http://www.kiwiki.info/index.php?action=history&feed=atom&title=Metodiky_testovania_zranite%C4%BEnost%C3%AD 2026-04-16T10:56:44Z História úprav pre túto stránku na wiki MediaWiki 1.34.0 http://www.kiwiki.info/index.php?title=Metodiky_testovania_zranite%C4%BEnost%C3%AD&diff=6276&oldid=prev 2010-07-25T18:45:20Z

<p>Vytvorená stránka „<a href="/index.php/Kateg%C3%B3ria:%C5%A0tudentsk%C3%A9_pr%C3%A1ce" title="Kategória:Študentské práce">Kategória:Študentské práce</a> <a href="/index.php/Kateg%C3%B3ria:Bakal%C3%A1rske_pr%C3%A1ce" title="Kategória:Bakalárske práce">Kategória:Bakalárske práce</a> <a href="/index.php/Kateg%C3%B3ria:Informatika" title="Kategória:Informatika">Kategória:Informatika</a> <a href="/index.php/Kateg%C3%B3ria:Web" title="Kategória:Web">Kategória:web</a> {{Praca_uvod|2|Bezpečnosť webových aplikácií|Rozdele…“</p> <p><b>Nová stránka</b></p><div>[[Kategória:Študentské práce]]<br /> [[Kategória:Bakalárske práce]]<br /> [[Kategória:Informatika]]<br /> [[Kategória:web]]<br /> {{Praca_uvod|2|Bezpečnosť webových aplikácií|Rozdelenie typov testovacích útokov|Metodiky testovania zraniteľností|Teória útokov SQL injection, XSS, DoS a protiopatrenia|Reálne príklady útokov na web aplikácie|Penetračné testovanie fakultného servera|}}<br /> <br /> = =<br /> Medzi najznámejšie metodiky patri:<br /> *OWASP (Open Web Application Security Project)<br /> *SANS (SysAdmin, Audit, Network, Security)<br /> <br /> Tieto metodiky sú zostavené tak, aby bol penetračný test dobre vyhodnotiteľný a bola minimalizovaná šanca, že bola niektorá podstatná časť testu vynechaná.<br /> Metodika OWASP<br /> Pomáha identifikovať bezpečnostné hrozby (zraniteľnosti) webových aplikácií. Je to špecifikácia hrozieb a spôsobov obrany proti nim. Je to vlastne zoznam bezpečnostných nedostatkov, na ktoré sa viaže najviac úspešných útokov cez internet. K najúspešnejším patria tieto zraniteľnosti:<br /> *Zneužitie servera na odosielanie skriptov (XSS)<br /> *Cross Site Request Forgery (CSRF/XSRF)<br /> *SQL injection<br /> *Malicious File Execution<br /> *Nekorektné spracovanie chyby<br /> *Porušenie správy účtov a relácií<br /> *Nezabezpečené ukladanie údajov<br /> *Nezabezpečená komunikácia<br /> *Neoverený vstup<br /> *Pretečenie zásobníka<br /> *Narušenie kontroly prístupu<br /> *Odmietnutie služby (DoS - denial of service)<br /> *Nezabezpečená správa konfigurácie<br /> *Insecure Direct Object Reference<br /> <br /> ==Metodika SANS==<br /> SANS Institute v spolupráci s NIPC pre FBI asi pred šiestimi rokmi vydal materiál Ten Most Critical Internet Security Vulnerabilities (Desať najkritickejších internetových bezpečnostných zraniteľností). Skladba hrozieb a slabín sa priebežne aktualizuje. Špecifikácia má tvar zoznamu dvadsiatich bezpečnostných nedostatkov, 10 pre Windows a 10 pre Unix, na ktoré sa viaže najviac úspešných útokov. Sú to tieto nedostatky: [1]<br /> <br /> #Bezpečnostné nedostatky pre Windows:<br /> #*Webové servery a služby<br /> #*Služba pracovnej stanice<br /> #*Služby vzdialeného prístupu<br /> #*Microsoft SQL Server<br /> #*Autentifikácia<br /> #*Webový prehliadač<br /> #*Aplikácie spoločného využívania súborov<br /> #*Odhalenie (LSAS Exposures)<br /> #*Poštový klient<br /> #*Instant Messaging (IM)<br /> #Bezpečnostné nedostatky pre Unix<br /> #*Systém doménových mien BIND<br /> #*Web Server<br /> #*Autentifikácia<br /> #*Systém kontroly verzií<br /> #*Služba poštového prenosu (Mail Transport Service)<br /> #*SNMP – Simple Network Management Protocol<br /> #*Open Secure Socket Layer (OpenSSL)<br /> #*Zlá konfigurácia služieb (Misconfiguration of Enterprise Services)<br /> #*Databázy<br /> #*Jadro (Kernel)</div>

Juraj