Swedish Association for Software Testing Inspect it AB

Storlek: px
Starta visningen från sidan:

Download "Swedish Association for Software Testing 2009-05-12. 2009 Inspect it AB"

Transkript

1 AB Applikationssäkerhetstestning Swedish Association for Software Testing

2 Presentation Vem är jag? Mattias Bergling, Inspect it Arbetar med Informationssäkerhet Fokus på IT-säkerhet Intrångstester Applikationssäkerhetsanalyser Säkerhetsgranskningar Medlem i OWASP Swedens ledningsgrupp 2009 AB

3 Agenda Inledning Intrångstest kontra applikationssäkerhetstest Metodik OSSTM metodik OWASP testmetodik Automatiserat och manuellt

4 Inledning Säkerhetstester behövs det? Marcus Ranum, Tenable Network Security I think the stupidest idea that I ve seen in computer security is the whole notion of penetration testing Är numera CSO på Tenable som säljer Nessus Hans devis är Gör det rätt från början. Lätt att säga med hans bakgrund

5 Web Hacking Incidents Database TJX Twitter MySpace Bank of India Life Is Good Zone-h.org (Danmec/Asprox)

6 Säkerhetstester Olika typer av tester Säkerhetstester och dess metodik Intrångstester/Penetrationstester Applikationssäkerhetstester Kodgranskning Testtyper (förhandsinformation) Automatiserade och manuella tester? Vad kan jag förvänta mig för resultat?

7 Säkerhetstester Intrångstester/Penetrationstester Klassiska intrångstester fokuserar på nätverk, tjänster och konfigurationer Testerna kan utföras scenariobaserat (internt eller externt) med i förväg bestämda målsystem En hacker utan kännedom om bolaget En missnöjd anställd Syftet med testerna är att identifiera sårbarheter som exempelvis svagheter i konfiguration avsaknad av patchar och säkerhetsuppdateringar svaga lösenord En del av testmomenten innefattar och överlappar moment i applikationssäkerhetstester En vanlig testmetodik är OSSTMM.

8 Säkerhetstester Intrångstester/Penetrationstester Open Source Security Testing Methodology Manual (OSSTMM) Kartläggningsfas Nätverk, system, tjänster Under kartläggningen identifieras och kartläggs Serverinfrastruktur Nätverk registrerade på bolaget Applikationer som exponeras mot Internet Anslutningspunkter för distansarbete Användarnamn (och i vissa fall även lösenord) Versionsinformation och kända sårbarheter Vanliga verktyg Google, RIPE, DNS, nmap, OpenVAS, (Nessus)

9

10

11

12

13 Säkerhetstester Intrångstester/Penetrationstester OSSTMM Intrångsfas Under intrångsfasen utnyttjas sårbarheterna för att göra intrång Fokus är att via sårbarheter i perifiera system slutligen nå målsystemet Vid åtkomst till ett system utförs delar av kartläggningsarbetet på nytt Svaga konfigurationer och relationer utnyttjas för att gå från ett system till nästa Konton med samma lösenord Svaga systemkonfigurationer Vanliga verktyg Hydra, Metasploit, applikationsklienter (osql, TS), applikationsspecifika verktyg (Open Source eller egenutvecklade), (Canvas), (Impact)

14

15 Användarnamn Root, admin, administrator, user, demo, test Lösenord password, <inget lösenord>, <samma som användarnamnet>, secret, hemligt, sommar, vinter, <företagsnamnet>, sommar09, sommar2009, lösenord, abc123, qwerty, qwe123, 123qwe, osv

16

17 Säkerhetstester Applikationstester Applikationstesterna tar vid där intrångstesterna slutar Fokus ligger på applikationslogiken och inte på tjänster och nätverk i så stor utsträckning Ett typiskt applikationstest utförs med behörigheter i applikationen Med fördel så utförs testet med tillgång till flera användarkonton/roller Vyer och applikationsflöden testas av mot sårbarheter och svagheter Metodik baseras ofta på OWASP testing guide Varför följa en metodik?

18 Open Web Applikation Security Project Introduktion Vad är OWASP? En världsomspännande, öppen och gratis organisation Syftar till att förbättra säkerheten i webbapplikationer OWASP driver ett antal större projekt Utveckling av applikationer och verktyg Dokumentation av metodik och guider Arrangerar seminarier om applikationssäkerhet Lokalt kapitel i Sverige Arrangerar t.ex kostnadsfria seminarier

19 Säkerhetstester Applikationstester OWASP Testing Guide v3 Metodiken är indelad i 10 övergripande kategorier Samtliga kategorier innehåller information och exempel på relevanta testmoment Verktyg Proxy, curl, wget, kommersiella applikationsskanners

20

21

22 Metodik OWASP Testing Guide 1. Informationsinsamling Indexerade sidor robots.txt Surfa, crawla/spidra, HTTP-headrar Felmeddelanden Standardsidor Onsamehost/msn DNS bruteforce

23

24 Metodik OWASP Testing Guide 2. Konfigurationsverifiering SSL Vanliga kataloger/filer Tolkning av filändelser Kopior/backuper Administrations-/editeringsgränssnitt HTTP metoder

25

26 Metodik OWASP Testing Guide 3. Test av autentisering Kryptering av autenticeringsinformation Enumerering av användarnamn Vanligt förekommande användarnamn och lösenord Brute Force Kringgå autenticering Password reset eller reminder Logout och cachehantering Captcha och flerfaktorsautenticering Race conditions

27

28 Metodik OWASP Testing Guide 4. Sessionshantering Schema (cookie - slumpmässighet, attribut) Session fixation Exponerade variabler Cross Site Request Forgery 5. Test av "authorization" Path traversal/direktadressering Accessa andra rollers information 6. Programlogik Beroende på applikationen

29

30 Metodik OWASP Testing Guide 7. In/utdatavalidering Cross Site Scripting Lagrad XSS DOM-baserad XSS Cross Site Flashing SQL-injection, (Oracle, MySQL, MSSQL, MS Access) LDAP-injection ORM-injection XML-injection SSI-injection XPath-injection

31

32

33 Metodik OWASP Testing Guide 7. In/utdatavalidering (fortsättning) IMAP/SMTP-injection Kodinjektion Kommandoinjektion Buffer Overflow Heap oveflow Stack Overflows Format string problem "Incubated" sårbarheter HTTP splitting/smuggeling

34

35 Metodik OWASP Testing Guide 8. Denial of Service SQL wildcards Låsa användarkonton Buffer Overflows Resursallokering Indatastyrda loopar Fylla loggar/diskar Bristande minneshantering Sessionshantering

36

37 Metodik OWASP Testing Guide 9. Web Servicestestning Informationsinsamling Testa WSDL Test av XML-struktur XML innehåll Speciella HTTP GET-anrop SOAP attachments "replay"attacker

38

39 Metodik OWASP Testing Guide 10. Ajax testning Identifiera Ajax Testa för Ajax-specifika brister Rapportering och gradering

40 Applikationstester Verktyg och automatiserade tester Tester med automatiserade verktyg Källkodsanalysverktyg Applikationssäkerhetsscanners Testningsramverk och verktyg Helautomatiserade tester ger sällan ett heltäckande resultat Problem Logiska problem Flöden Indata ( OR = ) Manuella tester tar oftast mer tid i anspråk

41 Applikationstester Man vs. machine

42 OWASP Top Ten OWASP Top Ten Project 10 mest vanliga sårbarheterna i webbapplikationer 1. Cross Site Scripting (XSS) 2. Injection Flaws 3. Malicious File Execution 4. Insecure Direct Object Reference 5. Cross Site Request Forgery (CSRF) 6. Information Leakage and Improper Error Handling 7. Broken Authentication and Session Management 8. Insecure Cryptographic Storage 9. Insecure Communications 10. Failure to Restrict URL Access

43 OWASP Top 10 Jämförelse analyssätt

44 Länkar (flashback.info, xssed.com, zone-h.org)

45 Frågor?

46 Kontaktuppgifter Mattias Bergling

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010 Säkerhet i applikationslagret och slaget om webben John Wilander, Omegapoint, Rätt säkerhet, maj 2010 John Wilander, konsult Omegapoint Forskar inom mjukvarusäkerhet Leder svenska OWASP Certifierad inom

Läs mer

SNITS-Lunch. Säkerhet & webb 2013-10-08

SNITS-Lunch. Säkerhet & webb 2013-10-08 SNITS-Lunch Säkerhet & webb 2013-10-08 Kort om ÅF ÅF i Karlstad idag! Vi är ca 150 varav 50 inom IT Automation Elkraft Mekanik Industriell IT Process och miljö IT och telekom Energi Industri Automotive

Läs mer

Säkerhet. Säkerhet. Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Säkerhet. Säkerhet. Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449 Säkerhet Säkerhet Webbteknik II, 1DV449 Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet F06 Säkerhet Dagens agenda HTTPS Autentisiering - Egen autentisiering - Lösenordshantering

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Intrångstester SIG Security, 28 oktober 2014

Intrångstester SIG Security, 28 oktober 2014 Intrångstester SIG Security, 28 oktober 2014 Mattias Berglund Oberoende konsult inom IT- och informationssäkerhetsområdet Fokus på test och granskningar av system Bakgrund inom drift och förvaltning, säkerhetskonsult

Läs mer

Säker programmering - Java

Säker programmering - Java Säker programmering - Java Information är en värdefull tillgång i dagens värld och en effektiv hantering sätter höga säkerhetskrav på medarbetarna. Säker programmering - Java Nowsec säkerhetsgranskar dagligen

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

OWASP Topp 10 2013. De 10 allvarligaste riskerna i webbapplikationer. 2013-10-03 OWASP East Sweden: Uppstartsmöte

OWASP Topp 10 2013. De 10 allvarligaste riskerna i webbapplikationer. 2013-10-03 OWASP East Sweden: Uppstartsmöte OWASP Topp 10 2013 De 10 allvarligaste riskerna i webbapplikationer 2013-10-03 OWASP East Sweden: Uppstartsmöte Vad är OWASP Topp 10? Är ett av OWASP mest populära projekt Är inte en standard Fokuserad

Läs mer

Kandidatexamen Säkerhetstestning av webbapplikationer och CMS plattformen EPiServer

Kandidatexamen Säkerhetstestning av webbapplikationer och CMS plattformen EPiServer Examensarbete Kandidatexamen Säkerhetstestning av webbapplikationer och CMS plattformen EPiServer Security testing of web applications and the CMS platform EPiServer Författare: Per Ignatius Handledare:

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB Lagring i molnet Per Hellqvist Senior Security Specialist Symantec Nordic AB Först: Symantec har SaaS-tjänster* (*Storage as a Service) I Symantec Protection Network ingår Symantec Online Storage Symantec

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Modul 6 Webbsäkerhet

Modul 6 Webbsäkerhet Modul 6 Webbsäkerhet Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra

Läs mer

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual. 1 LB-M-EX 0001 2010 LB-M-EX 0001 2010 Användarmanual för Lockbee Backup Exchange 2007 Användarmanualen är avsedd att ge en närmare introduktion av Lockbee Backup Exchange 2007 och dess funktioner och nyttjande.

Läs mer

Innehåll. Dokumentet gäller från och med version 2014.3 1

Innehåll. Dokumentet gäller från och med version 2014.3 1 Innehåll Introduktion... 2 Före installation... 2 Beroenden... 2 Syftet med programmet... 2 Installation av IIS... 2 Windows Server 2008... 2 Windows Server 2012... 6 Installation av webbapplikationen

Läs mer

Logisk Access I MicroWeb

Logisk Access I MicroWeb Logisk access 1.0 Sidan 1 av 5 Logisk Access I MicroWeb 1(6) Logisk access 1.0 Sidan 2 av 5 Inloggning till MicroWeb sker via SSO (Single sign-on). Länken säkerställer att rätt person får access till systemet

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Penetrationstest. EXAMENSARBETE våren 2014. Författare. Marcus Berntsson

Penetrationstest. EXAMENSARBETE våren 2014. Författare. Marcus Berntsson EXAMENSARBETE våren 2014 Sektionen för hälsa och samhälle Programområdet för datavetenskap IT-driftteknikerprogrammet Penetrationstest Författare Marcus Berntsson Dokumentblad Högskolan Kristianstad 291

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16 F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1 Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2 Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg

Läs mer

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet Säkerhetsanalys The Dribble Corporation Produkt: Dribbles En elektronisk pryl Vill börja sälja över nätet Behöver utveckla nätverksinfrastuktur 19/10-04 Distribuerade system - Jonny Pettersson, UmU 1 The

Läs mer

tisdag 8 november 11

tisdag 8 november 11 Hur bygger vi SSO-lösningar utan att påverka IT-infrastrukturen? 2011-11-07 Tommy Almström Product Manager www.nordicedge.se/talmstrom Dagens mest aktuella fråga: Hur många konton samt lösenord har

Läs mer

Murphys onda tvilling och en hackers syn på bra design

Murphys onda tvilling och en hackers syn på bra design Stefan Pettersson Sundsvall 42 2009-10-15 Murphys onda tvilling och en hackers syn på bra design Reliable software does what it is supposed to. Secure software does what it is supposed to, and nothing

Läs mer

WELCOME TO. Value of IAM in Business Integrations

WELCOME TO. Value of IAM in Business Integrations WELCOME TO Value of IAM in Business Integrations WELCOME TO Value of IAM Agenda Zipper Zecurity, vilka är vi? IAM, varför och vad gör det för nytta? IBM Security Identity Manager IBM Security Role & Policy

Läs mer

L0009B. Moment. Introduktion till geografiska databaser: G:\L0009B\Allmänt\IntroGeoDB.pdf (F)

L0009B. Moment. Introduktion till geografiska databaser: G:\L0009B\Allmänt\IntroGeoDB.pdf (F) L0009B Moment FL 1: Kursintroduktion. Kursinformation: G:\L0009B\Allmänt\KursInformationL0009B.pdf (F) Kursplan: Se https://portal.student.ltu.se/stuka/kurs.php?kurs=l0009b&lang=swe (F) Allt som markerats

Läs mer

nexus Hybrid Access Gateway

nexus Hybrid Access Gateway Hybrid Access Gateway från nexus är en användarvänlig, innovativ virtuell appliance som ökar säkerheten vid inloggning med enheter som surfplattor och mobiler till företagsnät eller molnapplikationer.

Läs mer

Din guide till. Teknisk Specifikation Säljstöd

Din guide till. Teknisk Specifikation Säljstöd Din guide till Teknisk Specifikation Säljstöd April 2014 Innehåll Systemkrav... 3 Operativsystem... 3 Mjukvara... 3 Maskinvara... 4 Datakällor... 4 Databas... 5 Databasstruktur... 5 Katalogstruktur...

Läs mer

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson Spanning Tree Network Management Säkerhet Jens A Andersson Spanning Tree Att bygga träd av grafer som kan se ut hur som helst Hindra paket att gå runt i oändliga loopar Bygga effektiva transportvägar Spanning

Läs mer

Säkerhet ur ett testperspektiv

Säkerhet ur ett testperspektiv Säkerhet ur ett testperspektiv (Erfarenheter efter 4 år med säkerhetstest på Microsoft) Copyright Prolore AB. All rights reserved. Viktor Laszlo - Prolore Jobbat med teknisk testning i 15 år Var med och

Läs mer

Dokument ID: AJP131126 001. Er referens: SecureMailbox Mats Enocson. Säkerhetsgranskning. SecureMailbox

Dokument ID: AJP131126 001. Er referens: SecureMailbox Mats Enocson. Säkerhetsgranskning. SecureMailbox 2014 06 27 Dokument ID: AJP131126 001 Er referens: SecureMailbox Mats Enocson Säkerhetsgranskning SecureMailbox 1. Exekutiv summering Bitsec har som oberoende part, på uppdrag av SecureMailbox, granskat

Läs mer

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 F5 Exchange 2007 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 Spam Control and Filtering Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 2 Idag: Relaying Spamhantering och filtrering

Läs mer

Inför projektuppgiften. Markus Buschle, markusb@ics.kth.se

Inför projektuppgiften. Markus Buschle, markusb@ics.kth.se Inför projektuppgiften Markus Buschle, markusb@ics.kth.se Agenda Möjligheter,ll samarbete Enterprise Architecture för beslutsfa8ande Modell Analys Resultat Projektuppgi? Exempel Möjligheter,ll samarbete

Läs mer

Installationsanvisning. Dokumenttyp Installationsanvisning Område Boss med delad databas

Installationsanvisning. Dokumenttyp Installationsanvisning Område Boss med delad databas Ort och datum Ort och datum Namn Namn Magnus Einarsson/+46 (0)+46 54 291742 2010-06-29 1.0 1 (5) Innehållsförteckning 3 1 Inledning 3 1.1 Introduktion... 3 1.2 Revisionshistoria... 3 1.3 Referenser...

Läs mer

Säktest á la ET. Dennis Haglund Konsultchef Test Omegapoint AB

Säktest á la ET. Dennis Haglund Konsultchef Test Omegapoint AB Säktest á la ET Dennis Haglund Konsultchef Test Omegapoint AB Omegapoint AB Säkerställer framtagande och införande av affärsdrivna, högkvalitativa och säkra IT-lösningar. Omegapoint AB Medarbetarägt Ca

Läs mer

Vad händer med dina kortuppgifter?

Vad händer med dina kortuppgifter? Vad händer med dina kortuppgifter? -03-13 Jonas Elmqvist Trender, intrång och forensiska utredningar Payment card data remains one of the easiest types of data to convert to cash, and therefore the preferred

Läs mer

Compose Connect. Hosted Exchange

Compose Connect. Hosted Exchange Sida 1 av 15 Compose Connect Hosted Exchange Presentation av lösningen: Compose Hosted Exchange Följande möjligheter finns för hantering av e-post 1. Lokalinstallerad Outlook-klient För att kunna använda

Läs mer

Säkerhet, eller nått. Tomas Forsman 2014-10-14

Säkerhet, eller nått. Tomas Forsman <stric@cs.umu.se> 2014-10-14 Säkerhet, eller nått. Tomas Forsman 2014-10-14 Vem är jag? SysAdm på CS sen 1999 SysAdm på ACC sen 1998 Gillar att undersöka saker Mest åt Linux/Unix-hållet med datorer Programmerings-NM

Läs mer

Middleware vad, hur, varför när?

Middleware vad, hur, varför när? Middleware vad, hur, varför när? Anders Kingstedt Askus AB Ersättas med en bild 1 Disposition Vad? Hur? Varför? När? Målsättning Ge er möjlighet att skilja på och 2 Vad? - är Middleware Ersättas med en

Läs mer

LEX INSTRUKTION LEX LDAP

LEX INSTRUKTION LEX LDAP LEX INSTRUKTION LEX LDAP Innehållsförteckning LEX INSTRUKTION LEX LDAP... 1 1 INLEDNING... 1 2 INSTALLATION... 2 3 LEXLDAPSERVICE - KLIENTEN... 3 3.1 HUVUDFÖNSTER... 3 3.2 INSTÄLLNINGAR... 4 3.2.1 Lex...

Läs mer

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet och Epilog Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet Tumregler och utgångspunkter

Läs mer

Dataintrång hos Dataföreningen. Annica Bergman Dataföreningen i Sverige Internetdagarna 21 oktober 2008

Dataintrång hos Dataföreningen. Annica Bergman Dataföreningen i Sverige Internetdagarna 21 oktober 2008 Dataintrång hos Dataföreningen Annica Bergman Dataföreningen i Sverige Internetdagarna 21 oktober 2008 Dataföreningen i Sverige Dataföreningens verksamhet omfattar drygt 26 000 medlemmar, fördelade på

Läs mer

Handledning för applikationsägare

Handledning för applikationsägare Tjänstebeskrivning Handledning för applikationsägare Version 2.25 2006-10-24 Revisionshantering Vernr Datum Notering Ansvarig 2.0 061004 Något modifierat dokument Arne Fredholm 2.1 061016 Korrigeringar

Läs mer

Prestandatest Förberedelser & Faktainsamling. LIGHTS IN LINE AB Tegnérgatan 37 111 61 STOCKHOLM info@lightsinline.se

Prestandatest Förberedelser & Faktainsamling. LIGHTS IN LINE AB Tegnérgatan 37 111 61 STOCKHOLM info@lightsinline.se Prestandatest Förberedelser & Faktainsamling LIGHTS IN LINE AB Tegnérgatan 37 111 61 STOCKHOLM info@lightsinline.se Sida 2 (6) Innehåll 1 Introduktion... 3 2 Sammanfattning... 3 3 Testmetoder... 3 4 Prestandamål

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Labb 4: ASP.NET 2.0 Medlemskap, Inloggningskontroller, Rollhantering

Labb 4: ASP.NET 2.0 Medlemskap, Inloggningskontroller, Rollhantering Labb 4: ASP.NET 2.0 Medlemskap, Inloggningskontroller, Rollhantering Autentisering via formulär är ett vanligt sätt skapa säker åtkomst till internetresurser. Med de inloggnings och autentiseringskotroller

Läs mer

Switch- och WAN- teknik. F6: Frame Relay och Network Security

Switch- och WAN- teknik. F6: Frame Relay och Network Security Switch- och WAN- teknik F6: Frame Relay och Network Security Frame Relay E; L2- protokoll för WAN Används för a; sammanbinda LAN över e; WAN Billigare än egen leased line Bandbreddsbehov Lösning 1: Dedicated

Läs mer

Överblick IAM. Stefan Thoft. Projektledare IAM

Överblick IAM. Stefan Thoft. Projektledare IAM IAM Överblick IAM Stefan Thoft Projektledare IAM IAM - Identity & Access Management Identitetshantering (Identity Management) är ett begrepp som används för att beskriva hur man hanterar digitala identiteter

Läs mer

Installationsguide Junos Pulse för MAC OS X

Installationsguide Junos Pulse för MAC OS X 1 (14) Installationsguide Junos Pulse för MAC OS X 1 Inledning Denna guide beskriver hur du installerar programmet Junos Pulse på MAC OS X Junos Pulse är en klientprogramvara som används i tjänsten Telia

Läs mer

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015 1. Inledning Innehåll 1. Innledning

Läs mer

Föreläsning 6 Databaser och säkerhet

Föreläsning 6 Databaser och säkerhet Databasbaserad publicering Föreläsning 6 1 Föreläsning 6 Databaser och säkerhet & Läs kapitel 13 i Databasteknik och kapitel 9 i boken PHP & MySQL: Novice to Ninja Databasbaserad publicering Föreläsning

Läs mer

Dokumentation för VLDIT AB. Online classroom

Dokumentation för VLDIT AB. Online classroom Dokumentation för VLDIT AB Online classroom 2 Introduktion VLDIT AB önskar area för att tillhandahålla ett kursutbud online för sina befintliga deltagare, men även för nya. Syfte för applikationen: tillhandhålla

Läs mer

Ariba Network Förenklad konfigureringsguide för konto

Ariba Network Förenklad konfigureringsguide för konto Ariba Network Förenklad konfigureringsguide för konto Ariba stödjer följande webbläsare Microsoft Internet Explorer 9 (32-bit) Microsoft Internet Explorer 8 (32-bit) Microsoft Internet Explorer 7 (32-bit)

Läs mer

Avancerade Webbteknologier

Avancerade Webbteknologier Projektledning, Business Knowledge Användbarhet & Layout Avancerade Webbteknologier Lkti Lektion 1 Kommunikation Tobias Landén tobias.landen@chas.se Avancerade webbteknologier del 1 (4 KY poäng) Syfte

Läs mer

GADD Software en introduktion

GADD Software en introduktion GADD Software en introduktion Publik version, September 2013, gaddsoftware.com page 1 Vad är GADD Software? Vårt fokus Beslutsstöd, BI, tillgängligt för alla Retailing och ISV (Independent Software Vendors)

Läs mer

Kursplanering Utveckling av webbapplikationer

Kursplanering Utveckling av webbapplikationer Kursplanering Utveckling av webbapplikationer Fakta Ämne Programmering Poäng 40 Yh-poäng Kurskod YSYS-WEB Klass Systemutvecklare.NET Syfte och koppling till yrkesrollen För att kunna arbeta som systemutvecklare

Läs mer

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver 2014-10-07

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver 2014-10-07 Installations och konfigurations-manual för Adtollo licenserver 2014-10-07 2014-10-07 Sida 2 av 8 Detta är en installationsanvisning för Adtollo licensserver. Applikationen kan användas till flera av Adtollos

Läs mer

Automatiserad aktiv penetrationstest med Metasploit via webbplatser

Automatiserad aktiv penetrationstest med Metasploit via webbplatser Kandidatuppsats IT-Forensik och Informationssäkerhet Automatiserad aktiv penetrationstest med Metasploit via webbplatser Blomberg, Joakim Hjartarson, Tomas Myung Sakac, Fredrik Högskolan i Halmstad, IDE

Läs mer

DGC IT Manual Citrix Desktop - Fjärrskrivbord

DGC IT Manual Citrix Desktop - Fjärrskrivbord DGC IT Manual Citrix Desktop - Fjärrskrivbord Ver 130912 Innehåll 1 Använda Citrix Desktop - Fjärrskrivbord... 2 2 Inställningar i Fjärrskrivbordet... 7 Kontrollera att de applikationer du har tillgång

Läs mer

Data Sheet - Secure Remote Access

Data Sheet - Secure Remote Access Data Sheet - Secure Remote Access Savecores säkra fjärranslutning Med Savecores säkra fjärranslutning kan du känna dig trygg på att ditt data är säkert, samtidigt som du sparar tid och pengar. Ta hjälp

Läs mer

Passersystem VAKA 10

Passersystem VAKA 10 Driftsättning & Snabbstart Passersystem VAKA 10 20003-1 Vaka snabbstart axema Sida 1 Copyright Axema Access Control AB, Stockholm 2011. 20003-sv Vaka quick guide Axema Access Control AB är ett svenskt

Läs mer

TST8102 WEBCM BRUKSANVISNING

TST8102 WEBCM BRUKSANVISNING TST8102 WEBCM BRUKSANVISNING INNEHÅLLSFÖRTECKNING TST8102 WEBCM - BRUKSANVISNING 1. Översikt... 3 2. Installation... 3 2.1 Nätverksinställningar... 4 3. Startsida... 5 4. Statussida... 6 5. Gruppsida...

Läs mer

Kartläggning av internetrelaterade hot

Kartläggning av internetrelaterade hot Kartläggning av internetrelaterade hot Andra kvartalet 2005 Patrik Nilsson 2005-08-19 0150/2005 1 Innehåll 1 Sammanfattning 3 2 Aktiviteter på samhällsnivå 4 3 Ursprungsland 5 4 Denial Of Service (DoS)

Läs mer

1DV416 Windowsadministration I, 7.5hp MODULE 3 ACTIVE DIRECTORY

1DV416 Windowsadministration I, 7.5hp MODULE 3 ACTIVE DIRECTORY 1DV416 Windowsadministration I, 7.5hp MODULE 3 ACTIVE DIRECTORY Lecture content Today's lecture Directory Services Active Directory Overview Database Logical and Physical structure Installation 2013-12-

Läs mer

Välkommen! SA S PSA S Im I puls s Mobilite t t e 8 1

Välkommen! SA S PSA S Im I puls s Mobilite t t e 8 1 Välkommen! SAPSA Impuls Mobilitet 81 Impuls sponsorer 2012 Guldsponsorer SAPSA Impuls Mobilitet 81 Mobilitet 81: Mobil reseräkningsapp med möjlighet att fotografera kvittona Christer Ingemarsson Lena Kågedal

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Webbservrar, severskript & webbproduktion

Webbservrar, severskript & webbproduktion Webbprogrammering Webbservrar, severskript & webbproduktion 1 Vad är en webbserver En webbserver är en tjänst som lyssnar på port 80. Den hanterar tillgång till filer och kataloger genom att kommunicera

Läs mer

En felsökningsguide för rcloud Office tjänsterna och lite manualer.

En felsökningsguide för rcloud Office tjänsterna och lite manualer. Årsta 2014-05-27 En felsökningsguide för rcloud Office tjänsterna och lite manualer. rcloud molntjänster är helt beroende av att nätverket fungerar och du kan komma ut på Internet, Dina program och dina

Läs mer

Grundläggande datavetenskap, 4p

Grundläggande datavetenskap, 4p Grundläggande datavetenskap, 4p Kapitel 4 Nätverk och Internet Utgående från boken Computer Science av: J. Glenn Brookshear 2004-11-23 IT och medier 1 Innehåll Nätverk Benämningar Topologier Sammankoppling

Läs mer

Innehållsförteckning. Användarmanual för Lockbee Backup Databas 2009

Innehållsförteckning. Användarmanual för Lockbee Backup Databas 2009 1 LB-M-DB 0001 2010 Användarmanual för Lockbee Backup Databas 2009 Användarmanualen är avsedd att ge en närmare introduktion av Lockbee Backup Databas 2009 funktioner och nyttjande. Vi rekommenderar att

Läs mer

Installationsguide Junos Pulse för iphone/ipad

Installationsguide Junos Pulse för iphone/ipad 1 (11) Installationsguide Junos Pulse för iphone/ipad 1 Inledning Denna guide beskriver hur du installerar klienten Junos Pulse i iphone/ipad. Junos Pulse är en VPN-klient som används i tjänsten Telia

Läs mer

Uppstart. Agda Drift

Uppstart. Agda Drift Uppstart Agda Drift Innehåll Installation och inloggning Installation sidan 3 Inloggning Agda Drift sidan 4 Starta Agda PS sidan 5 Administration och rutiner för användning av Agda PS via Agda Drift Utskrift

Läs mer

Skicka och hämta filer med automatik till och från Försäkringskassan

Skicka och hämta filer med automatik till och från Försäkringskassan Skicka och hämta filer med automatik till och från Försäkringskassan 1 (25) Innehållsförteckning Revisionshistorik... 3 Inledning... 4 1 Förutsättningar... 4 1.1 Registrera... 4 1.2 Certifikat... 4 2 Skicka

Läs mer

Säkerhet Malware och WWW Hashfunktioner Referenser. Säkerhet. Daniel Bosk

Säkerhet Malware och WWW Hashfunktioner Referenser. Säkerhet. Daniel Bosk 1 Säkerhet Malware och WWW Hashfunktioner Referenser Säkerhet Daniel Bosk Institutionen för informationsteknologi och medier (ITM), Mittuniversitetet, Sundsvall. security.tex 328 2012-10-10 11:53:27Z danbos

Läs mer

Integration mot Cellsynts SMS gateway via HTTP-gränssnitt (teknisk dokumentation) 2003-2014 Cellsynt

Integration mot Cellsynts SMS gateway via HTTP-gränssnitt (teknisk dokumentation) 2003-2014 Cellsynt Integration mot Cellsynts SMS gateway via HTTP-gränssnitt (teknisk dokumentation) Integration mot Cellsynts SMS gateway via HTTP-gränssnitt (teknisk dokumentation) Innehållsförteckning Del I Introduktion

Läs mer

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011 Webbteknik II Föreläsning 4 Watching the river flow Web Service XML-RPC, SOAP, WSDL, UDDI HTTP Request, Response, Headers, Cache, Persistant Connection REST Hype or the golden way? Web Service / Webbtjänst

Läs mer

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala. Kapitel 10, 11 o 12: Nätdrift, Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Informationsöverföring Telenäten är digitala. PCM i lokalstationerna

Läs mer

Erik Wahlström Product Strategist 28/01/15

Erik Wahlström Product Strategist 28/01/15 1 2 Agenda SCIM Introduktion API och Schema Demo Livscykelhantering i skolfederationen Idag och imorgon Exempel på SCIM resurs 3 4 5 Ett synkroniseringsprojekt tar vanligen en termin att genomföra. Det

Läs mer

Boss installationsmanual förberedelser

Boss installationsmanual förberedelser 1 Boss installationsmanual förberedelser Boss kan installeras på flera sätt, Serverinstallation eller Nätverksinstallation. För båda dessa sätt kan man dela databasen med flera användare. Serverinstallation,

Läs mer

Virtualisering - Nu är det dags för nästa steg! Sebastian Hellegren sebastian.hellegren@proact.se Henry Persson hpersson@vmware.

Virtualisering - Nu är det dags för nästa steg! Sebastian Hellegren sebastian.hellegren@proact.se Henry Persson hpersson@vmware. Virtualisering - Nu är det dags för nästa steg! Sebastian Hellegren sebastian.hellegren@proact.se Henry Persson hpersson@vmware.com 14. november 2010 page 1 Agenda Kort om Proact Göteborgs Universitet

Läs mer

Lathund. Inställningar för att läsa e-post. Webbmail, Windows Mail, MacMail, OutlookExpress, Microsoft Outlook och Mozilla Thunderbird

Lathund. Inställningar för att läsa e-post. Webbmail, Windows Mail, MacMail, OutlookExpress, Microsoft Outlook och Mozilla Thunderbird Lathund Inställningar för att läsa e-post Webbmail, Windows Mail, MacMail, OutlookExpress, Microsoft Outlook och Mozilla Thunderbird Stockholms Stadsnät Kundtjänst telefon 08-5012 20 10 e-post: support@stosn.se

Läs mer

Decentraliserad administration av gästkonton vid Karlstads universitet

Decentraliserad administration av gästkonton vid Karlstads universitet Datavetenskap Opponent(er): Markus Fors Christian Grahn Respondent(er): Christian Ekström Per Rydberg Decentraliserad administration av gästkonton vid Karlstads universitet Oppositionsrapport, C/D-nivå

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Installera SoS2000. Kapitel 2 Installation Innehåll

Installera SoS2000. Kapitel 2 Installation Innehåll Kapitel 2 Installation Innehåll INSTALLATION MDAC och ODBC...2 Installera SoS2000 i arbetsplatsen...2 SoS2000 serverprogramvara...2 SoS2000 och övriga Office program...3 Avinstallera SoS2000...3 Brandväggar...3

Läs mer

VPN (PPTP) installationsguide för Windows 7

VPN (PPTP) installationsguide för Windows 7 VPN (PPTP) installationsguide för Windows 7 Följ instruktionen nedan för att sätta upp och använda 3T-PPTP. Innan du gör detta så måste du dock först kontakta internsupport för att få ett användarnamn

Läs mer

Bakom kulisserna. SMHI webservices. Infrastruktur och säkerhetslösningar Demonstration av webservices

Bakom kulisserna. SMHI webservices. Infrastruktur och säkerhetslösningar Demonstration av webservices OBS: Några av dessa webservice-länkar är nåbara externt. Andra öppnas om det kommer önskemål. SMHI webservices Bakom kulisserna Infrastruktur och säkerhetslösningar Demonstration av webservices Esa Falkenroth,

Läs mer

Mobil åtkomst. Sören Pettersson. David Ahlén. Client Executive dahlen@netiq.com. Identity and Security Specialist, CISSP spettersson@netiq.

Mobil åtkomst. Sören Pettersson. David Ahlén. Client Executive dahlen@netiq.com. Identity and Security Specialist, CISSP spettersson@netiq. Mobil åtkomst David Ahlén Client Executive dahlen@netiq.com Sören Pettersson Identity and Security Specialist, CISSP spettersson@netiq.com Kort om NetIQ NetIQ Scale to deliver, with a culture to care.

Läs mer

E12 "Evil is going on"

E12 Evil is going on E12 "Evil is going on" Föreläsning 12, HT2014 AJAX Kurs: 1dv403 Webbteknik I Johan Leitet E12 Evil is going on Dagens agenda AJAX XMLHttpRequest-objektet JSON Vad är AJAX? Asynchronous JavaScript and XML

Läs mer

LATHUND PASSWORD SAFE. Författare: N. Eriksson Kurs: Datorer & Data från grunden, Mittuniversitetet Publ.datum: 100715

LATHUND PASSWORD SAFE. Författare: N. Eriksson Kurs: Datorer & Data från grunden, Mittuniversitetet Publ.datum: 100715 LATHUND PASSWORD SAFE Författare: N. Eriksson Kurs: Datorer & Data från grunden, Mittuniversitetet Publ.datum: 100715 Innehållsförteckning Kapitel 1 1.1 Password Safe enkel & säker hantering av lösenord...

Läs mer

QC i en organisation SAST 2008-09-16

QC i en organisation SAST 2008-09-16 QC i en organisation SAST 2008-09-16 1 Agenda Hur är vi organiserade inom test på SEB? Hur är QC uppsatt på SEB? Hur arbetar vi med QC i en stor organisation? Uppfyllde QC våra förväntningar och hur har

Läs mer

Välkommen! Lycka till! ecampus min väg till KNX. Nytt från den 1 oktober 2014

Välkommen! Lycka till! ecampus min väg till KNX. Nytt från den 1 oktober 2014 ecampus min väg till KNX Nytt från den 1 oktober 2014 Välkommen! Här följer en guide till hur man på egen hand med en dator och Internetåtkomst kan lära sig grunderna för KNX och hur verktyget ETS fungerar

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Web Services. Cognitude 1

Web Services. Cognitude 1 Web Services 1 Web Services Hur ska tillämpningar integreras? Hur ska tillämpningar integreras (via nätet ) för att erbjuda tjänster åtkomliga på nätet? SVAR: Web Services (Enligt Microsoft, Sun, IBM etc.)

Läs mer

1 Översikt...2. 1.1 Vad är kontokoder?...2 1.2 Konto/Mapp uppbyggnad...2 1.3 Tillgång till Kontokoder...2. 2 Område Kontokoder...5

1 Översikt...2. 1.1 Vad är kontokoder?...2 1.2 Konto/Mapp uppbyggnad...2 1.3 Tillgång till Kontokoder...2. 2 Område Kontokoder...5 Manual för Kontokod 1 Översikt...2 1.1 Vad är kontokoder?...2 1.2 Konto/Mapp uppbyggnad...2 1.3 Tillgång till Kontokoder...2 2 Område Kontokoder...5 2.1 Mapputforskare...5 2.2 Verktygsfält...6 2.3 Hitta

Läs mer

Installationsguide för mysql och OLA Server/OLA Klient

Installationsguide för mysql och OLA Server/OLA Klient Installationsguide för mysql och OLA Server/OLA Klient Baserad på OLA 5.0.0-6 Dokumentversion: 20110601 Författare: Gunnar Svanberg, Järfälla Redigering och layout: Niklas Wrane, SOFT Sid 1 (25) version

Läs mer

Nära en halv miljon Svenska lösenord har läckt ut på internet

Nära en halv miljon Svenska lösenord har läckt ut på internet Truesec Stockholm 11 nov 2013 version 1.1 Nära en halv miljon Svenska lösenord har läckt ut på internet Executive Summary I listan över de cirka 129 miljoner konton som stulits under datorintrånget mot

Läs mer

2 Varför är XSS och SQL-injection så vanligt?

2 Varför är XSS och SQL-injection så vanligt? Datum: 2006-10-02 2006-10-02 Skribent: Jonas Feldt Föreläsare: Gunnar Kreitz 2D1395, Datasäkerhet Nya tekniker Den här föreläsningen behandlar säkerhetshål i SQL- och PHP-kod, möjliga exploits av teckenkodningssystemet

Läs mer

Författare Version Datum. Visi System AB 2.0 2009 03 30

Författare Version Datum. Visi System AB 2.0 2009 03 30 1. Syfte Syftet med detta dokument är att beskriva hur man installerar Visi på din dator. Dokumentet är uppdelat i fyra delar: Installation Grundinställningar Kom igång med Visi Felsökning 1.1. Systemkrav

Läs mer

Installera din WordPress med 9 enkla steg

Installera din WordPress med 9 enkla steg Installera din WordPress med 9 enkla steg Den här artikeln förutsätter att du har satt upp en webbserver eller har köpt ett webbhotell där du kan placera din nya WordPress hemsida. Om du inte har det,

Läs mer

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server Installationsanvisning Boss delad databas sid 2 (40) Innehåll 1 Inledning 3 2 Serverinstallation 3 2.1 Systemkrav 3 2.2 SQL Server 3 2.3 Behörighet vid installation 3 2.4 Behörighetskontroll i Microsoft

Läs mer