SlideShare a Scribd company logo

Presentation

Oleg Nazarevych
Oleg Nazarevych
1 of 12
Download to read offline
ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0 Михайлович Ігор (СН-41)
Що таке Web 2.0? WEB 2.0 – це методика проектування систем, котрі шляхом врахування мережевих взаємодій стають тим краще, чим більше ними користуються. Web 2.0 - не технологія і не особливий стиль Web-дизайну. Це в першу чергу комплексний підхід в організації та підтримці Web-ресурсів самими користувачами. Web 2.0 – це не є чимось новим, це використання традиційних технологій по –новому. RSS
Що таке Web 2.0?
Основні напрями атак 1.Крос-сайтовий скріптинг в AJAX 2.Зараження XML 3.Виконання зловмисного AJAX-коду 4.RSS/Atom – ін’єкції 5.Сканування WSDL
Основні напрями атак 6.Валідація на стороні клієнта 7.Проблеми маршрутизації повідомлень 8.Маніпулювання параметрами в SOAP 9.XPATH-ін’єкція в SOAP повідомленні 10.Маніпуляція товстим клієнтом
Заходи захисту для розробників Web-ресурсів A. Виконання всієї бізнес-логіки на сервері B. Перевірка всіх даних на вході/виході C. Створення інтерфейсів нульової довіри
Заходи захисту для розробників Web-ресурсів А) Виконання всієї бізнес-логіки має відбуватися на сервері, де ймовірнісь маніпулювання нею значно менша  Ви не можете довіряти коду з того моменту як він виходить з- під вашого контролю  Може проводитися реверс – інженіринг web-коду (java,flash,etc)  Ніколи не штовхайте(push) критичну інформацію клієнту
Заходи захисту для розробників Web-ресурсів B) Перевіряйте дані що надходять та дані що надсилаються Перевіряйте ВСЕ, БЕЗ ВИНЯТКІВ,ЗАВЖДИ Будьте впевнені в тому, що ваш додаток надсилає тільки те, що треба
Заходи захисту для розробників Web-ресурсів С) Вважайте що ваш API чи Web – сервіс обов'язково буде атакований Ніколи не довіряйте власному коду, якщо він є в браузері користувача Ніколи не дозволяйте інтерфейсу надавати прямі дані, запити підтвердження
Заходи захисту для розробників Web-ресурсів Web 2.0 зосереджений на зручності а не на безпеці «Круто» завжди переважає над «безпечно» Ніколи не думайте, що користувач «знає краще»
Заходи захисту для користувачів  Остерігайтеся вірусів та шкідливих програм  Остерігайтеся фішінг-нападів  Остерігайтеся e-mail шахрайства  Думайте перед тим як публікуєте  Використовуйте жорсткі налаштування приватності
Список джерел 1. Shreeraj Shah. Top 10 web 2.0 Attack vectors http://www.net- security.org/article.php?id=949&p=1 2. Rafal Los. When Web 2.o Attcks http://h30501.www3.hp.com/t5/Following-the- White-Rabbit-A/bg-p/119 3. iYogi. Top 5 Security Measures for Online Social Networking Usershttp://www.iyogi.net/press-releases/march11/iyogi-reviews-the-top-5- security-measures-for-online-social-networking-users.html

Recommended

тищенко м.м.
тищенко м.м.тищенко м.м.
тищенко м.м.Kolya_Tishchenko
 
тищенко м.м.
тищенко м.м.тищенко м.м.
тищенко м.м.Kolya_Tishchenko
 
Антивірус MCAfee
Антивірус MCAfeeАнтивірус MCAfee
Антивірус MCAfeeЦупренко Карачевський
 
McAfee
McAfeeMcAfee
McAfeeAlExEy246
 
34
3434
34maksi100
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Web2 Kurs
Web2 KursWeb2 Kurs
Web2 Kursnina_dem
 

Recommended

тищенко м.м.
тищенко м.м.тищенко м.м.
тищенко м.м.Kolya_Tishchenko
 
тищенко м.м.
тищенко м.м.тищенко м.м.
тищенко м.м.Kolya_Tishchenko
 
Антивірус MCAfee
Антивірус MCAfeeАнтивірус MCAfee
Антивірус MCAfeeЦупренко Карачевський
 
McAfee
McAfeeMcAfee
McAfeeAlExEy246
 
34
3434
34maksi100
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Web2 Kurs
Web2 KursWeb2 Kurs
Web2 Kursnina_dem
 
вашенюк
вашенюквашенюк
вашенюкOleg Nazarevych
 
Web 2 0
Web 2 0Web 2 0
Web 2 0NatkaOA
 
Web 2 0
Web 2 0Web 2 0
Web 2 0NatkaOA
 
Web 2 0
Web 2 0Web 2 0
Web 2 0NatkaOA
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing ReportKR. Laboratories
 
Автомат розроб сайтів_огляд_web2
Автомат розроб сайтів_огляд_web2Автомат розроб сайтів_огляд_web2
Автомат розроб сайтів_огляд_web2Ирина Слуцкая
 
Caliburn Micro Overview
Caliburn Micro OverviewCaliburn Micro Overview
Caliburn Micro OverviewKiev ALT.NET
 
ASP.Net MVC
ASP.Net MVCASP.Net MVC
ASP.Net MVCVictor Matyushevskyy
 
Syniepolskyi dmytro
Syniepolskyi dmytroSyniepolskyi dmytro
Syniepolskyi dmytroIgor Sinepolsky
 
Технологія Web 2.0
Технологія Web 2.0Технологія Web 2.0
Технологія Web 2.0Юлія Артюх
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0uisgslide
 
Rss та wiki
Rss та wiki Rss та wiki
Rss та wiki Alla239
 
Rss та wiki
Rss та wiki Rss та wiki
Rss та wiki Alla239
 
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУБезпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУSSCoding Group
 
ASP.Net Core Services
ASP.Net Core ServicesASP.Net Core Services
ASP.Net Core ServicesVictor Haydin
 
Wcf module 1
Wcf module 1Wcf module 1
Wcf module 1Andrii Hladkyi
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestGlib Pakharenko
 
ASP.Net basics
ASP.Net basics ASP.Net basics
ASP.Net basics Victor Matyushevskyy
 
презентация1
презентация1презентация1
презентация1zhudkova21pgf
 
IR System
IR SystemIR System
IR Systemsnipter
 
Етикет службового листування
Етикет службового листуванняЕтикет службового листування
Етикет службового листуванняOleg Nazarevych
 
Оцінка трудомісткості і термінів проекту
Оцінка трудомісткості і термінів проектуОцінка трудомісткості і термінів проекту
Оцінка трудомісткості і термінів проектуOleg Nazarevych
 

More Related Content

Similar to Presentation

Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing ReportKR. Laboratories
 
Автомат розроб сайтів_огляд_web2
Автомат розроб сайтів_огляд_web2Автомат розроб сайтів_огляд_web2
Автомат розроб сайтів_огляд_web2Ирина Слуцкая
 
Caliburn Micro Overview
Caliburn Micro OverviewCaliburn Micro Overview
Caliburn Micro OverviewKiev ALT.NET
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0uisgslide
 
Rss та wiki
Rss та wiki Rss та wiki
Rss та wiki Alla239
 
Rss та wiki
Rss та wiki Rss та wiki
Rss та wiki Alla239
 
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУБезпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУSSCoding Group
 
ASP.Net Core Services
ASP.Net Core ServicesASP.Net Core Services
ASP.Net Core ServicesVictor Haydin
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestGlib Pakharenko
 
презентация1
презентация1презентация1
презентация1zhudkova21pgf
 
IR System
IR SystemIR System
IR Systemsnipter
 

Similar to Presentation (20)

вашенюк
вашенюквашенюк
вашенюк
 
Web 2 0
Web 2 0Web 2 0
Web 2 0
 
Web 2 0
Web 2 0Web 2 0
Web 2 0
 
Web 2 0
Web 2 0Web 2 0
Web 2 0
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing Report
 
Автомат розроб сайтів_огляд_web2
Автомат розроб сайтів_огляд_web2Автомат розроб сайтів_огляд_web2
Автомат розроб сайтів_огляд_web2
 
Caliburn Micro Overview
Caliburn Micro OverviewCaliburn Micro Overview
Caliburn Micro Overview
 
ASP.Net MVC
ASP.Net MVCASP.Net MVC
ASP.Net MVC
 
Syniepolskyi dmytro
Syniepolskyi dmytroSyniepolskyi dmytro
Syniepolskyi dmytro
 
Технологія Web 2.0
Технологія Web 2.0Технологія Web 2.0
Технологія Web 2.0
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
 
Rss та wiki
Rss та wiki Rss та wiki
Rss та wiki
 
Rss та wiki
Rss та wiki Rss та wiki
Rss та wiki
 
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУБезпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
 
ASP.Net Core Services
ASP.Net Core ServicesASP.Net Core Services
ASP.Net Core Services
 
Wcf module 1
Wcf module 1Wcf module 1
Wcf module 1
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
 
ASP.Net basics
ASP.Net basics ASP.Net basics
ASP.Net basics
 
презентация1
презентация1презентация1
презентация1
 
IR System
IR SystemIR System
IR System
 

More from Oleg Nazarevych

Етикет службового листування
Етикет службового листуванняЕтикет службового листування
Етикет службового листуванняOleg Nazarevych
 
Оцінка трудомісткості і термінів проекту
Оцінка трудомісткості і термінів проектуОцінка трудомісткості і термінів проекту
Оцінка трудомісткості і термінів проектуOleg Nazarevych
 
5 Управління ризиками (2016)
5 Управління ризиками (2016)5 Управління ризиками (2016)
5 Управління ризиками (2016)Oleg Nazarevych
 
Л2 Управління проектами. Визначення та концепції
Л2 Управління проектами. Визначення та концепціїЛ2 Управління проектами. Визначення та концепції
Л2 Управління проектами. Визначення та концепціїOleg Nazarevych
 
Л1 Введення в програмну інженерію
Л1 Введення в програмну інженеріюЛ1 Введення в програмну інженерію
Л1 Введення в програмну інженеріюOleg Nazarevych
 
Ініціація проекту
Ініціація проектуІніціація проекту
Ініціація проектуOleg Nazarevych
 
4 Планування проекту (2018)
4 Планування проекту (2018)4 Планування проекту (2018)
4 Планування проекту (2018)Oleg Nazarevych
 
Введення в програмну інженерію. Моделі розробки проектів
Введення в програмну інженерію. Моделі розробки проектівВведення в програмну інженерію. Моделі розробки проектів
Введення в програмну інженерію. Моделі розробки проектівOleg Nazarevych
 
Відеоскрайбінг
ВідеоскрайбінгВідеоскрайбінг
ВідеоскрайбінгOleg Nazarevych
 
Основи графічного дизайну
Основи графічного дизайнуОснови графічного дизайну
Основи графічного дизайнуOleg Nazarevych
 
Тема 1 Основні терміни і поняття
Тема 1 Основні терміни і поняттяТема 1 Основні терміни і поняття
Тема 1 Основні терміни і поняттяOleg Nazarevych
 
Дебетові системи електронних платежів
Дебетові системи електронних платежівДебетові системи електронних платежів
Дебетові системи електронних платежівOleg Nazarevych
 
Тема 15 Банерна реклама
Тема 15 Банерна рекламаТема 15 Банерна реклама
Тема 15 Банерна рекламаOleg Nazarevych
 
Тема 3 (2) Основні принципи функціонування та роботи систем електронної комерції
Тема 3 (2) Основні принципи функціонування та роботи систем електронної комерціїТема 3 (2) Основні принципи функціонування та роботи систем електронної комерції
Тема 3 (2) Основні принципи функціонування та роботи систем електронної комерціїOleg Nazarevych
 
Тема 14 Пошукова оптимізація. SEO оптимізація
Тема 14 Пошукова оптимізація. SEO оптимізаціяТема 14 Пошукова оптимізація. SEO оптимізація
Тема 14 Пошукова оптимізація. SEO оптимізаціяOleg Nazarevych
 
Тема № 12. Дебетові системи електронних платежів
Тема № 12. Дебетові системи електронних платежівТема № 12. Дебетові системи електронних платежів
Тема № 12. Дебетові системи електронних платежівOleg Nazarevych
 
Тема 5 Системи електронної комерції B2C
Тема 5 Системи електронної комерції B2CТема 5 Системи електронної комерції B2C
Тема 5 Системи електронної комерції B2COleg Nazarevych
 
Тема 7 (2) Послуги в електронній комерції
Тема 7 (2) Послуги в електронній комерціїТема 7 (2) Послуги в електронній комерції
Тема 7 (2) Послуги в електронній комерціїOleg Nazarevych
 
Тема 18 Методи аналізу ефективності інтернет реклами
Тема 18 Методи аналізу ефективності інтернет рекламиТема 18 Методи аналізу ефективності інтернет реклами
Тема 18 Методи аналізу ефективності інтернет рекламиOleg Nazarevych
 

More from Oleg Nazarevych (20)

Етикет службового листування
Етикет службового листуванняЕтикет службового листування
Етикет службового листування
 
Оцінка трудомісткості і термінів проекту
Оцінка трудомісткості і термінів проектуОцінка трудомісткості і термінів проекту
Оцінка трудомісткості і термінів проекту
 
5 Управління ризиками (2016)
5 Управління ризиками (2016)5 Управління ризиками (2016)
5 Управління ризиками (2016)
 
Л2 Управління проектами. Визначення та концепції
Л2 Управління проектами. Визначення та концепціїЛ2 Управління проектами. Визначення та концепції
Л2 Управління проектами. Визначення та концепції
 
Л1 Введення в програмну інженерію
Л1 Введення в програмну інженеріюЛ1 Введення в програмну інженерію
Л1 Введення в програмну інженерію
 
Ініціація проекту
Ініціація проектуІніціація проекту
Ініціація проекту
 
4 Планування проекту (2018)
4 Планування проекту (2018)4 Планування проекту (2018)
4 Планування проекту (2018)
 
Введення в програмну інженерію. Моделі розробки проектів
Введення в програмну інженерію. Моделі розробки проектівВведення в програмну інженерію. Моделі розробки проектів
Введення в програмну інженерію. Моделі розробки проектів
 
Відеоскрайбінг
ВідеоскрайбінгВідеоскрайбінг
Відеоскрайбінг
 
3D графіка
3D графіка3D графіка
3D графіка
 
Основи графічного дизайну
Основи графічного дизайнуОснови графічного дизайну
Основи графічного дизайну
 
Тема 1 Основні терміни і поняття
Тема 1 Основні терміни і поняттяТема 1 Основні терміни і поняття
Тема 1 Основні терміни і поняття
 
Дебетові системи електронних платежів
Дебетові системи електронних платежівДебетові системи електронних платежів
Дебетові системи електронних платежів
 
Тема 15 Банерна реклама
Тема 15 Банерна рекламаТема 15 Банерна реклама
Тема 15 Банерна реклама
 
Тема 3 (2) Основні принципи функціонування та роботи систем електронної комерції
Тема 3 (2) Основні принципи функціонування та роботи систем електронної комерціїТема 3 (2) Основні принципи функціонування та роботи систем електронної комерції
Тема 3 (2) Основні принципи функціонування та роботи систем електронної комерції
 
Тема 14 Пошукова оптимізація. SEO оптимізація
Тема 14 Пошукова оптимізація. SEO оптимізаціяТема 14 Пошукова оптимізація. SEO оптимізація
Тема 14 Пошукова оптимізація. SEO оптимізація
 
Тема № 12. Дебетові системи електронних платежів
Тема № 12. Дебетові системи електронних платежівТема № 12. Дебетові системи електронних платежів
Тема № 12. Дебетові системи електронних платежів
 
Тема 5 Системи електронної комерції B2C
Тема 5 Системи електронної комерції B2CТема 5 Системи електронної комерції B2C
Тема 5 Системи електронної комерції B2C
 
Тема 7 (2) Послуги в електронній комерції
Тема 7 (2) Послуги в електронній комерціїТема 7 (2) Послуги в електронній комерції
Тема 7 (2) Послуги в електронній комерції
 
Тема 18 Методи аналізу ефективності інтернет реклами
Тема 18 Методи аналізу ефективності інтернет рекламиТема 18 Методи аналізу ефективності інтернет реклами
Тема 18 Методи аналізу ефективності інтернет реклами
 

Presentation

  • 1. ІНФОРМАЦІЙНА БЕЗПЕКА WEB 2.0 Михайлович Ігор (СН-41)
  • 2. Що таке Web 2.0? WEB 2.0 – це методика проектування систем, котрі шляхом врахування мережевих взаємодій стають тим краще, чим більше ними користуються. Web 2.0 - не технологія і не особливий стиль Web-дизайну. Це в першу чергу комплексний підхід в організації та підтримці Web-ресурсів самими користувачами. Web 2.0 – це не є чимось новим, це використання традиційних технологій по –новому. RSS
  • 4. Основні напрями атак 1.Крос-сайтовий скріптинг в AJAX 2.Зараження XML 3.Виконання зловмисного AJAX-коду 4.RSS/Atom – ін’єкції 5.Сканування WSDL
  • 5. Основні напрями атак 6.Валідація на стороні клієнта 7.Проблеми маршрутизації повідомлень 8.Маніпулювання параметрами в SOAP 9.XPATH-ін’єкція в SOAP повідомленні 10.Маніпуляція товстим клієнтом
  • 6. Заходи захисту для розробників Web-ресурсів A. Виконання всієї бізнес-логіки на сервері B. Перевірка всіх даних на вході/виході C. Створення інтерфейсів нульової довіри
  • 7. Заходи захисту для розробників Web-ресурсів А) Виконання всієї бізнес-логіки має відбуватися на сервері, де ймовірнісь маніпулювання нею значно менша  Ви не можете довіряти коду з того моменту як він виходить з- під вашого контролю  Може проводитися реверс – інженіринг web-коду (java,flash,etc)  Ніколи не штовхайте(push) критичну інформацію клієнту
  • 8. Заходи захисту для розробників Web-ресурсів B) Перевіряйте дані що надходять та дані що надсилаються Перевіряйте ВСЕ, БЕЗ ВИНЯТКІВ,ЗАВЖДИ Будьте впевнені в тому, що ваш додаток надсилає тільки те, що треба
  • 9. Заходи захисту для розробників Web-ресурсів С) Вважайте що ваш API чи Web – сервіс обов'язково буде атакований Ніколи не довіряйте власному коду, якщо він є в браузері користувача Ніколи не дозволяйте інтерфейсу надавати прямі дані, запити підтвердження
  • 10. Заходи захисту для розробників Web-ресурсів Web 2.0 зосереджений на зручності а не на безпеці «Круто» завжди переважає над «безпечно» Ніколи не думайте, що користувач «знає краще»
  • 11. Заходи захисту для користувачів  Остерігайтеся вірусів та шкідливих програм  Остерігайтеся фішінг-нападів  Остерігайтеся e-mail шахрайства  Думайте перед тим як публікуєте  Використовуйте жорсткі налаштування приватності
  • 12. Список джерел 1. Shreeraj Shah. Top 10 web 2.0 Attack vectors http://www.net- security.org/article.php?id=949&p=1 2. Rafal Los. When Web 2.o Attcks http://h30501.www3.hp.com/t5/Following-the- White-Rabbit-A/bg-p/119 3. iYogi. Top 5 Security Measures for Online Social Networking Usershttp://www.iyogi.net/press-releases/march11/iyogi-reviews-the-top-5- security-measures-for-online-social-networking-users.html