Dnia 4 października 2018, z okazji Europejskiego Miesiąca Cyberbezpieczeństwa, w Parku Naukowo-Technologicznym w Gdyni odbyła się konferencja “Bezpiecznie w sieci”.
Prezentacja pochodzi z tej konferencji. Autor: Katarzyna Javaheri-Szpak
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOWASP
OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych).
Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOWASP
OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych).
Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Prezentacja otwierająca WordCamp Gdynia 2016, traktująca o czynnikach wpływających na ekosystem WordPressa oraz o tym jak będzie wyglądała przyszłość WordPressa.
Hackowanie webaplikacji – ofensywa programisty na przykładzie OWASP TOP 10Ideo Sp. z o.o.
Dlaczego i jak chronić hasła użytkowników?
OWASP TOP 10
- Jak pisać?
- Jak testować?
Marcin Rybak - Senior IT Administrator, Ideo Sp. z o.o
Interdyscyplinarne Centrum Modelowania Komputerowego, Uniwersytet Rzeszowski, 27.12.2017r.
Wielomilonowy ruch na wordpressie wordpress wordcamp gdynia 2016Lukasz Wilczak
W powszechnej opinii WordPress nie jest używany do tworzenia serwisów o dużym natężeniu ruchu. Jednak przy odpowiednim zapleczu i konfiguracji możemy korzystać z jego możliwości i nie martwić się o wydajność. Z prezentacji dowiesz się, jak w Grand Parade tworzymy serwisy i przygotowujemy pod nie infrastrukturę dla blogów o dużym natężeniu ruchu i tematyce bettingowej takich jak: news.bwin.com, articles.matchbook.com, news.ladbrokes.com czy sunbets.cu.uk.
Omówimy mechanizmy cache-ujące takie jak Varnish, Redis, infrastrukturę CloudFront i S3 Amazona, sposoby skalowania środowisk z użyciem Load Balancera.
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...Wojciech Sznapka
- oprogramowanie dedykowane vs. produkty Open Source gotowe do użycia – w którym momencie te drugie przestają być wystarczające,
- jaką wartością jest indywidualne podejście do zagadnienia i gdzie każdy z udziałowców projektu otrzymuje największe korzyści,
- po co komu framework, skoro można wszystko samemu napisać najlepiej?
- Symfony2, jego historia, możliwości i usytuowanie na rynku,
- przykłady z życia codziennego, jak PHP i Symfony2 zwinnie daje radę w przeróżnych dziedzinach software developmentu.
Statyczne strony WWW tworzone w języku HTML nie zawsze spełniają oczekiwania twórców i odbiorców. Coraz częściej ich miejsce zajmują dynamiczne serwisy WWW oparte na bazach danych. Jednym z najpopularniejszych narzędzi do ich tworzenia jest język PHP. Jest to łatwy do opanowania język skryptowy działający po stronie serwera, dystrybuowany na zasadzie open source. Ponieważ ma ogromne możliwości, do tworzenia dynamicznych witryn WWW i aplikacji internetowych używają go setki programistów na całym świecie. Dzięki wiadomościom zawartym w tej książce łatwiej dołączyć do ich grona i napisać samodzielnie mechanizmy, na których opierają się dynamiczne witryny internetowe.
Książka "PHP. Praktyczne wprowadzenie" ułatwia szybkie i bezproblemowe pokonanie dystansu pomiędzy statycznymi witrynami w języku HTML a dynamicznymi serwisami WWW w języku PHP. Na przykładzie prawdziwego projektu -- budowy dynamicznej witryny WWW -- pokazano, jak używać PHP do tworzenia wszystkich elementów takiej witryny. Autor książki, Urlich G
Cometari Dedicated Solutions jest firmą technologiczną zlokalizowaną w Krakowie. Posiadamy wiedzę i kompetencje w zakresie projektowania, produkcji i utrzymania
złożonych systemów informatycznych. Nasi inżynierowie posiadają wieloletnie doświadczenie branżowe dzięki czemu do każdego tematu podchodzimy indywidualnie. Kładziemy nacisk na szybkość komunikacji z klientem oraz jakość wytwarzanych rozwiązań. Specjalizujemy się w produkcji zaawansowanych systemów serwerowych jak również lekkich rozwiązań webowych oraz mobilnych. Jeśli potrzebujesz rzetelnego partnera technologicznego jesteśmy do dyspozycji.
Jakie są dobre praktyki SEO, co robić a czego nie robić by strona stworzona w CMS WordPress pięła się w górę w wynikach wyszukiwania.
Prezentacja wygłoszona na WordUp Wrocław 03.06.2016
Czy następuje taki moment w życiu programisty, kiedy może on stwierdzić, że jego warsztat jest już doskonały? Nie, jeżeli pracuje w technologiach internetowych. Ta dziedzina informatyki rozwija się w niesamowicie szybkim tempie, a stworzone wczoraj rozwiązania warto stosować już dziś! Podczas prelekcji słuchacze poznają aktualne możliwości, jakie dają web developerowi różne biblioteki, narzędzia developerskie oraz usługi.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Prezentacja otwierająca WordCamp Gdynia 2016, traktująca o czynnikach wpływających na ekosystem WordPressa oraz o tym jak będzie wyglądała przyszłość WordPressa.
Hackowanie webaplikacji – ofensywa programisty na przykładzie OWASP TOP 10Ideo Sp. z o.o.
Dlaczego i jak chronić hasła użytkowników?
OWASP TOP 10
- Jak pisać?
- Jak testować?
Marcin Rybak - Senior IT Administrator, Ideo Sp. z o.o
Interdyscyplinarne Centrum Modelowania Komputerowego, Uniwersytet Rzeszowski, 27.12.2017r.
Wielomilonowy ruch na wordpressie wordpress wordcamp gdynia 2016Lukasz Wilczak
W powszechnej opinii WordPress nie jest używany do tworzenia serwisów o dużym natężeniu ruchu. Jednak przy odpowiednim zapleczu i konfiguracji możemy korzystać z jego możliwości i nie martwić się o wydajność. Z prezentacji dowiesz się, jak w Grand Parade tworzymy serwisy i przygotowujemy pod nie infrastrukturę dla blogów o dużym natężeniu ruchu i tematyce bettingowej takich jak: news.bwin.com, articles.matchbook.com, news.ladbrokes.com czy sunbets.cu.uk.
Omówimy mechanizmy cache-ujące takie jak Varnish, Redis, infrastrukturę CloudFront i S3 Amazona, sposoby skalowania środowisk z użyciem Load Balancera.
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...Wojciech Sznapka
- oprogramowanie dedykowane vs. produkty Open Source gotowe do użycia – w którym momencie te drugie przestają być wystarczające,
- jaką wartością jest indywidualne podejście do zagadnienia i gdzie każdy z udziałowców projektu otrzymuje największe korzyści,
- po co komu framework, skoro można wszystko samemu napisać najlepiej?
- Symfony2, jego historia, możliwości i usytuowanie na rynku,
- przykłady z życia codziennego, jak PHP i Symfony2 zwinnie daje radę w przeróżnych dziedzinach software developmentu.
Statyczne strony WWW tworzone w języku HTML nie zawsze spełniają oczekiwania twórców i odbiorców. Coraz częściej ich miejsce zajmują dynamiczne serwisy WWW oparte na bazach danych. Jednym z najpopularniejszych narzędzi do ich tworzenia jest język PHP. Jest to łatwy do opanowania język skryptowy działający po stronie serwera, dystrybuowany na zasadzie open source. Ponieważ ma ogromne możliwości, do tworzenia dynamicznych witryn WWW i aplikacji internetowych używają go setki programistów na całym świecie. Dzięki wiadomościom zawartym w tej książce łatwiej dołączyć do ich grona i napisać samodzielnie mechanizmy, na których opierają się dynamiczne witryny internetowe.
Książka "PHP. Praktyczne wprowadzenie" ułatwia szybkie i bezproblemowe pokonanie dystansu pomiędzy statycznymi witrynami w języku HTML a dynamicznymi serwisami WWW w języku PHP. Na przykładzie prawdziwego projektu -- budowy dynamicznej witryny WWW -- pokazano, jak używać PHP do tworzenia wszystkich elementów takiej witryny. Autor książki, Urlich G
Cometari Dedicated Solutions jest firmą technologiczną zlokalizowaną w Krakowie. Posiadamy wiedzę i kompetencje w zakresie projektowania, produkcji i utrzymania
złożonych systemów informatycznych. Nasi inżynierowie posiadają wieloletnie doświadczenie branżowe dzięki czemu do każdego tematu podchodzimy indywidualnie. Kładziemy nacisk na szybkość komunikacji z klientem oraz jakość wytwarzanych rozwiązań. Specjalizujemy się w produkcji zaawansowanych systemów serwerowych jak również lekkich rozwiązań webowych oraz mobilnych. Jeśli potrzebujesz rzetelnego partnera technologicznego jesteśmy do dyspozycji.
Jakie są dobre praktyki SEO, co robić a czego nie robić by strona stworzona w CMS WordPress pięła się w górę w wynikach wyszukiwania.
Prezentacja wygłoszona na WordUp Wrocław 03.06.2016
Czy następuje taki moment w życiu programisty, kiedy może on stwierdzić, że jego warsztat jest już doskonały? Nie, jeżeli pracuje w technologiach internetowych. Ta dziedzina informatyki rozwija się w niesamowicie szybkim tempie, a stworzone wczoraj rozwiązania warto stosować już dziś! Podczas prelekcji słuchacze poznają aktualne możliwości, jakie dają web developerowi różne biblioteki, narzędzia developerskie oraz usługi.
O zagadnieniu:
Czy następuje taki moment w życiu programisty, kiedy może on stwierdzić, że jego warsztat jest już doskonały? Nie, jeżeli pracuje w technologiach internetowych. Ta dziedzina informatyki rozwija się w niesamowicie szybkim tempie, a stworzone wczoraj rozwiązania warto stosować już dziś!
Cel i korzyści spotkania:
Podczas spotkania słuchacze poznają aktualnie wykorzystywane technologie oraz kluczowe umiejętności w produkcji aplikacji internetowych, jak również metody programowania ekstremalnego i techniki zwinnego wytwarzania oprogramowania. Osobom, które dopiero zaczynają swoją przygodę z web development, zostanie przedstawiona propozycja działań, których sumienne podjęcie się gwarantuje odniesienie sukcesu zawodowego.
Stwórz własną dynamiczną witrynę WWW.
* Zainstaluj i skonfiguruj PHP oraz serwery Apache i MySQL
* Naucz się zasad programowania w PHP
* Połącz aplikację WWW z bazą danych
* Poznaj sekrety zabezpieczania i optymalizowania aplikacji sieciowych
Dynamiczne witryny WWW spotykamy w sieci coraz częściej. Po mechanizmy bazodanowe i technologie skryptowe działające po stronie serwera sięgają już nie tylko twórcy portali i sklepów internetowych, ale także ci, którym jeszcze do niedawna wystarczał zwykły, statyczny HTML. Wśród technologii wykorzystywanych do tworzenia dynamicznych stron WWW od dawna prym wiedzie duet PHP i MySQL, instalowany na serwerach WWW pracujących pod kontrolą Apache’a. Te właśnie narzędzia są najczęściej wykorzystywane do tworzenia galerii, forów dyskusyjnych, giełd ogłoszeniowych i wielu innych aplikacji WWW.
"PHP, MySQL i Apache dla każdego. Wydanie II" to podręcznik dla wszystkich, którzy chcą poznać zasady tworzenia dynamicznych witryn WWW z wykorzystaniem najpopularniejszych obecnie technologii. Książka opisuje proces instalacji i konfiguracji Apache’a, MySQL-a i PHP na serwerze oraz na stacji roboczej, elementy języka PHP oraz zasady stosowania języka SQL. Na praktycznych przykładach przedstawia możliwości wykorzystywania PHP i bazy danych do tworzenia elementów dynamicznych stron WWW oraz całych projektów. Czytając ją, nauczysz się zabezpieczać aplikacje WWW oraz poprawiać wydajność ich działania.
* Instalowanie i konfigurowanie narzędzi
* Programowanie w języku PHP
* Funkcje, tablice i obiekty
* Przetwarzanie danych z formularzy
* Obsługa sesji oraz systemu plików
* Dynamiczne generowanie grafiki
* Integracja PHP z MySQL
* Operacje na danych w tabelach i język SQL
* Tworzenie prostych projektów aplikacji WWW
* Monitorowanie pracy aplikacji
* Mechanizmy bezpieczeństwa i uwierzytelniania użytkowników
* Poprawa wydajności aplikacji
Od dawna Flash wykorzystywany jest do tworzenia efektownych, interaktywnych witryn WWW i prezentacji internetowych. Język programowania Action Script, znacznie rozbudowany w najnowszych wersjach tej aplikacji, umożliwia napisanie wielu oryginalnych, ciekawych programów. Czasem jednak nawet tak olbrzymi potencjał, jakim dysponuje Action Script, okazuje się niewystarczający. Co zrobić, gdy trzeba sięgnąć do bazy danych znajdującej się na serwerze lub przechować informacje o sesji? Jak dynamicznie uaktualniać treść artykułów opublikowanych w witrynie? Odpowiedź jest oczywista, trzeba sięgnąć po inne, rewelacyjne narzędzie dla twórców stron WWW, czyli duet PHP i MySQL -- dostępny nieodpłatnie w pełni obiektowy język programowania oraz stabilna i wydajna baza danych.
Książka "Flash i PHP5. Podstawy" to niezastąpiony poradnik dla tych użytkowników Flasha, którzy chcą "wycisnąć" z niego więcej, niż oferuje Action Script. Czytając ją, nauczysz się łączyć witryny WWW tworzone we Flashu ze skryptami PHP i bazą danych MySQL. Poznasz podstawy języków PHP i SQL i dowiesz się, jak skonfigurować środowisko pracy. Znajdziesz w niej informacje o możliwościach wykorzystania PHP do realizacji zadań, których wykonanie za pomocą języka Action Script byłoby niemożliwe. Te zadania to przetwarzanie danych wprowadzanych przez użytkowników, zapisywanie i odczytywanie informacji z bazy danych, zarządzanie sesjami i tworzenie mechanizmu zarządzania treścią serwisu.
* Instalacja i konfiguracja środowiska
* Wysyłanie danych z formularzy za pomocą poczty elektronicznej
* Obliczenia matematyczne w PHP
* Przetwarzanie danych tekstowych
* Tworzenie czytnika RSS
* Praca z bazami MySQL i SQLite
* Wprowadzanie informacji do bazy danych
* Obsługa sesji
* System CMS oparty o bazę danych i XML
Wykorzystaj PHP i stwórz dynamiczne witryny WWW we Flashu.
2 grudnia 2021 na Wydziale Chemii Uniwersytetu Warszawskiego odbyła się prezentacja pod tytułem „Podstawy testowania (teoria testów)” w ramach projektu „Podaj dalej programowanie”. Katarzyna Javaheri-Szpak
3. Szacuje się, że aż 40% wszystkich
cyberataków kierowanych jest do sektora
tzw. małego biznesu,
a ogólnoświatowy koszt ataków to około
600 miliardów dolarów rocznie.
źródło: Economic Impact of Cybercrime— No Slowing Down, McAfee, luty 2018, strona 6
4. Ruch, który generuje sieć internetowa
tylko w 48% to działalność człowieka.
Pozostałe 52% to działalność robotów,
botów, automatów.
źródło: Raport CERT Orange Polska za rok 2017, strona 27
5. 6 na 10 wiadomości e-mail
w skali światowej
to SPAM
źródło: Raport CERT Orange Polska za rok 2017, strona 60
6. CZYM JEST CMS?
CMS (Content Management System) czyli system zarządzania treścią
• około 53% wszystkich stron internetowych używa jakiegoś CMSa
• najczęściej CMSy napisane są w językach: PHP, Python, Java
• korzystają z baz danych – w przeważającej większości z MySQL/MariaDB
źródło: w3techs.com
8. • są bezpłatne i łatwe w instalacji
• tysiące darmowych lub
przystępnych cenowo dodatków
(motywy, wtyczki, komponenty)
• intuicyjne funkcjonalności
• darmowe wsparcie techniczne od
innych użytkowników (fora, grupy na
Facebooku)
• kod jest znany i dostępny
• kompleksowe zabezpieczenie jest
praktycznie niemożliwe
• konieczność serwisowania stron
• wtyczki i motywy może wydawać
każdy, także cyberprzestępca lub
osoby
z małym doświadczeniem
9. WORDPRESS
Najbardziej popularny CMS
60% z wszystkich CMSów*
32% wszystkich stron*
Najczęściej atakowany CMS
ponad 80% wszystkich zarejestrowanych
ataków na sucuri.net
*źródło: w3techs.com
12. Luka montowana przez cyberprzestępcę do późniejszego wykorzystania.
Pozwala na późniejsze, każdorazowe ominięcie zabezpieczeń i zdalne zarządzanie
systemem.
Przykład:
W grudniu 2017, po aktualizacji wtyczki typu captcha firmy BestWebSoft
(ok. 300 tys. instalacji), okazało się, że zawiera ona backdoor i może przeprowadzać
aktualizacje omijając oficjalne repozytorium WordPressa.
71
%
źródło: https://sekurak.pl/plugin-captcha-do-wordpressa-300-000-instalacji-z-backdoorem/
13. MAL WARE
W kontekście stron internetowych –
ogólny termin określający złośliwe
oprogramowanie użyte po stronie przeglądarki
internetowej
(zwykle JavaScript)
47
%
14. SEO - optymalizacja strony/serwisu pod
kątem wyszukiwarek
Atak mający na celu obniżenia
pozycjonowania konkurencji
lub wypromowanie słów kluczowych, z
wykorzystaniem witryny ofiary.
- zmiany w kodzie
- zmiany w bazie danych
- zmiany w pliku .htaccess
Przykład:
Japoński SEO spam
Reklamy medyczne (Viagra itp.)
Reklamy modowe (tanie Ray-Bany)
44
%
wzrost
o 17%
15. 19
%
Złośliwy kod (najczęściej w języku PHP), którego celem jest użycie funkcjonalności
wysyłania e-maili przez zainfekowaną stronę.
Kod może zostać dodany jako osobny plik lub jako dodatkowe linijki do istniejących
plików.
Najczęściej spam powstaje przez błąd w implementacji. Luka pozwala wysłać dowolny
email do dowolnej osoby preparując odpowiedni link i dane (wysyłane metodą
POST/GET).
Przykład:
Hostingodawca informuje klienta, że jego strona wykazuje niecodzienną aktywność w
zakresie ruchu mailowego.
Podpowiedź:
Ruch i zużycie transferu można śledzić w panelu klienta.
16. exploity - programy mające na celu wykorzystać błędy
lub
narzędzia do ataków DDOS – czyli prowadzące do zajęcia wszystkich wolnych zasobów
systemu ofiary
używane do dalszych ataków na inne strony
Są to ataki typu komputery-zombie: atak ofiary następuje na dany sygnał z wielu miejsc
jednocześnie.
Przykład:
kwiecień 2017 – atak na australijskiego rejestratora domen Melbourne IT.
Między 10:00 a 11:30 nie działał hosting, e-maile i inne usługi.
14
%
źródło: https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attacks-2017/
17. Rodzaj trojana zaprojektowanego do instalacji kilku niezwiązanych ze sobą złośliwych
programów.
Celem droppera jest odwrócenie uwagi użytkownika (np. fałszywymi alarmami) lub
ominięcie skanerów antywirusowych.
Sam dropper nie wyrządza krzywdy atakowanemu systemowi,
ale łatwiej go napisać niż nowego złośliwego trojana.
Przykład:
Załącznik do e-maila, który wygląda jak faktura w PDF.
Plik do pobrania ze strony (np. bestseller w formie e-booka w PDF).
6%
18. LICZBA PLIKÓW W CORE
(RDZENIU)
WORDPRESS
około 1500 plików
JOOMLA
około 6000 plików
2016 rok - 92 pliki
2017 rok - 168 plików
najczęściej zainfekowane
(WordPress):
• index.php
• .htaccess
• functions.php
Usunięcie kilku plików, które wydają się nam zainfekowane zwykle
nie wystarcza.
źródło:
sucuri.net
19. • brak aktualizacji systemów CMS
• wyciek / przejęcie haseł (np. złośliwe aplikacje jak „Zobacz
kto widział Twój profil”)
• nieodpowiednie (nieaktualne, nierozwijane, złośliwe)
dodatki, wtyczki
• inżyniera społeczna / socjotechnika
• (np. manipulacja uprawnionych pracowników)
źródło: developers.google.com 26/02/2018
22. Hosting posiada opcję wyboru PHP
Oferowane wersje PHP są wspierane
(obecnie 5.6, 7.0, 7.1, 7.2)
Hosting oferuje profesjonalną
i szybką pomoc techniczną
Hosting sporządza (realne) backupy bezpłatnie lub po
niewygórowanych cenach
Uwaga! W grudniu 2018 kończy się
wsparcie dla wersji 5.6 i 7.0
http://php.net/supported-versions.php
23. Darmowe wersje płatnych wtyczek i motywów
Cyberprzestępcy wykorzystują ludzkie skłonności do
kombinowania i doklejają złośliwy kod do płatnych
komponentów, a następnie dystrybuują je
darmowo w sieci.
Wtyczki i motywy należy pobierać
tylko z oficjalnych źródeł!
24. Silne hasło czyli jakie?
Dotychczasowe zalecenia:
co najmniej 8-12 znaków
co najmniej jedna cyfra
co najmniej jeden znak specjalny
co najmniej jedna duża litera
25. Powyższe zalecenia wypracowały schemat, który łatwo złamać…
Dodatkowo badania z University of North California wykazały,
że wymóg zmiany hasła co 30-90 dni powoduje,
że użytkownicy tworzą słabe lub w przewidywalny
sposób zmodyfikowane hasła.
źródło: https://techinfo.uodo.gov.pl/hasla-praktyczne-wskazowki-czy-naprawde-trzeba-zmienic-haslo-co-30-dni/
27. Brak schematów
Brak pojedynczych wyrażeń słownikowych
Nie używać tych samych haseł w kilku serwisach
Lepiej przypadkowe cztery słowa
(np. w różnych językach)
niż schematyczne Xyz123%
29. Dwustopniowe logowanie chroni nawet
w przypadku wycieku hasła
Instalacja wtyczki wykorzystującej dodatkowe kody:
SMS, na maila lub z Google Authenticator
30.
31. Ograniczenie liczby kont administratora i innych
z uprawnieniami wyższymi niż zwykły użytkownik
Monitorowanie zarejestrowanych kont pod kątem
podejrzanych użytkowników
Usuwanie nieaktywnych kont
Kontrola kto ma dostęp do panelu strony,
na których urządzeniach zapisaliśmy hasła
32. Nie powinno się ignorować aktualizacji systemu CMS.
Często wprowadzają poprawki do luk bezpieczeństwa,
które już są powszechnie znane.
Na podstawie znanych, ale niezałatanych
luk bezpieczeństwa cyberprzestępcy
mogą planować ataki.
33. Automatyczne aktualizacje są wygodne, ale należy pamiętać,
by sporządzać regularne
kopie zapasowe strony.
Niektóre aktualizacje mogą zepsuć stronę, dlatego warto
mieć zawsze kopie zapasowe.
Wtyczki do kopii zapasowych:
Akeeba, UpDraft
lub ręcznie
w Drupalu 7+ jest to wbudowany moduł
34. Należy weryfikować pochodzenie wtyczek
Nie instalować źle ocenionych, porzuconych
(np. dodanych 3 lata temu bez żadnej aktualizacji), pobranych
z nieoficjalnych źródeł
Instalować tylko realnie potrzebne wtyczki
Bardzo ważne!
Wtyczki należy aktualizować możliwie jak najszybciej
35. Najlepsza alternatywa dla wtyczek bezpieczeństwa
Pozwala skonfigurować parametry serwera (Apache), w tym
te dotyczące dostępu i bezpieczeństwa
Działa w obrębie katalogu, w którym został umieszczony oraz
we wszystkich podkatalogach
Popularne wtyczki bezpieczeństwa uzyskują uprawnienia do
nadpisywania reguł w .htaccess
(ma to plusy i minusy)
36. Ograniczenie logowania do jednego
IP
#Limit Login Only For One IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 111.222.333.444
</Limit>
Ochrona pliku wp-config.php
#Protect wp-config.php
File<Files wp-config.php>
order allow,deny
deny from all
</Files>
37. Certyfikat SSL czyli Secure Socket Layer
protokół bezpieczeństwa zapewniający poufność transmisji
danych
Plusy:
• szyfrowanie danych przesyłanych przez stronę (danych
klientów, użytkowników, a także loginów administratorów)
• zgodność z wymogami RODO
• większe zaufanie użytkowników (zwłaszcza w obliczu zmian
w Google Chrome)
38. Socjotechnika i manipulacja święci triumfy
Nawet najlepiej chronione systemy mogą
zostać złamane przez błąd ludzki
Zdrowy rozsądek i myślenie krytyczne!
39. • (PL) Raport CERT Orange Polska – https://www.cert.pl
• (EN) Raport Sucuri Hacked Report – https://w3techs.com
• (EN) Statystyki dotyczące stron i systemów – https://w3techs.com
• (PL) Mini-kurs rozpoznawania phishingu – https://phishingstop.aliorbank.pl
Phishing – oszustwo internetowe, którego celem jest
kradzież tożsamości (hasła, loginy, dane osobowe)
40. • (PL) Niebezpiecznik– https://niebezpiecznik.pl
• (PL) Zaufana Trzecia Strona - https://zaufanatrzeciastrona.pl
• (PL) Sekurak - https://sekurak.pl/
i ich fanpage na Facebooku
41. „More secure software,
NOT more security software.”
(Bardziej bezpieczne oprogramowanie,
a NIE więcej oprogramowania
zabezpieczającego.)
Website Security Statistics Report 2015 (WhiteHat)