Martin Homola: Blog

sk flag | 24. 10. 2008 09:09 (Zmenené: 24. 10. 2008 20:18)

Bezpečnosť webových aplikácií

Prednáška Pavla Luptáka

OWASP LogoV stredu 29.10. 2008 o 15.40 bude v posluchárni B na FMFI prednáška Pavla Luptáka (Nethemba, OWASP) na tému bezpečnosť webových aplikácií. Okrem úvodu do problematiky a základov bezpečnosti prednáška poskytne predovšetkým prehľad nových typov útokov, ktoré súvisia s novými webovými technológiami (AJAX, XML) a bude sprevádzaná praktickou demonštráciou.

Pozvaná prednáška sa uskutoční ako súčasť kurzu Moderný prístup k webdizajnu, ale účasť nie je nijako limitovaná len na Študentov predmetu a všetci ste srdečne pozvaní.

Abstrakt. Komplexnosť webových aplikácií stále rastie. Ajax a nové dynamické webové rozhrania umožňujú nové a doteraz neodhalené spôsoby útokov. Útočníci používajú stále viac a viac sofistikovaných metód (hlavne XSS vnútenie kódu na strane klienta, tiež SQL/LDAP/Xpath vnútenie kódu na strane serveru a svojvoľné manipulovanie parametrov). Prezentácia bude zameraná na nové spôsoby útokov na strane klienta (Cross Site Request Forgery, známe problémy Ajaxu, HTTP request splitting) a na strane serveru (Blind SQL, LDAP and XPath injection). Nakoniec budú spomenuté možné stratégie ako predísť uvedeným útokom.

Pavol Lupták je absolventom FEI STU. Od roku 1999 pracoval ako IT a bezpečnostný konzultant u niekoľkých slovenských a českých IT spoločností, vo februári 2008 založil Nethemba, s.r.o., so sídlom v Bratislave. Je tiež vedúcim slovenskej sekcie OWASPu (Open Web Application Security Project).

pošli na vybrali.sme.sk Pošli článok do vybrali.sme.sk
Zobrazení: 4374 | Reakcií: 6 | Hlasuj :
Reagovať na príspevok

Re: Bezpečnosť webových aplikácií

31. 10. 2008 13:43:34 | Róbert Červenka

Blog: bob3k
inak musim pochvalit nasho Martina, kvalitny vyber, rozhodne by som mal zaujem o nejake dalsie prednasky takehoto charakteru

najviac sa mi pacilo, ako nam uprimne radil, ako nato, az som mal pocit, ze ta prednaska je iba o tom, ako efektivne urobit prienik do systemu, but well, je len na kazdom z nas, ako sa s tymi informaciami "vysporiada" :))
dalej nam dal vynikajuci navrh, ako dostat na google niektore z tych keywords, co mame ako bonusovu ulohu na "modern approaches to web design", to mu vyslo, ajked exploit na gmail vyhral :)) (ti co boli, vedia o com hovorim)
nabuduce len mozno vynajst nejaky funkcny mikrofon, lebo v siedmom rade nebolo pocut kazde stvrte slovo hadam, nieto este, ked sa niekto z davu pytal...
Reagovať

Re: Re: Bezpečnosť webových aplikácií

31. 10. 2008 18:32:57 | Martin Homola

Blog: tbc
S tym počutím je to tak... že keby boli poslucháči ticho, počuli by aj tí v poslednom rade. To, že nebolo počuť otázky z pléna beriem na svoje triko, mal som to moderovať, ja kričím dosť.
Reagovať

RE: Re: Bezpečnosť webových aplikácií

31. 10. 2008 21:57:09 | andy

no ja som tam bol ale o google som nic nezaregistroval :( skoda no
Reagovať

Material prezentacie

29. 10. 2008 19:21:24 | Janci K

bude niekde zavesena ta prezentacia? bola super. a zislo by sa z nej porovnat, kolko zo zranitelnosti moje weby maju.
Reagovať

RE: Material prezentacie

31. 10. 2008 16:07:54 | Peter Kováč

Blog: kzr
Najlepšie asi bude pozrieť si ten WebGoat, naučiť sa základné finty a skúšať to na sebe.

http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Reagovať

RE: Material prezentacie

31. 10. 2008 22:44:21 | Pavol Luptak

Skus http://www.nethemba.com/new_web_attacks-nethemba.pdf
Reagovať

O autorovi

Martin Homola

Martin Homola

Autorita: 147
PhD. student of computer science at Comenius U, faculty of Mathematics, Physics and Informatics a.k.a. matfyz.

This blog is not just about my work but also about life and its cultural aspects such as film, music and perhaps more... More at my homepage.

Tagy

    Informatika Pavol Lupták Web bezpečnosť matfyz skola web aplikácie web design

Podobné príspevky

A4 nie je len formát papiera, 2. časť
Informatikom chýba predmet zameraný na robotiku
Pokročilé webové systémy - návrh, vývoj, prevádzka

Iné autorove príspevky

  1. Webové technológie vo vyučovaní 2012
  2. Article Round-up, Part 1
  3. Použiteľnosť na webe
  4. Web Usability
  5. Bezpečnosť webových aplikácií
  6. Web Application Security
  7. 2D a 3D grafika na webe
  8. 2D and 3D Graphics for the Web
  9. Webové technológie vo vyučovaní
  10. Pokročilé webové systémy - návrh, vývoj, prevádzka
  11. Sú sociálne siete hrozbou pre klasický web?
  12. O bezpečnosti webových aplikácií príde opäť prednášať Pavol Lupták
  13. Webové technológie vo vyučovaní
  14. Je P naozaj rôzne od NP? A je to dôležité?
  15. Boli ste už TAM?
  16. 2D and 3D Graphics for the Web
  17. Midterm Ahead at Modern Approaches to Web Design
  18. Invited Lectures Series MAWD 2009
  19. Celofakultný mailing list a SPAM
  20. My ICL2009 Experience
  21. Deskripčné logiky, ontológie a sémantický web už v zimnom semestri
  22. Hypermediálne systémy a Moderný prístup k webdizajnu sa zlučujú
  23. IE8 práve prichádza
  24. Návrh, vývoj a prevádzka komplexných web aplikácií
  25. Updated a little bit
  26. Program Beánie 2/2
  27. Program Beánie 1/2
  28. Vstupenky na Beániu ešte sú, kúpu netreba odkladať
  29. Hello world 2008!
  30. Moderný prístup k webdizajnu bude ako obvykle
  31. Seminár z umelej inteligencie
  32. Výhodou našej školy je že študent tu má nejaké to slovo
  33. Témy bakalárskych a diplomových prác
  34. Mača na tripe
  35. Výlet 7P už zajtra
  36. Svetozár a diplomovka
  37. Diplomovky sa rútia do finále
  38. Informatikom chýba predmet zameraný na robotiku
  39. Istrobot 2008
  40. Vojna proti spamu
  41. Cenzúrovanie komentárov
  42. Livin' Blues 2008
  43. Akreditácia magisterského štúdia aplikovanej informatiky
  44. Etnofestival, Ondřej Smeykal a jeho úchvatné didgeridoo
  45. Deskripčné logiky, ontológie a sémantický web
  46. Correction Test Results (Few Remarks)
  47. Final exam and consulting hours
  48. Correction test -- Monday or Tuesday?
  49. The test and some more remarks
  50. Validate it!
  51. This blog ain't gettin' anywhere :(
  52. Your opinion needed
  53. The end is approaching
  54. Beánia FMFI 2007
  55. Login integraton of the course homepage
  56. Inland Empire – to musíš vidieť!
  57. Human Computing -- Neat Stuff
  58. New bonus assignment
  59. Next week no labs
  60. 1-AIN-636 Blog starting up
  61. Konvergencie otvárali vo veľkom štýle
Sedna