2 Varför är XSS och SQL-injection så vanligt?
|
|
- Sofia Månsson
- för 8 år sedan
- Visningar:
Transkript
1 Datum: Skribent: Jonas Feldt Föreläsare: Gunnar Kreitz 2D1395, Datasäkerhet Nya tekniker Den här föreläsningen behandlar säkerhetshål i SQL- och PHP-kod, möjliga exploits av teckenkodningssystemet UTF-8 och så kallad Google-hacking. Även formella metoder (matematiska bevis) för säkerhet tas upp, samt IDS - Intrusion Detection Systems. 1 Mitre Förra föreläsningen togs Mitre upp, en organisation som bland annat administrerar en databas med Common Vulnerabilities and Exposures (CVE). CVE är till för att namnge säkerhetshål, så att världen har ett gemensamt namn för ett visst hål. 1.1 Kritik mot Mitre Mitre har fått en del kritik för sin databas. Det som nämns är bland annat: Det är inte Mitres sak att hålla reda på säkerhetshål. Databasen listar säkerhetshål, inte exploits. Man jämför så att säga äpplen och päron när man likställer ett inte så allvarligt säkerhetshål som Cross-site Scripting (XSS) med det allvarligare buffer overflow. En stor del av säkerhetshålen som samlats in gäller små applikationer, som mycket få personer använder. 2 Varför är XSS och SQL-injection så vanligt? PHP är ett scriptspråk som används för att skapa dynamiskt webb-innehåll. I och med att det är väldigt lätt att skriva PHP-kod lockar det till sig nybörjare som inte alltid vet hur säker kod ska skrivas. PHP har också en ganska dålig säkerhetsdesign. 2.1 Dålig säkerhet i PHP En variabel i PHP är register-globals, som satt till false ger en farlig funktionalitet i applikationen. Ett vanligt PHP-anrop, t.ex. f oo.php?f oo = 2 gör att variabeln foo i programmet får värdet 2. Detta anrop kan utökas till foo.php?foo = 2&admin = true, vilket förstås gör att en eventuell boolesk variabel admin får värdet true. Om denna variabel satt till sann ger användaren administrator-rättigheter kan mycket tråkigt hända. I tidigare versioner 1
2 2 2D1395 Datasäkerhet HT 2006 av PHP fanns inte register-globals. En automatisk översättning av variabler i anropet till variabler i programmet utgjorde då ett stort säkerhetshål. PHP är inte heller så bra på att isolera kunder från varandra som använder samma webbhotell. 2.2 Exempel på dålig säkerhet i färdigt system Systemgruppen på KTH laddade ned ett gratis Open Source-bokningssystem för att föreläsare enkelt skulle kunna boka t.ex. salar och projektorer. En snabb granskning av källkoden hittade man 3 SQL-injections 10 XSS Detta visar att det är farligt att lita på scripts man installerat på sin webb-server. 3 Don t Try This At Home! Folk är snälla och rapporterar hål, men kan trots det råka ut för problem. Det är dumt att leta efter säkerhetshål på t.ex. hemsidor frilans". Utan uttryckligt tillstånd kan man råka illa ut. Det räcker inte att säga att man letade hål bara för att vara snäll". Blir man inhyrd för att göra ett säkerhetstest på ett system ska man se till att ha ett bra och skriftligt kontrakt innan man börjar. 3.1 Du kan råka illa ut Engelsmannen Daniel James Cuthbert skulle donera pengar till tsunami-offer, men fick ingen bekräftelse att det fungerat. Han misstänkte att han blivit offer för phising och ville kolla om siten var legitim. Detta gjorde han av någon anledning genom att stoppa in../../../ i URL:en. Han erkände sig senare skyldig till dataintrång och dömdes för detta. I USA skulle McCarthy ansöka till University of Southern California. Han hittade en SQL-injection i ansökningsapplikationen, laddade hem 17 rader ur antagningsdatabasen och rapporterade detta. Han dömdes till 3 års villkorlig dom, varav 6 månader i husarrest, samt dollar i böter. 4 SQL-injection Databaser är idag mycket populära och används till det mesta. För att kommunicera med dem används SQL. En SQL-fråga kan se ut så här: SELECT * from author WHERE author_id = $aid; Genom att sätta $aid = 0; droptable * kan man få SQL att tolka frågan som SELECT * from author WHERE author_id = $aid = 0;
3 Nya tekniker 3 DROP TABLE * Denna extra DROP TABLE läggs alltså in som en helt ny sats i SQL-queeryn och gör att alla tabeller i databasen raderas. Om PHP-scriptet som denna SQL-fråga körs från inte har rättigheter att t.ex. radera tabeller har man inte detta problem. 4.1 Hur hindrar vi SQL-injection? Filtrera indata. Använd bättre API/konfiguration. Försök göra indata säkert. Tecken som ska undvikas är enkla citationstecken, t.ex. foo, dubbla citationstecken och backslash. Gör istället om till \, till \ och \ till \\ för att slippa problem. Det här kan gå fel! Oftast missar programmeraren att filtrera någon parameter. En bättre ide är att använda ett bättre API, t.ex: JDBC: SELECT * FROM author WHERE author_id =?" Python: Här kan man skriva SELECT * FROM author WHERE author_id = %(aid)d för att säkerställa att aid alltid ska vara en signed integer. Det farliga är att en enkel felskrivning kan öppna upp för SQL-injection. Korrekt syntax är för en SQL-fråga är execute(query, params), men råkar man skriva fel, execute(query%params), är SQL-injection möjlig. 5 Teckenkodning och icke-kanonisk form UTF-8 är ett sätt att koda tecken, en så kallad multi byte-kodning. Den går ut på att man först bortser från eventuella nollor, sedan tittar på första bitarna för att se hur många bytes som följer. Antal bit: 7 bitar ger kodning med 1 byte, på formen 0xxx xxxx bitar ger kodning med 2 bytes, på formen 110x xxxx 10xx xxxx bitar ger kodning med 3 bytes, på formen 1110 xxxx 10xx xxxx 10xx xxxx 5.1 Risker med UTF-8 På en webbserver vill man inte tillåta anrop som ger obehöriga tillgång till skyddade filer. Ett anrop som innehåller t.ex.../../../etc/passwd skulle eventuellt kunna exponera en lösenordsfil och ska förbjudas. Genom att känna igen och förbjuda teckenkombinationen../ undviker man den säkerhetsrisken. Problemet när UTF-8 används är att / kan se ut på olika sätt:
4 4 2D1395 Datasäkerhet HT 2006 Kodat med 1 byte ser / ut så här: (2F hexadecimalt). Kodat med 2 byte ser / ut så här: (C0 AF hexadecimalt). 2-bytekodningen är ogiltig, men om den kodas av naivt ger den ändå ett / som resultat. I Microsofts Internet Information Services (IIS) accepterades förut ogiltiga 1-bitsrepresentationer av tecken, vilka senare ej kollades vid valideringen av indata. En URL som innehöll..%c0%af.. gav nu ett icke önskvärt resultat, eftersom C0AF ju är 2-bytesrepresentationen av /. Den fruktade teckenkombinationen../ tilläts därför. Hålet är nu lagat och IIS filtrerar ut ogiltiga teckenrepresentationer. 5.2 Problem med fler namn på samma sak Webbservern Apache gör ingen skillnad på stora och små tecken i filnamn (likaså Windows). Om rättigheter sätts för filen index.html får även filen med namn IndeX.HtMl dessa rättigheter när den öppnas. I Windows rättades problemet till för länge sedan, men nyligen kom svenska databasleverantören MySQL på att de hade samma typ av säkerhetshål. Om man satte rättigheter för db.secret fick även db.secret dessa. 6 PKCS paddning för RSA-signaturer Firefox och Operas implementationer av PKCS (Public Key Cryptography Standards) 1.5 är lite trasiga. Publik exponent e = 3 används ibland i RSA-nycklar av effektivitetsskäl, även av vissa Certification Authorities. Paddning anses ge bättre säkerhet, men att använda 3 som exponent ger upphov till en del problem. PKCS 1.5 ser ut så här: 0.1.FF.FF.1 <hashfunktion> <hashvärde> Skapar man paddningen med en trasig implementation av PKCS 1.5 på detta sätt kan man lätt ordna så att t.ex. 0.1.FF.FF.1 [SHA-1] [160 bit hashvärde] [skräp] får en giltig signatur, trots att man själv lagt in [skräp] med elakheter i slutet. Lägger man in rätt sorts [skräp] i slutet så att PKCS-datan blir en jämn kub, kommer en trasig RSA validera meddelandet trots att det inte är orginalet. 7 Google-hacking Sökmotorn Google exponerar en hel del säkerhetshål i diverse system. Inför valet kunde man söka på mysql_connect ssu.se rootför att få reda på lösenordet till SSUs databas. PHP-koden som då hittades avslöjade allt: $db = mysql_connect( [IP-nummer], root, [Lösenordet] ); Anledningen till att koden syntes var ett byte av PHP-version. Den gamla versionen gjorde om.php4-filer till HTML, men när den nya installerades behandlades bara.php-filer. Koden i.php4-filer syntes därför i klartext.
5 Nya tekniker 5 På webbsidan johnny.ihackstuff.com finns en lista över just Google-hacks. Med hjälp av den listan och Google kan man finna: Servrar med kända säkerhetshål Lösenord (ofta från sidor som visar PHP-kod istället för att köra den) Hemlig information. Ett exempel på detta är att det nyligen hittades servicemanualer som två bankomattillverkare lagt ut där default-lösenord syntes i klartext. Eftersom default-lösenord ofta inte byts var det möjligt att komma in i vissa bankomater och ändra inställningarna. En man i USA utnyttjade detta och ändrade så att en bankomat istället för att ge 5-dollarsedlar gav 20-dollarsedlar vid uttag. 8 Formella metoder Tänk om vi kunde bevisa att ett program är korrekt! Först måste vi definiera vad "korrekt"innebär för just det programmet, sedan bevisa att programmet uppfyller villkoren för korrekthet. För små program kan man bevisa detta, men för mer komplex programvara har man inte kommit på hur man ska gå tillväga. Korrekthetsbevis är ett aktivt forskningsområde. 8.1 Proof-Carrying-Code Om vi kan bevisa något, varför inte skicka med det med programmet? Idén är att den som kör programmet verifierar beviset som kom med. Den stora bördan läggs därför på tillverkaren, men det finns problem med att definiera vad man vill bevisa. Skulle man få den här metoden att fungera reducerar man i viss mån behovet av signaturer. Om koden behöver ändras skulle beviset fortfarande gälla, om nu inte elak kod lagts till. 9 IDS - Intrusion Detection System IDS innebär IntrångsDetektionsSystem, som upptäcker attacker. Hindras även attackerna kallas systemet för IPS - Intrusion Protection System. Två typer av IDS är NIDS och HIDS. 9.1 NIDS - Network IDS Ett NIDS känner igen, snarare än spärrar, nätverksattacker. Ett exempel på ett NIDS är Snort, som är en komersiell open source-programvara. Snort har en signaturdatabas med kända attacker och kostar pengar för att få snabb tillgång till denna. Vanligaste formen för ett NIDS är just att känna igen farliga mönster, som../, cmd.exe och /bin/sh, samt kända maskar. 9.2 HIDS - Host IDS Vanliga operationer för ett HIDS är att kontrollera loggar, filintegritet, aktiviteter, rootkit, virus och program på en enskild maskin. Det finns ett antal HIDSprodukter, men ingen jättestrikt definition på vad ett HIDS är. Grundkomponenter
6 6 2D1395 Datasäkerhet HT 2006 är nog loggar och integritetsskydd (t.ex. för att kolla att operativsystemets kärna är intakt) Problem med IDS Traditionella IDS har en del problem, bland annat att de mest känner igen gamla attacker. En cracker kan därför starta en egen IDS för att på det sättet lära sig undvika det skydd som det tänka offret har. Det vore istället bättre om ett IDS kunde känna igen suspekt aktivitet, även om det inte sett attacken förut. Kanske kan detta lösas med att ett IDS har en modell över vad som är normalt och rapporterar avvikelser utifrån detta. Att utveckla ett sådant IDS är ett aktivt forskningsområde Problem med NIDS NIDS går ofta att lura, t.ex. genom att det finns oklarheter i protokoll. IP har t.ex. fragmentering, vilket kan ge problem för ett NIDS om operativsystemet och NIDS:et tolkar fragmenteringen olika. Att olika operativsystem kan tolka fragmenteringen på olika sätt innebär förstås ytterligare problem. Ett paket kan skickas uppdelat, se bilden nedan. När paketet kommer fram ser det inte ut som orginalet, och tolkningsproblemet uppstår. Vilken version av byte 3 gäller? Kodning, UTF-8, kan ge problem. 9.3 Att samköra loggar Intressant information om vad som hänt i ett system kan fås fram genom att samköra loggar från IDS och brandvägg. Det är bra att få reda på vad mer den som gjort IDS-attacken kommunicerat med. Att få ut något användbart ur loggar är svårt. En idé är att beskriva händelser med grafer, men den är inte fullt utvecklad ännu. 9.4 Honeypot En honeypot är ett system som är uppsatt enbart för att brytas in i. En cracker som upptäcker en honeypot lägger ner tid på att anfalla detta system, istället för att försöka bryta sig in i det riktiga systemet. Med en honeypot får man varningar om intrångsförsök och tillåter en att analysera anfallare riskfritt. Erfarenheter visar att ju bättre honeypot som finns uppsatt, destå mer anfallsaktivitet. En bra honeypot tar det ju längre tid att bryta sig in i och avslöja som falsk.
7 Nya tekniker 7 10 Källor Python operators: PKCS 1.5: PKCS 1.5 säkerhetshål: Bankomathacking:
Innehåll. MySQL Grundkurs
MySQL Grundkurs Copyright 2014 Mahmud Al Hakim mahmud@dynamicos.se www.webbacademy.se Innehåll Introduktion till databaser Installera MySQL lokalt Webbserverprogrampaket (XAMPP) Introduktion till phpmyadmin
Läs merInstallationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: 2009-12-14 Mottagare: Visi Web kund
Sida: 1(7) Installationsanvisningar VisiWeb Ansvarig: Visi Closetalk AB Version: 2.3 Datum: 2009-12-14 Mottagare: Visi Web kund Detta dokument Detta dokument beskriver hur man installerar VisiWeb på en
Läs merNätsäkerhetsverktyg utöver kryptobaserade metoder
Nätsäkerhetsverktyg utöver kryptobaserade metoder Brandväggar Innehållsfiltrering IDS Honungsnät Krävd kunskap i kursen: Att dessa skyddsmetoder finns, vilka grundvillkor man kan/ska ha vid uppsättningen
Läs merEssential Php Security Författare: Shiflett, Chris Antal sidor: 124 Förlag: O'Reilly
PHP Säkerhet & Optimering tobias.landen@chas.se se Att läsa om ämnet Bra och kortfattad tt dbok: Essential Php Security Författare: Shiflett, Chris Antal sidor: 124 Förlag: O'Reilly ISBN 10: 059600656X
Läs merGenerell säkerhet. Loggning - Hur mycket ska man logga? Inloggningsrutinerna i Unix. Loggning fortsättning
Generell säkerhet Här finns det inga direkta rätt eller fel. Snarare saker man bör tänka på när man implementerar ett program. Kort sagt: Efter att du kommit på hur du tänkt göra, sov på saken och tänk
Läs merSäkerhet. Säkerhet. Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449
Säkerhet Säkerhet Webbteknik II, 1DV449 Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet F06 Säkerhet Dagens agenda HTTPS Autentisiering - Egen autentisiering - Lösenordshantering
Läs merAvancerade Webbteknologier 2. AD11g Göteborg 2012 Säkerhet
Avancerade Webbteknologier 2 AD11g Göteborg 2012 Säkerhet Korta punkter Projekt: Något som behöver redas ut? Product: Public Guid CategoryID {g; s;} Public virtual Category Category {g; s;} Category: Public
Läs merOWASP Topp 10 2013. De 10 allvarligaste riskerna i webbapplikationer. 2013-10-03 OWASP East Sweden: Uppstartsmöte
OWASP Topp 10 2013 De 10 allvarligaste riskerna i webbapplikationer 2013-10-03 OWASP East Sweden: Uppstartsmöte Vad är OWASP Topp 10? Är ett av OWASP mest populära projekt Är inte en standard Fokuserad
Läs merWebbservrar, severskript & webbproduktion
Webbprogrammering Webbservrar, severskript & webbproduktion 1 Vad är en webbserver En webbserver är en tjänst som lyssnar på port 80. Den hanterar tillgång till filer och kataloger genom att kommunicera
Läs merSkapa din egen MediaWiki
Skapa din egen MediaWiki Inledning och syfte I detta moment skall du installera en egen wiki (Mediawiki), som du skall konfigurera. Du har möjligheten att använda en egen wiki på din dator eller webbhotell
Läs merFöreläsning 2. Operativsystem och programmering
Föreläsning 2 Operativsystem och programmering Behov av operativsystem En dator så som beskriven i förra föreläsningen är nästan oanvändbar. Processorn kan bara ges enkla instruktioner såsom hämta data
Läs meremopluppen Installationsmanual
emopluppen Installationsmanual Sammanfattning Den här manualen beskriver hur man installerar Emo-Pluppen. Innehållsförteckning 1 - Förberedelser... 1.1 - Operativsystem... 1.2 - PHP... 1. - Webbserver...
Läs merSNABBGUIDE för Windows Media Encoder (media kodaren) - Sänd live med din webbkamera
SNABBGUIDE för Windows Media Encoder (media kodaren) - Sänd live med din webbkamera Instruktionerna till denna kameraguide är en enkel kom igång guide. Grundkrav: En webbkamera som är kopplad till datorn
Läs merEBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring
EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är
Läs merÖversikt. Installation av EasyPHP 1. Ladda ner från http://www.easyphp.org/ Jag använder Release 5.3.4.0 2. Installera EasyPHP.
Laboration 1 Översikt 1. Att komma igång med laborationsmiljön a. installera Aptana Studio 3 b. Installera EasyPHP 2. Testa lite programmering a. Testa enkla uppgifter b. Testa automatiskt 3. Skapa inloggningsformulär
Läs merSäkerhet, eller nått. Tomas Forsman <stric@cs.umu.se> 2014-10-14
Säkerhet, eller nått. Tomas Forsman 2014-10-14 Vem är jag? SysAdm på CS sen 1999 SysAdm på ACC sen 1998 Gillar att undersöka saker Mest åt Linux/Unix-hållet med datorer Programmerings-NM
Läs merModul 6 Webbsäkerhet
Modul 6 Webbsäkerhet Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra
Läs merNya webbservern Dvwebb.mah.se
Nya webbservern Dvwebb.mah.se Bakgrund: BIT (Bibliotek och IT) beslutar att ta ner Novell systemet 28/3 som är en katalogtjänst som styr bland annat alla studenter s.k. hemkataloger på Malmö högskola såväl
Läs merInledning LAMP Perl Python.
... 1 Inledning... 1 1. Linux, Apache, MySQL, PHP (LAMP)... 2 1.1 Linux... 2 1.2 Apache... 3 1.3 MySQL... 4 1.4 PHP... 5 2. Wordpress... 8 2.1 Databasen... 8 2.2 Installation av Wordpress... 9 2.3 Multisite...
Läs merJavaScript del 3 If, Operatorer och Confirm
JavaScript del 3 If, Operatorer och Confirm Under förra uppgiften så kollade vi på hur användaren kan ge oss information via promt(), vi använde den informationen både för att skriva ut den och för att
Läs merLektion 5 HTML, CSS, PHP och MySQL
Lektion 5 HTML, CSS, PHP och MySQL I den här lektionen behandlas i huvudsak PHP för att läsa information från en databas, MySQL. Det förutsätts att tidigare lektioner är gjorda, eller att du har tillräckliga
Läs meremopluppen Användning av "Ant" Niklas Backlund Version: 1.4 ( 2002/04/26 07:27:52 UTC)
emopluppen Användning av "Ant" Version: 1.4 ( 2002/04/26 07:27:52 UTC) Niklas Backlund Sammanfattning Det här dokumentet handlar om programmet Ant, som är en byggmiljö för programutvecklingsprojekt. Dess
Läs merInstallera din WordPress med 9 enkla steg
Installera din WordPress med 9 enkla steg Den här artikeln förutsätter att du har satt upp en webbserver eller har köpt ett webbhotell där du kan placera din nya WordPress hemsida. Om du inte har det,
Läs merINTRODUKTION TILL JDBC
INTRODUKTION TILL JDBC Vad är JDBC? JDBC står för Java DataBase Connectivity. JDBC ingår i Java och består av en del klasser som har hand om databasfunktionalitet. Med Java följer JDBC-ODBC Bridge driver,
Läs merSystemkrav och tekniska förutsättningar
Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån
Läs merVad är en databas? Databasutveckling Med MySQL/MariaDB
Databasutveckling Med MySQL/MariaDB Copyright Mahmud Al Hakim mahmud@webacademy.se www.webacademy.se Vad är en databas? Från Wikipedia En databas (tidigare databank) är en samling information som är organiserad
Läs merSkicka och hämta filer med automatik
Skicka och hämta filer med automatik etransport kan automatiseras med hjälp av ett kommandobaserat verktyg som stödjer HTTP GET och POST samt SSL. Genom att till exempel använda en klient från en tredjepartsleverantör
Läs merTrafla databasen vi hämtar data från (remote export) ligger på en godtycklig maskin i nätverket. Den här databasen är en MIMER databas.
DB01 - Remote DB01 kan användas på ett nytt sätt. Vi kallar det för remote. Det innebär att man kan peka ut databaser på nätverket som mål för export eller import. Denna funktion är avsedd för att flytta
Läs mer729G28. Webbprogrammering och databaser. Introduktion till webbutveckling med PHP. Jakob Pogulis Institutionen för Datavetenskap (IDA)
729G28 Webbprogrammering och databaser Introduktion till webbutveckling med PHP Jakob Pogulis Institutionen för Datavetenskap (IDA) 729G28 Webbprogrammering och databaser Introduktion till webbutveckling
Läs merHja lp till Mina sidor
Hja lp till Mina sidor Vanliga Frågor Varför godkänner inte Mina sidor mitt personnummer trots att jag har prövat flera gånger och är säker på att jag skrivit rätt? Du behöver använda ett 12 siffrigt personnummer
Läs merInnehåll. Dokumentet gäller från och med version 2014.3 1
Innehåll Introduktion... 2 Före installation... 2 Beroenden... 2 Syftet med programmet... 2 Installation av IIS... 2 Windows Server 2008... 2 Windows Server 2012... 6 Installation av webbapplikationen
Läs merInstallationsanvisningar
Installationsanvisningar Hogia Webbrapporter INNEHÅLLSFÖRTECKNING Systemkrav version 2013.x 3 Installation av IIS för Windows Server 2008 5 Nyinstallation av Hogia Webbrapporter 8 Installation och inloggning
Läs merAlla filer som bearbetar PHP script ska avslutas med ändelsen.php, exempelvis ska en indexsida till en hemsida heta index.php
Introlektion PHP är ett av de enklare språken att lära sig just pga. dess dynamiska struktur. Det används för att bygga upp båda stora och mindre system. Några vanliga system som använder sig av PHP är
Läs merInstallationsanvisningar
Installationsanvisningar Hogia Webbrapporter INNEHÅLLSFÖRTECKNING Systemkrav version 2011.XX 3 Installation av IIS för Windows Server 2003 5 Installation av IIS för Windows Server 2008 8 Nyinstallation
Läs merInstallera SoS2000. Kapitel 2 Installation Innehåll
Kapitel 2 Installation Innehåll INSTALLATION MDAC och ODBC...2 Installera SoS2000 i arbetsplatsen...2 SoS2000 serverprogramvara...2 SoS2000 och övriga Office program...3 Avinstallera SoS2000...3 Brandväggar...3
Läs merSäkerhetsbrister & intrång
Säkerhetsbrister & intrång Internetdagarna 2001 Vem är Anders Ingeborn? Civilingenjör Datateknik KTH ixsecurity Frilansskribent Föredragshållare Innehåll Tekniska säkerhetsbrister Trender Erfarenheter
Läs merInstallation och konfiguration av klientprogramvara 2c8 Modeling Tool
Installation och konfiguration av klientprogramvara 2c8 Modeling Tool Hämta programpaket, MSI Aktuell version av klientprogramvaran finns tillgänglig för nedladdning på vår hemsida på adress http://www.2c8.com/
Läs merAutentisering och Code-Based Access Control
2D1395, Datasäkerhet Autentisering och Code-Based Access Control Datum: 2006-09-12 Skribent: Carl Lundin Föreläsare: Gunnar Kreitz Den här föreläsningen behandlade autentisering och Code-Based Access Control.
Läs merHå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1
Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1 För att 3L Pro skall fungera krävs att nedanstående hårdvarukrav och mjukvarukrav är uppfyllda. Viktigt är att tänka på att
Läs merKompletterande instruktioner för installation och konfiguration av HMS-server för koppling mot KONTAKT
Kompletterande instruktioner för installation och konfiguration av HMS-server för koppling mot KONTAKT Innehållsförteckning 1 Maskinkrav innan installation 2 Konfigurera IIS 3 Installationsanvisningar
Läs merBankkonto - övning. Övning 2 Skriv en metod, geträntan, som returnerar räntan.
Bankkonto - övning Övningar att göra efter lärardemostration. Filen bankkonto.zip innehåller ett projekt med klassen Bankkonto. Zippa upp denna fil och öppna projektet i BlueJ och skriv vidare på klassen
Läs merDatasäkerhet. Informationsteknologi sommarkurs 5p, 2004. Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.
Informationsteknologi sommarkurs 5p, 2004 Mattias Wiggberg Dept. of Information Technology Box 337 SE751 05 Uppsala +46 18471 31 76 Collaboration Jakob Carlström Datasäkerhet Slideset 10 Agenda Hot mot
Läs merDATA CIRKEL VÅREN 2014
DATA CIRKEL VÅREN 2014 Ledare: Birger Höglund och Sten Halvarsson Sida:1 av 6 Kursdag 22 januari 2014 Olika kablar: Sten berättade och visade upp olika möjligheter att ansluta kablar till dator och telefoner.
Läs merHandbok Simond. Peter H. Grasch
Peter H. Grasch 2 Innehåll 1 Inledning 6 2 Använda Simond 7 2.1 Användarinställning.................................... 7 2.2 Nätverksinställning..................................... 9 2.3 Inställning
Läs merDatasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?
Datasäkerhet Hur ska vi göra för att skydda våra datorer mot virus och andra hot? Eva Blommegård, Lars-Anders Westlin samt Bengt Wolff SeniorNet Tyresö Agenda och definitioner Virusskydd Lösenord. Säkra
Läs merFactoryCast HMI. Premium & Quantum PLC. MySQL Server och FactoryCast HMI databastjänst 2004-10-29
FactoryCast HMI Premium & Quantum PLC MySQL Server och FactoryCast HMI databastjänst 2004-10-29 INNEHÅLLSFÖRTECKNING 1 DATABASTJÄNSTEN...3 1.1 KONFIGURERING AV DATABASTJÄNST...3 2 KONFIGURERING MYSQL...6
Läs merManual för din hemsida
Manual för din hemsida Dynamiska hemsidor är en lösning för att man på ett enkelt sätt skall kunna lägga till, ändra och ta bort sidor på sin hemsida. För att detta skall vara möjligt bygger lösningen
Läs merSäkrare hemsida med.se
Säkrare hemsida med.se Jörgen Nilsson, Ikyon AB 27 maj 2012 Innehållsförteckning: 3. Inledning 3. Mål och syfte 3. Projektbeskrivning 6. Leverabler 6. Resultat 8. Utvärdering och analys 9. Utvärdering
Läs merHandbok Dela Skrivbord. Brad Hards Översättare: Stefan Asserhäll
Brad Hards Översättare: Stefan Asserhäll 2 Innehåll 1 Inledning 5 2 Protokollet Remote Frame Buffer 6 3 Använda Dela Skrivbord 7 3.1 Hantera inbjudningar i Dela Skrivbord.......................... 9 3.2
Läs merPaket IIS BAS IIS Standard IIS Premium. Lagringsutrymme 10 GB* 50 GB* 100 GB* Epostutrymme 10 GB 25 GB 50 GB. Antal databaser 3 st 5 st 10 st
Vi har utökat utrymmet på våra webhotellspaket så ni får plats med MYCKET mer data än tidigare (10x mer data). Se i prislistan nedan för vad som ingår. Vi kan erbjuda er ett webbhotell med Microsofts IIS
Läs merProgrambeskrivning. Chaos på Web. Version 1.0 2005-09-21
2005-09-21 Programbeskrivning Chaos på Web Version 1.0 Chaos systems AB Tel. 08-410 415 00 e-post: info@chaos.se Solna strandväg 18, 6tr Fax. 08-29 06 66 http://www.chaos.se 171 54 SOLNA Reg. nr: 556476-6813
Läs merSpara papper! Skriv inte ut sammanfattning utan ladda ner PDF!
Denna beskrivning har gjorts på Windows XP Professional (men bör fungera även på Home Edition och Windows 2000/2003). Att installera Oracle 9i Personal Edition kräver ca. 3 GB hårddiskplats och ca. 200
Läs merFunktionsbeskrivning
Funktionsbeskrivning [DB01 Uttagsprogram - remote] 2009-11-06 Version: Beteckning: Ändringshistorik Revision Datum Av Kommentar Granskare Godkännare Jan Rundström/Torgny Fridlund 2009-11-06 2 (17) Innehållsförteckning
Läs merManuell import till Lime Pro
Manuell import till Lime Pro Ibland kan det vara nödvändigt att göra en manuell import till Lime Pro, t.e.x. om en fil inte kan importeras och man behöver mer information för att felsöka. I den vanliga
Läs merSystemkrav. Åtkomst till Pascal
Systemkrav Åtkomst till Pascal Innehållsförteckning 1. Inledning... 3 2. Operativsystem, webbläsare och Net id... 3 3. Net id (Gäller enbart för SITHS-kort)... 6 4. Brandväggar (Gäller enbart för SITHS-kort)...
Läs merWebbprogrammering - 725G54 PHP. Foreläsning II
Webbprogrammering - 725G54 PHP Foreläsning II Agenda Serverskript PHP Validering av data med serverskript Säkerhet Lab 2. Live coding Serverskript Kör ett program på servern och resultatet skickas till
Läs merTentamen etjänster och webbprogrammering
Tentamen etjänster och webbprogrammering Institutionen för informatik och media, informattionssystem Datum 26/8 Tid 8.00 12.00 Lärare Owen Eriksson Fredrik Bengtsson Maxpoäng 65 För Godkänd krävs minst
Läs merSpråket Python - Del 2 Grundkurs i programmering med Python
Hösten 2009 Dagens lektion Funktioner Filhantering Felhantering 2 Funktioner 3 FUNKTIONER Att dela upp program Att dela upp program i mindre delar, funktioner är ett viktigt koncept i programmering. Viktigt
Läs merTEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7
för version 1.7 Innehållsförteckning Innehållsförteckning... 2 Krav för... 3 Systemskiss... 3 Systemkrav Server... 4 Operativsystem*... 4 Program i servern... 4 Databas... 5 SMTP inställningar för mail....
Läs merAnvändarhandledning Version 1.2
Användarhandledning Version 1.2 Innehåll Bakgrund... 2 Börja programmera i Xtat... 3 Allmänna tips... 3 Grunderna... 3 Kommentarer i språket... 4 Variabler... 4 Matematik... 5 Arrayer... 5 på skärmen...
Läs merKarlstads Universitet, Datavetenskap 1
DAV B04 - Databasteknik KaU - Datavetenskap - DAV B04 - MGö 229 PHP Hypertext Preprocessor Scriptspråk på serversidan Innebär att webbservern översätter php-scripten innan sidan skickas till webbläsaren,
Läs merAllmänt om programvaror och filer i Windows.
Allmänt om programvaror och filer i Windows. Vart sparade du dokumentet? I Word. Jag har fått detta svar mer än en gång när jag försökt hjälpa någon att hitta ett dokument som de tappat bort i sin dator.
Läs mer732G Linköpings universitet 732G11. Johan Jernlås. Översikt. Repetition. Felsökning. Datatyper. Referenstyper. Metoder / funktioner
732G11 Linköpings universitet 2011-01-21 1 2 3 4 5 6 Skapa program Kompilera: Källkod Kompilator bytekod Köra: Bytekod Virtuell maskin Ett riktigt program Hej.java class Hej { public static void main (
Läs merIntroduktion MySQL och MariaDB
Introduktion MySQL och MariaDB Copyright Mahmud Al Hakim mahmud@webacademy.se www.webacademy.se Vad är MySQL? MySQL är en databashanterare. Den använder sig av frågespråket SQL. MySQL är fri programvara,
Läs merIntroduk+on +ll programmering i JavaScript
Föreläsning i webbdesign Introduk+on +ll programmering i JavaScript Rune Körnefors Medieteknik 1 2012 Rune Körnefors rune.kornefors@lnu.se Språk Naturliga språk Mänsklig kommunika+on T.ex. Svenska, engelska,
Läs merInnehåll MySQL Intro. Allmänt om Lagrade Procedurer Enkel utformning Skapa en lagrad procedur Använda parameter som indata
Innehåll MySQL Intro Allmänt om Lagrade Procedurer Enkel utformning Skapa en lagrad procedur Använda parameter som indata 1 Lagrad procedur / Stored Procedure Lagrad procedur har många namn, förkortningen
Läs merAvancerade Webbteknologier
Projektledning, Business Knowledge Användbarhet & Layout Avancerade Webbteknologier Lkti Lektion 1 Kommunikation Tobias Landén tobias.landen@chas.se Avancerade webbteknologier del 1 (4 KY poäng) Syfte
Läs merLabb i Datorsystemteknik och programvaruteknik Programmering av kalkylator i Visual Basic
Labb i Datorsystemteknik och programvaruteknik Programmering av kalkylator i Visual Basic Inledning Starta Microsoft Visual Studio 2005. Välj create Project Välj VB + Vindows Application och välj ett nytt
Läs merSäkerhet ur ett testperspektiv
Säkerhet ur ett testperspektiv (Erfarenheter efter 4 år med säkerhetstest på Microsoft) Copyright Prolore AB. All rights reserved. Viktor Laszlo - Prolore Jobbat med teknisk testning i 15 år Var med och
Läs merMånga företag och myndigheter sköter sina betalningar till Plusoch
70 80 60 ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 40 20 30 Manual 2 Installation Många företag och myndigheter sköter sina betalningar till Plusoch Bankgirot
Läs merKrav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.
Uppdatera Mobilus Professional till version 3.1.2 Krav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering. Mobilus Digital Rehab AB * Filen MP.exe (Mobilus programmet) får inte användas
Läs merModul 8 Hantering av indata
Modul 8 Hantering av indata Indata De flesta webbplatser idag tillåter användare att mata in data Utan denna möjlighet hade inte webben varit vad den är idag Tyvärr innebär detta stora säkerhetsrisker
Läs merMicrosoft Internet Information Services 7 / 7.5
Microsoft Internet Information Services 7 / 7.5 Följande guide beskriver hur man administrerar certifikat på Microsoft IIS 7 & 7,5. För support och hjälp till användandet av denna guide kan du kontakta
Läs merIntroduktion till MySQL
Introduktion till MySQL Vad är MySQL? MySQL är ett programmerings- och frågespråk för databaser. Med programmeringsspråk menas att du kan skapa och administrera databaser med hjälp av MySQL, och med frågespråk
Läs merSäkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet
Säkerhetsanalys The Dribble Corporation Produkt: Dribbles En elektronisk pryl Vill börja sälja över nätet Behöver utveckla nätverksinfrastuktur 19/10-04 Distribuerade system - Jonny Pettersson, UmU 1 The
Läs merCompose Connect. Hosted Exchange
Sida 1 av 15 Compose Connect Hosted Exchange Presentation av lösningen: Compose Hosted Exchange Följande möjligheter finns för hantering av e-post 1. Lokalinstallerad Outlook-klient För att kunna använda
Läs merDokumentation för VLDIT AB. Online classroom
Dokumentation för VLDIT AB Online classroom 2 Introduktion VLDIT AB önskar area för att tillhandahålla ett kursutbud online för sina befintliga deltagare, men även för nya. Syfte för applikationen: tillhandhålla
Läs merE11 "Protection" Föreläsning 11, HT2014 Säkerhet, tillgänglighet. Johan Leitet. Kurs: 1dv403 Webbteknik I
Föreläsning 11, HT2014 Säkerhet, tillgänglighet E11 "Protection" Kurs: 1dv403 Webbteknik I Johan Leitet E11 Protection Dagens agenda Tillgänglighet Säkerhet Webbsajt vs. Webbapp Webbsida/webbsajt Webbapplikation
Läs mer10 TIPS FÖR ATT SÄKRA DIN HEMSIDA. Hur du gör för skydda dig mot att din hemsida ska hackas.
10 TIPS FÖR ATT SÄKRA DIN HEMSIDA Hur du gör för skydda dig mot att din hemsida ska hackas. Först och främst! Använda alltid svåra lösenord. Dom bör innehålla en stor bokstav, flera små bokstäver, nån
Läs merDataintrång hos Dataföreningen. Annica Bergman Dataföreningen i Sverige Internetdagarna 21 oktober 2008
Dataintrång hos Dataföreningen Annica Bergman Dataföreningen i Sverige Internetdagarna 21 oktober 2008 Dataföreningen i Sverige Dataföreningens verksamhet omfattar drygt 26 000 medlemmar, fördelade på
Läs merMcAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0
Versionsinformation McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0 För användning med McAfee epolicy Orchestrator Innehåll Om den här versionen Nya funktioner Förbättringar Lösta problem Översikt
Läs merTDP003 Projekt: Egna datormiljön
. TDP003 Projekt: Egna datormiljön Egen utvecklingsmiljö Kursmaterial till kursen TDP003 Höstterminen 2017 Version 2.2 2017-06-30 2017-06-30 Egen utvecklingsmiljö INNEHÅLL Innehåll 1 Revisionshistorik
Läs merBordermail instruktionsmanual
Bordermail instruktionsmanual Du kan själv skapa upp till 4 nya e-postadresser via självadministrationssidorna Du kan läsa och skicka e-post på 2 sätt För att komma till självadministrationssidorna öppna
Läs merByggsektorns Miljöberäkningsverktyg Användarmanual
IVL Svenska Miljöinstitutet Byggsektorns Miljöberäkningsverktyg Användarmanual Version 1.1 December 17, 2018 Författare: Anders Sidvall Nils Boberg 12/17/2018 Page 1 Innehållsförteckning INSTALLERA BYGGSEKTORNS
Läs merVersion Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server
Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie 2017-03-09 Justering för krav på Windows Server 2012 1.2 Micke 2017-04-07 Vitec Ekonomi från x.60 kräver IIS 8 och websocket.
Läs merEn syn på säkerhet. Per Lejontand pele@cs.umu.se
En syn på säkerhet Per Lejontand pele@cs.umu.se Intro Jag Säkerhet inte så uppenbart Globala säkerhetsproblem Lokala säkerhetsproblem Disclaimer Jag, jag, JAG! Sysadmin på CS sedan 2000 Sysadmin LTLAB
Läs merHå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3
Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3 För att 3L Pro skall fungera krävs att nedanstående hårdvarukrav och mjukvarukrav är uppfyllda. Viktigt är att tänka på att
Läs merFileCentral Desktop. Användarhandledning Version 1.0 2010-11-05
FileCentral Desktop Användarhandledning Version 1.0 2010-11-05 Inf of lex Connect AB Sankt Eriksgatan 58 SE-112 34 Stockholm Sweden Tel: 08-555 768 60 Fax 08-555 768 61 inf o@inf of lexconnect.se www.inf
Läs merFilleveranser till VINN och KRITA
Datum Sida 2017-04-25 1 (10) Mottagare: Uppgiftslämnare till VINN och KRITA Filleveranser till VINN och KRITA Sammanfattning I detta dokument beskrivs översiktligt Vinn/Kritas lösning för filleveranser
Läs merSÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER
SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta
Läs merAtt koppla FB till AD-inloggning
Att koppla FB till AD-inloggning Helen Ekelöf 16. nov. 2017 (uppdaterad 10.april 2018) SOKIGO Box 315 731 27 Köping +46 (0)8 23 56 00 info@sokigo.com http://www.sokigo.com Org.nr: 556550-6309 INNEHÅLLSFÖRTECKNING
Läs merTEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1
för version 1.3.1 Copyright information 2011 Tidomat AB. Med ensamrätt. Ingen del av detta dokument får återges, lagras i dokumentsökningssystem eller vidaresändas i någon form utan ett skriftligt godkännande
Läs merFöreläsning 2 Programmeringsteknik och C DD1316. Mikael Djurfeldt
Föreläsning 2 Programmeringsteknik och C DD1316 Mikael Djurfeldt Föreläsning 2 Programmeringsteknik och C Python introduktion Utskrift Inläsning Variabler Datatyp Aritmetiska operatorer Omvandling
Läs merMegTax CardCenterPro
09-09-25 n 1 1 (7) MegTax CardCenterPro 1. Installation... 2 2. Hantering... 3 2.1. Tömning... 3 2.2. Fliken Kortrutiner... 4 2.3. Visa logg & Visa ej tömda... 5 2.4. Fliken Fakturafil... 5 2.5. Fliken
Läs merUtkast/Version (8) Användarhandledning - inrapportering maskin-till-maskin
Utkast/Version Sida 2.0 1 (8) 2017-05-12 Användarhandledning - inrapportering maskin-till-maskin 2 (8) Innehåll 1. Rapportering till VINN eller KRITA... 3 1.1 Allmänt... 3 1.2 Terminologi... 3 2. Hämta
Läs merPolicy för användande av IT
Policy för användande av IT Inledning Det här dokumentet beskriver regler och riktlinjer för användningen av IT inom företaget. Med företaget menas [fylls i av kund] och med IT-avdelning menas vår partner
Läs merBakgrund. Bakgrund. Bakgrund. Håkan Jonsson Institutionen för systemteknik Luleå tekniska universitet Luleå, Sverige
Är varje påstående som kan formuleras matematiskt*) alltid antingen sant eller falskt? *) Inom Institutionen för systemteknik Luleå tekniska universitet Luleå, Sverige Exempel: 12 = 13 nej, falskt n! >
Läs merdel 12 SKYDDA DIN DATOR
del SKYDDA DIN DATOR När du ansluter datorn till Internet får till tillgång till en helt ny värld, full av äventyr och information som du och din familj kan ta del av. Tråkigt nog öppnar du också upp mot
Läs merDovado Tiny - installationsguide
Dovado Tiny - installationsguide KONTROLL Kontrollera följande steg innan ni påbörjar installationen av Dovado Tiny router Använder ni routern från SwedfoneNet? Har ni fått en Dovado router från annan
Läs merErfarenheter från labben
Erfarenheter från labben Uppgifterna tidigare Bättre instruktioner än förra veckan Väntetid Smidigare hjälp Olika krav från olika examinatorer Kan alltid kolla med Joachim God programmeringssed De allra
Läs mer