Recommended
More Related Content
Similar to Biztonságos Programozás
Similar to Biztonságos Programozás (18)
Biztonságos Programozás
- 2. TARTALOM Általánosságban a biztonságos fejlesztésről Leggyakoribb támadások Támadások bemutatása gyakorlatban Fejlesztői környezet (LAMP, PHP, Log, Error, egyéb) Kriptográfia alapok Konklúzió, források
- 3. ÁLTALÁNOSSÁGBAN AZ IT BIZTONSÁGRÓL Mi alapján tekintünk biztonságosnak egy rendszert? Mi a negatív mérőszáma a biztonságnak? Milyen elvárásoknak kell megfelelnie egy rendszernek? Mit kell tennünk a biztonságért? Melyik szoftver a megbízhatóbb? Hogyan induljunk el?
- 4. OWASP TOP 10 (2017 FINAL) OPEN WEB APPLICATION SECURITY PROJECT A1. Injection [1] A2. Broken Authentication [2 - Session Management] A3. Sensitive Data Exposure [6] A4. XML Enternal Entities (XXE) [NEW] A5. Broken Access Control [4+7 - MERGED - IDOR & MFLAC] A6. Security Misconfiguration [5] A7. Cross-Site Scripting (XSS) [3] A8. Insecure Deserialization [NEW, Community] A9. Using Components with Known Vulnerabilities [9] A10. Insufficient Logging & Monitoring [NEW, Community]
- 5. SESSION session_start() file based session $_SESSION['time'] = time(); echo SID; // session_id() response header - set-cookie: SID=...;domain=.biztositas.hu document.cookie = "username=John Doe"; document.cookie request header - Cookie: SID=...; parameters: secure (HTTPS), httponly (XSS)
- 6. MITM Alice – Mallory – Bob HTTP(S) - Certificate WiFi Eavesdropping ARP poisoning Port stealing DNS poisoning Virus, maleware
- 10. INSECURE DIRECT OBJECT REFERENCE (IDOR) Gyakorlat
- 12. CROSS SITE REQUEST FORGERY (CSRF) Gyakorlat
- 13. CROSS ORIGIN RESOURCE SHARING (CORS)
- 15. DENIAL OF SERVICE (DOS ATTACK)
- 16. SZÜNET?
- 18. KRIPTOGRÁFIA Véletlenszám Szimetrikus titkosítás Aszimetrikus titkosítás Public key infrastructure Hash Jelszó
- 19. VÉLETLENSZÁM
- 20. SZIMETRIKUS TITKOSÍTÁS plaintext -> encryption (secret key) -> ciphertext -> decryption (secret key) -> plaintext
- 21. ASZIMETRIKUS TITKOSÍTÁS plaintext -> encryption (public key) -> ciphertext -> decryption (private key) plaintext
- 22. PUBLIC KEY INFRASTRUCTURE (PKI)
- 23. HASH
- 24. JELSZÓ
- 26. STATIC APPLICATION SECURITY TESTING (SAST) GitHub - Security alerts (GitLab) RIPS - Automatically detect real security issues in PHP applications Codacy - Check code style, security, duplication, complexity and coverage Burp - Coverage of over 100 generic vulnerabilities (SQL injection, XSS), with great performance against all vulnerabilities in the OWASP top 10 ZAP (OWASP Zed Attack Proxy) - one of the world’s most popular free security tools - automatically find security vulnerabilities Retire.js - The goal of Retire.js is to help you detect use of version with known vulnerabilities (JS)
- 27. FORRÁSOK Open Web Application Security Project (OWASP) National Institute of Standards and Technology (NIST) Linux foundation (Let's Encrypt) CompTIA - Network+, Security+, CSA+ Books: Amazon - Computer Security & Encryption Troy Hunt Blog - troyhunt.com Twitter: @SwiftOnSecurity The Hacker News - thehackernews.com
- 28. ÉLES GYAKORLAT
- 29. KÉRDÉSEK?