    • include()
    • require()
    • та подібних


Ін’єкція вихідного коду – функція include() в PHP

  • Функція include() в PHP підключає й виконує будь-який сценарій

  • Якщо в якості аргументу функції передається URI, що вказує на файл на будь-якому HTTP чи FTP сервері, то такий віддалений файл буде завантажений за відповідним протоколом, після чого він буде виконаний

    • Для цього потрібні відповідні дозволи в налаштовуваннях сервера)
    • Можливість включати зовнішні файли задається у налаштовуваннях PHP
    • За умовчанням така можливість є
  • Важливим обмеженням на підключення зовнішніх файлів може бути формат параметру, що передається функції include()

    • Якщо перед змінною, на яку порушник може впливати, стоїть будь-що, то тоді буде неможливо сформувати параметр функції, який був би коректним URI, що вказує на віддалений ресурс
      • наприклад, деякий префікс локального шляху: include(“./profiles/$user_id.php”) не дозволяє вказати в URI протокол: http:// чи ftp://
    • У такому разі немає вразливості глобальної ін’єкції вихідного коду


Ін’єкція вихідного коду - вразливість локальної ін’єкції

  • Порушник може знайти можливість в якості сценарію підставити інтерпретатору PHP деякий файл, що знаходиться на сервері локально і є доступним для зчитування інтерпретатором.

  • Слід враховувати, що розширення .php не є необхідним.

    • Інтерпретатор перегляне будь-який текстовий файл
    • Все, що знаходиться всередині програмних дужок PHP або , буде сприйнято як команди PHP, і вони будуть виконані
    • Все, що знаходиться за межами таких дужок, інтерпретатор PHP вважає за простий текст, і просто виводить його без змін
    • Це надає потенційну можливість впровадити бажаний код у деякий локальний (на сервері) текстовий файл, доступний для зчитування
      • Це може бути навіть журнал реєстрації подій!


Ін’єкція вихідного коду в Perl

  • Ін’єкція коду можлива і в Perl

  • Для цього використовується функція require()

  • На відміну від PHP, Perl дозволяє лише локальну ін’єкцію, і файл повинен бути повністю коректним сценарієм

  • Доступ до цього файлу здійснюється з правами Web-сервера, і наявність права на зчитування є обов’язковою

  • Однак, право на виконання файлу сценарію для його підключення функцією require() не потрібне

  • Ні певне розширення імені файлу, ні навіть наявність стандартного першого рядка #!/usr/bin/perl також не є обов’язковими



Ін’єкція вихідного коду в Perl – помилка 500

  • Для нормального відображенні у браузері сценарій Perl повинен обов’язково вивести HTTP-заголовок content-type, після якого йдуть два символи нового рядка:

    • #!/usr/bin/perl
    • print “Content-type: text/html\n\n”
  • Причиною відсутності виводу заголовку content-type може бути те, що сценарій, до якого було здійснено звернення, насправді розроблявся як такий, що включається до іншого сценарію, і безпосереднє звернення до якого програмістом не передбачалось.

  • Якщо такий рядок не буде виведений у HTTP-заголовок, або якщо перед цим рядком будуть видані інші рядки, які не є HTTP-заголовками, то результатом буде помилка 500 “Internal Server Error”

  • Клієнт отримає повідомлення про помилку, а результати роботи сценарію клієнту надіслані не будуть

  • При цьому у журналі реєстрації сервера також записується повідомлення про помилку

  • Але насправді сценарій при цьому не переривається, а повністю виконується до самого кінця!



Ін’єкція вихідного коду в Perl – Створення процесу функцією open()

  • Функція open() у Perl застосовується для відкривання файлів та зчитування їхнього вмісту

  • При наявності в аргументі функції змінних, що доступні для зміни за протоколом HTTP, ця функція створює значну потенційну небезпеку

    • За відсутності належної перевірки HTTP-параметрів порушники отримують можливість щонайменше прочитати вміст не лише тих файлів, які передбачали розробники, а й деяких інших
    • В залежності від того, як саме передається параметр функції, доступними порушникам можуть стати будь-які файли, що дозволені для зчитування Web-серверу
  • Функція open() у Perl підтримує конвеєр

  • Якщо аргумент функції починається з символу “|”, то рядок, що йде за цим символом, сприймається як команда, яка виконується, і результат роботи якої виводиться замість вмісту файлу



Приклади роботи функції open()

  • Нехай сценарій dumbtest.cgi викликає функцію open() з аргументом file, що він отримує в якості GET параметру, після чого виводить вміст файлу

  • Звернення клієнта за URI

    • http://www.testserver.com/dumbtest.cgi?file=1.txt
    • видасть клієнту вміст файлу 1.txt (якщо такий файл існує у каталозі за умовчанням)
    • Якщо файлу не існує, помилки не буде – буде видана чиста сторінка
  • Звернення клієнта за URI

    • http://www.testserver.com/dumbtest.cgi?file=../../privat.txt
    • видасть клієнту вміст файлу, який знаходиться у каталозі, доступ до якого розробниками не передбачався (вважаємо, що такий файл існує)


Приклади роботи функції open()

  • Звернення клієнта за URI

    • http://www.testserver.com/dumbtest.cgi?file=dumbtest.cgi
    • видасть клієнту текст самого сценарію
  • Звернення за URI

    • http://www.testserver.com/dumbtest.cgi?file=|netstat+-an
    • видасть клієнту результат виконання команди netstat
    • тобто інформацію про мережні інтерфейси сервера, запущені сервіси і встановлені з’єднання
  • Інші символи керування потоками введення-виведення також будуть працювати

  • Наприклад, якщо існує файл 1.txt, то після запиту

    • http://www.testserver.com/dumbtest.cgi?file=>1.txt
    • цей файл буде відкритий на записування (для цього необхідна наявність права Web-сервера на записування в цей файл), і вміст цього файлу буде знищено


Доступ до бази даних

  • Дуже часто Web-програми забезпечують доступ користувачів з Інтернет до деякої бази даних

    • Саме у базі даних здійснюється зберігання інформації, з якої формуються динамічні Web-сторінки: стрічки новин, статті, інформаційні та рекламні матеріали, форуми, альбоми фотографій тощо
    • Переважна більшість матеріалів, які можна зараз побачити в Інтернет, насправді зберігається не у вигляді файлів-сторінок, а у вигляді об’єктів у базах даних
  • Доступ до баз даних здійснюється за допомогою SQL (англ. – Structured Query Language – структурована мова запитів)



Схема доступу до бази даних через WWW

  • Web-програма (прикладний сервер) виконує головну роботу з перетворення HTTP-запиту з деякими параметрами, що передаються через інтерфейс CGI, у SQL-запит до сервера баз даних

    • Саме на цю програму покладається левова частка роботи з перевірки коректності запиту і припустимості його параметрів
    • Саме вона формує SQL-запит
  • Користувач взагалі не працює з SQL, у типовому випадку він лише активує деякі посилання на Web-сторінці (які часто оформлюються у вигляді кнопок, що їх треба “натискати”) і заповнює деякі поля у формах



SQL-ін’єкція

  • У типових реалізаціях Web-систем доступ до бази даних не обмежується лише зчитуванням

    • Найчастіше користувачі також мають чітко обмежені права додавати і редагувати деякі об’єкти у базі даних
      • Користувачі Web-ресурсів додають свої коментарі до статей, записи у книгах відвідувачів, створюють теми на форумах, додають у них свої повідомлення і мають можливість у подальшому їх редагувати і видаляти
    • Це означає, що налаштовуваннями Web-сервера контроль доступу здійснити неможливо
  • Сервер баз даних лише відпрацьовує ті SQL-запити, що до нього надійшли

  • Саме прикладний сервер, який іноді називають “движком”, що реалізує усю логіку роботи відповідного Web-ресурсу, і повинен за параметрами HTTP-запиту формувати такий SQL-запит, який не суперечить політиці безпеки

  • У багатьох випадках користувач може заповнити поля у формі таким чином, що в результаті формується непередбачений розробниками SQL-запит

    • Такий запит коректно відпрацьовується сервером бази даних і в результаті спричиняє порушення політики безпеки стосовно доступу до бази даних
      • Користувач (порушник) може впроваджувати дані, не передбачені розробниками Web-програми
    • У такому випадку кажуть про наявність вразливості SQL-ін’єкції (англ. -- SQL source code injection)
  • SQL-ін’єкція може бути критичною вразливістю в системі

  • При цьому SQL-ін’єкція є також одною з найпоширеніших вразливостей



Як виникає SQL-ін’єкція

  • Web-програма приймає через інтерфейс CGI параметри і використовує їх при формуванні SQL-запиту

  • Наприклад, програма може отримувати параметр id, що надходить як GET-параметр HTTP-запиту, і формувати такий SQL-запит:

    • SELECT * FROM table_1 WHERE id=‘$id’
    • Якщо в якості GET-параметру надійде значення id=123, то буде сформований нормальний SQL-запит, як це й передбачалось розробниками
  • Порушник вручну змінив значення параметру у запиті таким чином:

    • id=123’; SELECT user_id, pwd_hash FROM auth_data ‘
    • Результатом буде такий запит:
    • SELECT * FROM table_1 WHERE id=‘123’; SELECT user_id, pwd_hash FROM auth_data ‘’
    • Ми ввели припущення, що фільтрація значення параметру id не здійснюється, і що порушник наперед знає про таблицю “auth_data”
  • Порушник сформував власний SQL-запит, який не був передбачений розробниками, і який суперечить існуючій політиці безпеки

    • Деякі сервери баз даних (MySQL, Oracle) не дозволяють поєднувати запити через символ “;”, але дозволяють зробити це іншими засобами
    • Інші сервери (PostgreSQL, MS SQL) дозволяють саме таку конструкцію


Чого може досягти порушник 1

  • Можливі практично будь-які дії з базою даних

    • SQL-запити дозволяють не лише отримувати деяку вибірку інформації, але й видаляти або модифікувати окремі поля, записи, або навіть цілі таблиці
  • У програмах, які доступні зовнішнім користувачам за протоколом HTTP, найчастіше зустрічаються такі SQL-запити:

    • SELECT – вибір інформації з бази даних;
    • INSERT – додавання інформації до бази даних;
    • UPDATE – модифікація інформації у базі даних;
    • DELETE – видалення інформації з бази даних.


Чого може досягти порушник 2

  • Деякі сервери баз даних дозволяють роботу з файлами

    • Наприклад, в MySQL доступна функція load_file(), яка приймає в якості аргументу ім’я файлу і вертає його вміст
    • Також доступна конструкція SELECT … INTO OUTFILE , яка виводить результат запиту у файл, що заданий ім’ям з абсолютним шляхом
      • В обох випадках користувач повинен мати особливий привілей file_priv
      • Для того, щоби функція load_file() вернула вміст файлу, а не null, файл повинен бути доступним для зчитування усім користувачам
      • Файл, у який здійснюється вивід конструкцією SELECT … INTO OUTFILE на момент здійснення запиту не повинен існувати в системі
      • Після створення файлу, він стає доступним усім користувачам для зчитування і записування, але не для запуску на виконання
        • Як ми бачили раніше, це й не потрібно: якщо у файл виведено команди PHP, в подальшому він може бути підключеним і виконаним як сценарій при наявності лише права на зчитування
    • В PostgreSQL також існує можливість обміну інформацією між таблицями і файлами
      • Вона реалізується оператором COPY


Чого може досягти порушник 3

  • Шляхом SQL-ін’єкції можна здійснити DOS-атаку на сервер

    • Наприклад, в MySQL її можна здійснити, багаторазово викликавши функцію benchmark(n, expr), яка n разів виконує заданий вираз expr
    • В MSSQL можливе виконання будь-якої системної команди шляхом виклику збереженої процедури exec master..xp_cmdshell “cmd”
      • Результат роботи команди при цьому порушнику не вертається, але сам факт виконання команди на сервері є надзвичайно небезпечним


Пошук вразливості SQL-ін’єкції

  • Для виявлення і використання вразливості SQL-ін’єкції порушнику необхідно провести дослідження реакції програми (у тому числі повідомлень про помилки) на різні варіації усіх параметрів, що передаються їй методами GET, POST, та через cookie

  • Для використання вразливості необхідно також визначити тип сервера бази даних

    • У цілому при наявності вразливості MySQL вимагає від порушника значно більших зусиль по дослідженню, ніж PostgreSQL, де експлуатація вразливості здійснюється порівняно легко
  • Полезная книга:

    • Низамутдинов М. Ф. Тактика защиты и нападения на Web-приложения. – СПб.: БХВ-Петербург, 2005. – 432 с.


Захист від SQL-ін’єкції

  • Для унеможливлення цієї вразливості розробники Web-програм повинні включати ретельні перевірки типів усіх параметрів, що передаються

  • Якщо очікуються дані числових типів, то необхідно

    • або впевнитись, що передані дані саме таких типів
    • або жорстко привести дані до очікуваного типу
  • Якщо очікується рядок, необхідно ретельно контролювати, щоби користувач не міг вибратись у параметрі за межі рядка



Міжсайтове виконання сценаріїв

  • Міжсайтове виконання сценаріїв (англ. – Cross-Site Scripting, XSS) є дуже поширеною вразливістю

  • Цю вразливість можуть мати сторінки, частину вмісту яких користувачі можуть змінювати, якщо ці зміни потім виводяться іншим користувачам, що відвідують сторінку

    • Форуми
    • Чати
    • Системи обміну повідомленнями через веб-інтерфейс
    • Соціальні мережі
    • Сторінки, що містять статті або мультимедійні об’єкти, до яких користувачі можуть додавати свої коментарі
  • Вразливість виникає тоді, коли не проводиться достатня фільтрація даних, що передаються користувачами

    • Порушник може впровадити такі дані, які можуть спричинити певну шкоду іншим користувачам
    • Для наявності вразливості необхідна можливість користувачу передавати не лише текстову інформацію, виведення якої шкоди нанести не може, але й посилання на інші документи й ресурси, а найголовніше – сценарії
  • Через вразливу систему порушник отримує можливість виконати деякий сценарій на системі іншого користувача у контексті вразливої системи (сервера)



Чого можна поробити

  • Використовуючи вразливість типу XSS, порушник може досягти таких цілей:

    • здійснити “дефейс” сайту (зміну вигляду сторінки з метою дискредитації її власника, введення в оману користувачів, або простого хуліганства);
    • отримання параметрів (наприклад, cookie) від користувача;
    • збирання статистики щодо дій користувачів;
    • виконання неявних дій адміністратором.


Зміна вигляду сторінки

  • Найпростіші у виконанні зміни, які радикально змінюють вигляд сторінки, можна здійснити навіть без застосування JavaScript: достатньо визначити стиль, що використовує непрозорий шар, який повністю перекриває існуючу сторінку, і вивести цим стилем свою інформацію. Оригінальна сторінка буде надіслана користувачеві, але не буде йому видима (хоча переглянувши HTML-код сторінки, користувач може її виявити, а здійснивши редагування цього коду – і побачити).

  • Більш небезпечні зміни стосуються не вигляду, а наповнення сторінки, особливо – посилань, що на ній містяться. Засобами JavaScript можна легко спрямувати користувача на зовсім іншу сторінку. Наприклад, такий сценарій:


Схожі:

Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних І мережах Лекції 14-15 Безпека мережних протоколів Інтернету Питання Безпека протоколу ip безпека транспортних протоколів udp tcp
На рівні протоколу ip відпрацьовується передача пакета між мережами, І для цього передбачені ряд засобів
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних І мережах Лекції 14-15 Безпека протоколів стеку tcp/ip питання Безпека протоколу ip безпека транспортних протоколів udp tcp
На рівні протоколу ip відпрацьовується передача пакета між мережами, І для цього передбачені ряд засобів
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних І мережах Лекція 16 Безпека прикладних протоколів Інтернету Питання Застарілі протоколи Telnet Мережні служби unix актуальні протоколи ftp
Порушник шляхом прослуховування Telnet-сеансів може отримати ім’я користувача і його пароль, і в подальшому скористатись ними
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних і мережах Лекція 13 Особливості розподілених систем і Інтернету з міркувань безпеки Мережні або віддалені атаки
Розподіл ресурсів та інформації у просторі робить можливим специфічний вид атак так звані
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних І мережах Лекція 17 Безпека електронної пошти Питання Протоколи електронної пошти smtp pop3 imap4 Загрози зловживання електронною поштою
Будь-яке повідомлення від сервера за протоколом smtp розпочинається з трьох символів-цифр, що визначають код завершення операції
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних і мережах Лекція 19 Firewalling міжмережне екранування Підведемо деякі підсумки Згадаємо основні загрози Назвемо основні методи атак
Для того, щоби зовнішній порушник отримав доступ до інформації, він має спочатку здійснити вторгнення
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних і мережах Лекція 19 Firewalling міжмережне екранування Головні цілі захисту Загрози безпеці мереж Вторгнення  загроза усім 3 цілям безпеки
Перевантажує cpu, пам’ять або ресурси мережі жертви шляхом відправлення великої кількості запитів
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних І мережах Лекція 6 iso/iec 15408 "Common Criteria" Історія розробки (1/3) 1990 рік
Міжнародна організація із стандартизації (iso) розпочинає роботи із створення стандарту у сфері оцінки безпеки інформаційних технологій...
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних І мережах Лекція 3 Поняття захищеної операційної системи Будемо вважати захищеною таку ос, яка передбачає захист від основних загроз: Сканування файлової системи
Побудова так званих "довірених" (trusted) версій шляхом модернізації існуючих систем
Інформації в операційних системах, базах даних І мережах Лекція 18 Безпека www основи веб-технології Веб-технологія в наш час є основною технологією в Інтернет iconІнформації в операційних системах, базах даних і мережах Лекції 11-12 Апаратні засоби Завдання апаратного забезпечення засобів захисту
За усталеною термінологією склад аззз визначається не за ознакою апаратної реалізації, а за колом завдань, що вирішуються

Додайте кнопку на своєму сайті:
dok.znaimo.com.ua


База даних захищена авторським правом ©dok.znaimo.com.ua 2013
звернутися до адміністрації
dok.znaimo.com.ua
Головна сторінка