Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • C12 WebSecurity

    Încărcat de

    DIa Dayana
    14 vizualizări10 pagini
    Curs Web Security

    Titlu original

    C12-WebSecurity

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    PPT, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Curs Web Security

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PPT, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    14 vizualizări10 pagini

    C12 WebSecurity

    Încărcat de

    DIa Dayana
    Curs Web Security

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PPT, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 10

    Programarea Clientului Web

    s.l. dr. ing. Simona Caraiman


    mailto: sarustei@cs.tuiasi.ro

    Universitatea Tehnica Gh. Asachi din Iasi


    Facultatea de Automatica si Calculatoare

    Securitate Web
    Tipuri de amenintari pe Web

    Securitate cross-domain in aplicatii


    Web

    PCW - C13.WebSecurity

    Tipuri de amenintari pe Web

    Vandalism (defacement)
    Infiltrare
    Phishing
    Pharming
    Denial of Service
    Atacuri din interior
    Click Fraud
    PCW - C13.WebSecurity

    Tipuri de amenintari pe Web


    Vandalism (defacement)
    inlocuirea paginilor legitime din situri ale
    unor organizatii cu pagini nelegitime

    Infiltrare
    system take-over
    obtinerea accesului deplin la resursele
    unui sistem de calcul
    PCW - C13.WebSecurity

    Tipuri de amenintari pe Web

    Phishing

    impersonarea siturilor web legitime


    Scop:

    obtinerea de informatii sensibile (username, parola, cont bancar, detalii


    card credit) de la utilizatori
    transmiterea unor informatii false utilizatorilor (e.g. stiri false ce ar
    putea determina utilizatorul sa vanda/cumpere stocuri)

    Tehnici de realizare

    Address spoofing inregistrarea unor nume de domenii ce ar putea


    crea confuzii (e.g. paypai.com)
    Page spoofing copierea continutului unei pagini legitime in pagina
    atacatorului

    atragerea utilizatorului catre pagina nelegitima se realizeaza, de obicei, prin


    email sau instant messaging.

    Chrome spoofing (Picture in Picture Attacks) copierea elementelor


    vizuale din pagina legitima in pagina atacatorului

    Exemple: RapidShare (pt. obtinerea unui cont premium), social


    networking (MySpace), IRS Internal Revenue Service (pt. a
    determina bancile folosite de potentiale victime)
    http://en.wikipedia.org/wiki/Phishing
    /docs/Threats.pdf
    PCW - C13.WebSecurity

    Tipuri de amenintari pe Web


    Pharming
    DNS cache poisoning
    redirectarea utilizatorului catre o pagina
    web malitioasa prin compromiterea
    cache-ului unui server DNS
    Pharming = fishing + farming
    /docs/Threats.pdf
    /docs/WebSecurity_CN4thEd.pdf
    /docs/Pharming.pdf
    PCW - C13.WebSecurity

    Tipuri de amenintari pe Web

    Denial of Service (DoS)

    Blocarea aplicatiilor, serverelor si a retelelor, impiedicand


    comunicarea utilizatorilor legitimi
    Tipuri:

    Scop:

    Atac prin inundare trimiterea unui nr mare de pachete,


    aparent legitime, a caror procesare consuma resurse cheie ale
    entitatii tinta
    Atac de vulnerabilitate construirea unei secvente de pachete
    cu anumite caracteristici ce poate cauza prabusirea, oprirea
    unui sistem, sau un comportament impredictibil al acestuia
    Pentru a demonstra ca se poate (castigarea respectului unei
    anumite comunitati)
    Atacuri impotriva siturilor competitiei sau a organizatiilor
    politice
    Santaj: amenintarea detinatorului sitului cu un atac DoS

    /docs/DoS.pdf
    PCW - C13.WebSecurity

    Tipuri de amenintari pe Web


    Atacuri din interior
    Realizate cu cooperarea unor utilizatori autorizati (ex.
    angajatii unei corporatii care au acces la informatii
    despre clienti, rapoarte financiare, informatii
    confidentiale)
    Masuri: separarea privilegiilor
    Click fraud
    Publicitatea pay-per-click
    Epuizarea bugetului de publicitate alocat prin vizitarea
    link-ului publicitar de catre un competitor
    Vizitarea link-urilor de publicitate afisate pe propriul
    web site pentru cresterea profitului determinat de
    gazduirea acestora
    /docs/Threats.pdf
    PCW - C13.WebSecurity

    Securitate cross-domain
    Interactiunile dintre siturile/aplicatiile web vizitate
    folosind acelasi browser
    Same origin policy doar scripturile ce ruleaza in
    paginile aceluiasi domeniu isi pot accesa reciproc
    metodele si proprietatile fara nicio restrictie

    poate fi evitata in ultimele versiuni de browsere (vezi W3C CORS


    curs 6,7)

    Tipare de atac
    Cross-site request forgery (XSRF)
    Cross-Site Script Inclusion (XSSI)
    Cross-Site Scripting (XSS)
    /docs/CrossDomainSec.pdf
    http://en.wikipedia.org/wiki/Same_origin_policy
    PCW - C13.WebSecurity

    Bibliografie

    Neil Daswani, Christoph Kern, Anita Kesavan, Foundations of Security - What


    Every Programmer Needs to Know, Apress, 2007
    http://code.google.com/edu/submissions/daswani/index.html
    (/docs/Threats.pdf , /docs/CrossDomainSec.pdf)

    Andrew S. Tanenbaum, Computer Networks, 4th Edition, Prentice Hall, 2003


    (/docs/WebSecurity_CN4thEd.pdf)

    http://www.kjhole.com/WebSec/Downloads.html (/docs/Pharming.pdf,
    /docs/DoS.pdf, /docs/csrf.pdf)

    http://www.w3.org/TR/wsc-threats/ (/docs/Threats.pdf)

    http://code.google.com/edu/security/index.html#content

    http://en.wikipedia.org/wiki/Cross_site_scripting

    http://en.wikipedia.org/wiki/Cross-site_request_forgery
    PCW - C13.WebSecurity

    S-ar putea să vă placă și