Documente Academic
Documente Profesional
Documente Cultură
Structura cursului
1. Securitatea n lumea contemporan. Securitatea
informaiilor, securitatea informatic, securitatea
aplicaiilor web
2. Tehnologiile aplicaiilor web
3. Principiile de securitate a aplicaiilor web.
Autentificare, autorizare, managementul sesiunilor,
principii de securitate browser
4. Securitatea bazelor de date
5. Securitatea fisierelor
6. Dezvoltarea i instalarea de aplicaii sigure
7. Detectarea vulnerabilitilor prin inspectarea codului
surs si folosind unelte specifice
8. Structura unui atac asupra unui site web. Ci de atac,
modaliti de rspuns
Cursul 1
Cursul 1
Evaluare
Cursul 1
Cursul 1
Cursul 1
Agenda
Cursul 1
Cursul 1
Cursul 1
Securitatea informatiei
Information security, information assurance
sau cyber-security
Informatia in zilele noastre traieste cel
mai adesea electronic iar securitatea
informatiei este direct legata de
securitatea informatica
In sens complet, securitatea informatiei
implica si alte aspecte, de exemplu
securitatea fizica a sistemelor sau
securitatea informatiei scrise pe hartie,
retinute in memoria angajatilor etc.
Cursul 1
Securitatea
informatiei intr-o
organizatie reprezinta
un nivel intermediar
intre securitatea
tehnologiilor utilizate
si securitatea
strategica
Securitatea nu e o
stare, ci se realizeaza
printr-un proces
continuu
Cadrul legal exista si
este menit sa ne
protejeze si sa
responsabilizeze
Cursul 1
Terorism, cyber-crime
Dezastre naturale
Spionaj
Strategii, politici, jurisprudenta
Integritate, confidentialitate,
autenticitate, disponibilitate,
non-repudiere
Respectarea standardelor
Securitatea retelelor
Detectarea intruziunii
Securitatea aplicatiilor web
Software antivirus
Aliante profesionale
Perfectionare profesionala,
cursuri
Etc...
Managementul riscurilor
Continuitatea afacerii/
Planificarea pt. dezastru
Etc...
Criptografie
Infrastructuri de chei
publice
Etc...
Cursul 1
Cursul 1
ART. 48
Fapta de a introduce, modifica sau sterge, fara drept, date
informatice ori de a restrictiona, fara drept, accesul la
aceste date, rezultand date necorespunzatoare adevarului,
in scopul de a fi utilizate in vederea producerii unei
consecinte juridice, constituie infractiune si se pedepseste
cu inchisoare de la 2 la 7 ani.
ART. 49
Fapta de a cauza un prejudiciu patrimonial unei persoane
prin introducerea, modificarea sau stergerea de date
informatice, prin restrictionarea accesului la aceste date ori
prin impiedicarea in orice mod a functionarii unui sistem
informatic, in scopul de a obtine un beneficiu material
pentru sine sau pentru altul, constituie infractiune si se
pedepseste cu inchisoare de la 3 la 12 ani.
Si tentativa se pedepseste.
Cursul 1
Cursul 1
1945 Memex
1960 GML
1980 SGML
1991 WWW: HTML + HTTP
1993 Mosaic, apoi Mosaic Netscape (ulterior
Netscape Navigator) si SpyGlass Mosaic (ulterior
Internet Explorer); Opera; Lynx, w3m
1994 infiintarea World Wide Web Consortium
(W3C)
1996 Internet Explorer
2003 Safari
2004 Mozilla Firefox
2008 Google Chrome
Cursul 1
Puternic competitiv
Rapid
Adesea supra-politizat si dezordonat
Fara viziune unificatoare
Fara un set unificat de principii de securitate
Surse de probleme:
Cursul 1
Cursul 1
Sondaj
Sunteti familiarizati cu HTML?
Ati dezvoltat vreodata aplicatii folosind:
Apache?
SQL?
JavaScript?
Ajax?
PHP?
CSS?
JSON?
Python?
HTML5?
Vizitati: http://www.w3schools.com/
Cursul 1
Alte idei?
Cursul 1
Securitatea retelei
Atacator retea
Sistem
Alice
Cursul 1
Intercepteaza
si controleaza
comunicatia in
retea
Securitatea web
Sistem
Atacator web
Alice
Cursul 1
Controleaza un
site de rea
credinta vizitat de
victima; fara
control asupra
retelei
Exemplu de atac
Cursul 1
Atacator web
Controleaza atac.com
Poate obtine certificare SSL/TLS pentru atac.com
Utilizatorul viziteaza atac.com
Atacatorul retea
Atacator Malware
Cursul 1
Atacator Malware
Browser-ele (ca orice aplicatii software) contin defecte
(bug-uri) ce rezulta in vulnerabilitati exploatabile
Pot permite executarea de cod de la distanta de
catre site-uri
Studiu Google: The ghost in the browser
Troieni identificati pe 300,000 pagini web (URLs)
Adware pe 18,000 pagini web (URLs)
Chiar si daca browserele nu ar avea bug-uri, exista
vulnerabilitati de care pot suferi aplicatiile web:
Toate vulnerabilitatile pe care le vom trata in acest
curs: XSS, SQLi, CSRF,
Cursul 1
http://www.google.com/search?
btnI&q=allinurl:http://www.yahoo.com/
http://www.chevron.com/media/VideoPlayer.as
px?videoid=WeAgreeGrowth
%22%20onmouseover=alert%28%22Aceastaeste-o-vulnerabilitate-XSS%22%29%20a=%22
Cursul 1
Cursul 1
Cursul 1