Hálózatunkat érhető támadások sokat fejlődtek az elmúlt években. Sokkal kifinomultabbak, hosszabb ideig tartó és célzott támadások ellen kell védekeznünk. Hálózatunk számos védelmi komponenst tartalmaz, melyek mindegyike kibővíthető vagy kiegészíthető mélyebb elemzési ismeretekkel. Az összetett és nagy adathalmaz feldolgozása érdekében javasolt lehet egy közös felügyeleti és jelentéskezelő rendszerrel támogatott megoldás kialakítása a védekezés eredményességének fokozása érdekében. A megoldásunk új elemekkel bővíthető, illetve meglevő hálózati, tartalomszűrő rendszerekbe is integrálható. A végponti kiterjesztés alacsony terhelést jelent, s megfér a meglevő vírusirtó rendszer mellett. NAC rendszerrel integrálható, így dinamikusan korlátozhatóak a kitörések. A közös menedzsment előnye a grafikus terjedési térképek megjelenítése.
További információért kérjük látogasson el honlapunkra és vegye fel a kapcsolatot szakértőinkkel: http://www.snt.hu/megoldasok/informaciobiztonsag/
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
I wanted to make a presentation about ethical hacking for a long while. This material tries to show what do we understand on ethical hacking, what concepts should we learn and bring to book for as a procurer. Maybe it's turn out that ethical hacking is based on a methodological work.
This Hungarian presentation introduces the new features of Internet Information Services 7.5 for system administrators.
Presented on local Technet event on 2 December 2009.
Hálózatunkat érhető támadások sokat fejlődtek az elmúlt években. Sokkal kifinomultabbak, hosszabb ideig tartó és célzott támadások ellen kell védekeznünk. Hálózatunk számos védelmi komponenst tartalmaz, melyek mindegyike kibővíthető vagy kiegészíthető mélyebb elemzési ismeretekkel. Az összetett és nagy adathalmaz feldolgozása érdekében javasolt lehet egy közös felügyeleti és jelentéskezelő rendszerrel támogatott megoldás kialakítása a védekezés eredményességének fokozása érdekében. A megoldásunk új elemekkel bővíthető, illetve meglevő hálózati, tartalomszűrő rendszerekbe is integrálható. A végponti kiterjesztés alacsony terhelést jelent, s megfér a meglevő vírusirtó rendszer mellett. NAC rendszerrel integrálható, így dinamikusan korlátozhatóak a kitörések. A közös menedzsment előnye a grafikus terjedési térképek megjelenítése.
További információért kérjük látogasson el honlapunkra és vegye fel a kapcsolatot szakértőinkkel: http://www.snt.hu/megoldasok/informaciobiztonsag/
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
I wanted to make a presentation about ethical hacking for a long while. This material tries to show what do we understand on ethical hacking, what concepts should we learn and bring to book for as a procurer. Maybe it's turn out that ethical hacking is based on a methodological work.
This Hungarian presentation introduces the new features of Internet Information Services 7.5 for system administrators.
Presented on local Technet event on 2 December 2009.
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
In 2009 and 2010 a huge development is expected in the Hungarian e-government system. Although information security aspects have an emphasized role solid principals and practices hasn’t been identified for the developments. This study reviews the design directions of the Hungarian e-government and presents some predictable IT security risks. This is done by the formalism of Common Criteria standard considering the governmental expectations. In the following chapter the author studies the current recommendations which are useable during the design and implementation and then outlines the ideal direction with the analysis of the Japanese example. Last it represents the overall security situation of the Hungarian e-government system and proposes some scientific topics for the improvement.
Túlélés a Három Betűs Rövidítések világábanOpen Academy
A modern biztonsági fenyegetések anatómiája, régi módszerek, új megvilágításban. Rendelkezésre álló biztonsági megoldások és ezek problémái. A hagyományos védelmi szemlélet megkérdőjelezése.
(Buherátor, méltán híres blogger, BuheraBlog)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
The goal of my thesis is the development of an electronic commerce system which complies with general practical security requirements and has the ability for handling commerce transactions which are authenticated with digital signatures. To ensure a proper level of security risk assessment should be completed, which exposes the potential defects and risks. I suggest protection measures to avoid the arising risks and defects.
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
In 2009 and 2010 a huge development is expected in the Hungarian e-government system. Although information security aspects have an emphasized role solid principals and practices hasn’t been identified for the developments. This study reviews the design directions of the Hungarian e-government and presents some predictable IT security risks. This is done by the formalism of Common Criteria standard considering the governmental expectations. In the following chapter the author studies the current recommendations which are useable during the design and implementation and then outlines the ideal direction with the analysis of the Japanese example. Last it represents the overall security situation of the Hungarian e-government system and proposes some scientific topics for the improvement.
Túlélés a Három Betűs Rövidítések világábanOpen Academy
A modern biztonsági fenyegetések anatómiája, régi módszerek, új megvilágításban. Rendelkezésre álló biztonsági megoldások és ezek problémái. A hagyományos védelmi szemlélet megkérdőjelezése.
(Buherátor, méltán híres blogger, BuheraBlog)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
The goal of my thesis is the development of an electronic commerce system which complies with general practical security requirements and has the ability for handling commerce transactions which are authenticated with digital signatures. To ensure a proper level of security risk assessment should be completed, which exposes the potential defects and risks. I suggest protection measures to avoid the arising risks and defects.
2. TARTALOM
Általánosságban a biztonságos fejlesztésről
Leggyakoribb támadások
Támadások bemutatása gyakorlatban
Fejlesztői környezet (LAMP, PHP, Log, Error, egyéb)
Kriptográfia alapok
Konklúzió, források
3. ÁLTALÁNOSSÁGBAN
AZ IT BIZTONSÁGRÓL
Mi alapján tekintünk biztonságosnak egy rendszert?
Mi a negatív mérőszáma a biztonságnak?
Milyen elvárásoknak kell megfelelnie egy rendszernek?
Mit kell tennünk a biztonságért?
Melyik szoftver a megbízhatóbb?
Hogyan induljunk el?
4. OWASP TOP 10 (2017 FINAL)
OPEN WEB APPLICATION SECURITY PROJECT
A1. Injection [1]
A2. Broken Authentication [2 - Session Management]
A3. Sensitive Data Exposure [6]
A4. XML Enternal Entities (XXE) [NEW]
A5. Broken Access Control [4+7 - MERGED - IDOR & MFLAC]
A6. Security Misconfiguration [5]
A7. Cross-Site Scripting (XSS) [3]
A8. Insecure Deserialization [NEW, Community]
A9. Using Components with Known Vulnerabilities [9]
A10. Insufficient Logging & Monitoring [NEW, Community]
26. STATIC APPLICATION SECURITY TESTING
(SAST)
GitHub - Security alerts (GitLab)
RIPS - Automatically detect real security issues in PHP applications
Codacy - Check code style, security, duplication, complexity and coverage
Burp - Coverage of over 100 generic vulnerabilities (SQL injection, XSS), with great
performance against all vulnerabilities in the OWASP top 10
ZAP (OWASP Zed Attack Proxy) - one of the world’s most popular free security
tools - automatically find security vulnerabilities
Retire.js - The goal of Retire.js is to help you detect use of version with known
vulnerabilities (JS)
27. FORRÁSOK
Open Web Application Security Project (OWASP)
National Institute of Standards and Technology (NIST)
Linux foundation (Let's Encrypt)
CompTIA - Network+, Security+, CSA+
Books: Amazon - Computer Security & Encryption
Troy Hunt Blog - troyhunt.com
Twitter: @SwiftOnSecurity
The Hacker News - thehackernews.com