Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

biztonsági tesztelés A közösségi élmény

KiadtaFritzi Waldfogel Megváltozta több, mint 5 éve

Hasonló előadás

Az előadások a következő témára: "biztonsági tesztelés A közösségi élmény"— Előadás másolata:

1 biztonsági tesztelés A közösségi élmény
Hári Krisztián - Magyar Telekom – Streng vertraulich, Vertraulich, Intern – Autor / Thema der Präsentation tt.mm.jjjj

2 Copyright: CBS

3 Copyright: TYNE & WEAR ARCHIVES & MUSEUMS

4 Penteszt BUGS PENTESTER Copyright: Siyabona Africa

5 Bug bounty BUG HUNTERS Copyright: The Walt Disney Company

6 Az alapok Retorzió Felelőségteljes nyilvánosságra hozatal Hatály
Kizárások Jutalmazás Retorzió Javítás

7 Amit nem fogadunk DoS/DDoS HTTP/HTTPS jelzőbitek SSL sebezhetőségek
Véletlenszerűen vagy brute-force módszerrel feltört jelszavak Hitelesítési- és egyéb felhasználói adatok megszerzése pszichológiai manipuláció, adathalászat, spam…stb. útján Rendszerinformáció megjelenítése Lejárt, nem frissített külső szoftverkomponensből fakadó sebezhetőség Automatizált sérülékenység-vizsgáló eszközök találatai

8 Ami érdekes Remote code execution Code injection
Security vulnerability that allows an attacker to execute codes from a remote server. The general term for attack types which consist of injecting code that is then interpreted/executed by the application. Stored XSS (kritikus rendszeren) Stored XSS (nem kritikus rendszeren) Type of injection, in which malicious scripts are injected into otherwise benign and trusted web sites. Type of injection, in which malicious scripts are injected into otherwise benign and trusted web sites. Authentication bypass Sql injection An attacker gains access to application, service, or device with the privileges of an authorized or privileged user by evading or circumventing an authentication mechanism. A code injection technique, used to attack data-driven applications, in which nefarious SQL statements are inserted into an entry field for execution. User data disclosure

9 Dokumentálás tesztelőhöz rendelés Teszt-eredmények dokumentálása
folyamat kell Bejelentés Gyors ellenőrzés Tesztelés, validálás Dokumentálás tesztelőhöz rendelés Teszt-eredmények dokumentálása Visszajelzés Kifizetés és javítás

10 1 2 3 4 5 Mire figyeljünk Felelőségteljes nyilvánosságra hozatal
A bejelentő nem okozhat kárt a cégnek, csak neki jelenti be, nem módosít, nem töröl, nem menti az információt. 2 Hatály és feltételek A program kiterjedtsége és a használható módszerek meghatározása. 3 Retorziók kizárása Amennyiben a feltételeket követi a bejelentő, nem érheti semmilyen retorzió a bejelentéséhez kapcsolódóan. 4 Jutalmazás Megfelelő jutalmazási keretek kialakítása és ezek fenntartása, a dicsőségfal publikálása. 5 Javítás Minden megerősített sebezhetőséget, bugot a lehetőségekhez képest minél hamarabb javítani kell.

11 Copyright: Paramount Pictures

12 Köszönöm a figyelmet!

Letölteni ppt "biztonsági tesztelés A közösségi élmény"

Hasonló előadás

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1.

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1.
Module 10: Supporting Remote Users távoli felhasználó támogatása.

Module 10: Supporting Remote Users távoli felhasználó támogatása.
ProFM Helpdesk hatékony web alapú hibakezelő rendszer

ProFM Helpdesk hatékony web alapú hibakezelő rendszer
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.

2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál www.itszp.hu Adatbázis kezelés DCL – Adatvezérlő nyelv.

1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
Jogában áll belépni?! Détári Gábor, rendszermérnök.

Jogában áll belépni?! Détári Gábor, rendszermérnök.
SQL Server 2005 Reporting Services a gyakorlatban

SQL Server 2005 Reporting Services a gyakorlatban
2 Forrás: The Standish Group International, Extreme Chaos, The Standish Group International, Inc., 2000.

2 Forrás: The Standish Group International, Extreme Chaos, The Standish Group International, Inc., 2000.
Windows Server Hyper-V R2 SP1 újdongságok

Windows Server Hyper-V R2 SP1 újdongságok
A Windows 7 automatizált telepítése Windows AIK használatával

A Windows 7 automatizált telepítése Windows AIK használatával
Ellenőrző kérdések a)Auto-indexing enabled b)Auto-indexing disabled c)Nem eldönthető 1.

Ellenőrző kérdések a)Auto-indexing enabled b)Auto-indexing disabled c)Nem eldönthető 1.
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.

Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
WEB Technológiák ISAPI ME Általános Informatikai Tsz. dr. Kovács László.

WEB Technológiák ISAPI ME Általános Informatikai Tsz. dr. Kovács László.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!

TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Hálózatkezelési újdonságok Windows 7 / R2

Hálózatkezelési újdonságok Windows 7 / R2
Webes Információs Rendszerek fejlesztése

Webes Információs Rendszerek fejlesztése
R EQUIREMENTS D EVELOPMENT Készítette: Devecseri Viktor.

R EQUIREMENTS D EVELOPMENT Készítette: Devecseri Viktor.
Adatbázis adminisztrátori ismeretek

Adatbázis adminisztrátori ismeretek
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.

2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
Felhasználók és jogosultságok

Felhasználók és jogosultságok

Hasonló előadás

Google Hirdetések