17. Zagroenia bezpieczestwa aplikacji WWW: SQL Injection.

SQL injection ("wstrzykiwanie" komend SQL) to rodzaj zagroenia, ktre moe powsta w sytuacji, gdy za pomoc skryptu PHP pobierane s informacje z bazy danych a szczegowe informacje dotyczce tego, jakie dokadnie dane skrypt powinien pobra pochodz z zewntrz. Jest to spotykane zarwno w systemach zarzdzania treci jak i w znacznie prostszych skryptach. Dopki zapytanie SQL budowane jest w oparciu o informacje przekazane do skryptu "z zewntrz" skrypt moe by naraony na atak typu SQL injection.

18.Zagroenia bezpieczestwa aplikacji WWW: Cross-Site Scripting.

Ataki typu XSS (Cross Site Scripting) to ataki nastawione przewanie na szeroko pojt kradzie tosamoci i kradzie danych dostpowych od uytkownikw danej witryny. Nie stanowi one bezporedniego zagroenia dla bazy danych, jak ataki SQL injection, ale zagraaj wszystkim uytkownikom witryny, a szczeglnie administratorom, ktrzy maj bardzo szerokie uprawnienia do zarzdzania witryn. Ataki te polegaj na dodaniu odpowiedniego kodu (przewanie JavaScript) do jakiejkolwiek treci ktra bdzie prezentowana uytkownikom - na blogach, forach, w komentarzach. Umieszczenie odpowiednio spreparowanego kodu JavaScript umoliwia na swj sposb przejcie kontroli nad przegldark uytkownika oraz przeprowadzanie ataku bez jego wiedzy. Najczciej ataki XSS su wykradaniu danych z plikw cookie. Przegldarka i poprawnie ustawiony plik cookie pozwala na przesanie tego pliku jedynie dla tej samej domeny, z ktrej zosta on ustawiony. Pliki cookie wykorzystywane s do przekazania danych identyfikujcych uytkownika, czasem nawet hase, przewanie danych sesyjnych. Spreparowany kod JavaScript wykorzystywany jest do pobrania waciwego pliku cookie (dla domeny w ktrej umieszczono zaatakowan witryn) i przekazaniu go pod zupenie inny adres (do atakujcego), gdzie informacje te mog zosta nastpnie odczytane. Aby zabezpieczy si przed takimi atakami, musisz filtrowa wszystkie dane pochodzce "z zewntrz". Jeeli przekazywane s jakiekolwiek dane, ktre nastpnie bd wywietlane uytkownikom (nazwy uytkownikw, posty na forum, notki na blogu, komentarze itp.) naley koniecznie filtrowa te dane. Najprostszym sposobem filtrowania w celu uniknicia atakw XSS jest zamiana wszystkich znakw specjalnych HTML na ich odpowiedniki. W ten sposb znak "<" zostanie zamieniony na "&lt;", ">" na "&gt;" a przegldarka nie bdzie traktowaa wicej takiego kodu jako poprawnego kodu HTML, po prostu wywietlajc go na ekranie zamiast wykonania go.

19. Zagroenia bezpieczestwa aplikacji WWW: Denial of Service

Atak Denial of Service (DoS) Celem ataku DoS jest unieruchomienie caego systemu ofiary lub jego komponentw. W tym celu

stosowane s rne techniki ataku. Szczeglnie niebezpieczn odmian ataku jest rozproszony DoS (Distributed Denial of Service DdoS), w ktrym atakujcy nie przeprowadza ataku bezporednio, lecz doprowadza do skomasowanego natarcia wykorzystujc inne systemy (czsto w duej liczbie). Zwykle owe systemy uczestniczce mimowolnie w skomasowanym ataku, zostay wczeniej opanowane przez atakujcego i tak odpowiednio zmodyfikowane by uatwi mu w przyszoci przeprowadzanie ataku DDoS. http://wazniak.mimuw.edu.pl/index.php?title=Bezpiecze%C5%84stwo_system %C3%B3w_komputerowych_-_wyk %C5%82ad_6:#Metody_obrony_przed_atakami_DoS.2FDDoS

20.Zagroenia bezpieczestwa aplikacji WWW: Path Traversal.

Directory traversal (lub cieka traversal) polega na wykorzystaniu niewystarczajcej weryfikacji zabezpiecze / odkaenie podawanym przez uytkownika nazw plikw wejciowych, tak aby postacie reprezentujce "Ruch do katalogu nadrzdnego" s przekazywane za porednictwem interfejsw API pliku. Celem tego ataku jest namwienie aplikacji na dostp do pliku komputerowego , ktry nie jest przeznaczony, aby byy dostpne. Atak wykorzystuje brak bezpieczestwa (oprogramowanie dziaa dokadnie tak, jak to ma), w przeciwiestwie do wykorzystania bdu w kodzie.

30.Wirtualne serwery WWW: zasady konfiguracji i zastosowania.

Na postawie APACHE: /etc/httpd/httpd.conf - w tym katalogu przechowywane s pliki konfiguracyjne demona. Po instalacji poszczeglnych skadnikw Apache, wanie w tym miejscu naley szuka plikw konfiguracyjnych od nich. /home/services/httpd - pliki domylnej strony Apache, katalog z komunikatami o bdach oraz katalog przeznaczony dla skryptw cgi. /usr/lib/apache - moduy potrzebne do dziaania Apache oraz poszczeglnych jego skadnikw. Warto o tym pamita w przypadku problemw z uruchomieniem usugi. /usr/sbin - jest to katalog nalecy stricte do Apache, jednak warto o nim wspomnie ze wzgldu na to i przechowywane s w nim jego binaria. Aby si dowiedzie ktre nale do niego wydaj nastpujce polecenie # rpm -ql apache |grep ^\/usr\/sbin

Aby nasz serwer obsugiwa dodatkowe funkcje musimy zainstalowa odpowiednie moduy, wraz z moduami dostarczane, s pliki konfiguracji z dyrektywami konfiguracyjnymi dla tego moduu.

Apache domylnie dziaa z uprawnieniami zwykego uytkownika (http), dlatego trzeba zadba o to by demon mia prawo do odczytu plikw ze stronami WWW. Bardzo poyteczn cech Apache jest moliwo tworzenia lokalnych plikw konfiguracji, dziki ktrym moemy modyfikowa niektre opcje konfiguracji. Pliki te maj nazw .htaccess i moe ich uywa kady, kto ma tylko dostp do katalogu ze stron WWW. Wygoda w ich uywaniu polega na tym, e nie ma potrzeby restartowania demona po kadorazowej ich modyfikacji. Wirtualizacja jest szerokim pojciem odnoszcym si do wielu aspektw dzisiejszego wiata IT. Najprociej mona j zdefiniowa jako szereg sposobw abstrakcji zasobw sprztowych rodowiska informatycznego. Wirtualizacja umoliwia dowolne (ograniczone aktualnymi moliwociami sprztowymi i programowymi, oraz zaoeniami projektowymi) modyfikowanie zasobw sprztowych dla potrzeb oprogramowania czy wymaga uytkownika. Wykorzystanie maszyn wirtualnych w przedsibiorstwie ma przede wszystkim na celu: zwikszenie stopnia wykorzystania infrastruktury IT przy jednoczesnym zmniejszeniu zapotrzebowania na nowy sprzt, zmniejszenie zapotrzebowania na powierzchni w data center, ograniczenie zuycia energii, klimatyzacji, zasobw dyskowych poprzez zmniejszenie iloci fizycznych serwerw, ograniczenie kosztw osobowych poprzez zmniejszenie iloci osb administrujcych infrastruktur wirtualn, oraz integracj zarzdzania w jednym miejscu, zwikszenie dostpnoci serwerw poprzez zaimplementowane w hypervisorach mechanizmy klastrowania i rozkadania ruchu, przyspieszenie procesu instalacji i konfiguracji nowych serwerw poprzez zastosowanie szablonw maszyn wirtualnych, uatwienie tworzenia rodowisk testowych, oraz programistycznych dla nowych projektw, zarzdzanie cyklem ycia projektu.

36.Funkcjonalno platformy obsugi internetowych blogw (np. Wordpress).

Ot Wordpress jest to system zarzdzania treci (ang. Content Management System, CMS), a dokadniej jest to aplikacja internetowa suca do zaoenia i obsugi blogw. Wordpress jest bezpatn, zupenie darmow aplikacj, nie wymaga znajomoci html, css czy php. Zakadajc bloga opartego na systemie wordpress dostajemy w peni funkcjonalne narzdzie do zarzdzania treci. Wordpress mona konfigurowa, dostosowywa do swoich potrzeb, zmienia wygld poprzez instalowanie tzw. skrek, mona dodawa reklamy, bannery itp. Dostpny jest te szeroki wybr wtyczek (plugins) dziki ktrym jeszcze bardziej mona dostosowa wordpressa do swoich potrzeb, dodawa gadety np. portali spoecznociowych (facebook, twitter, blip itp). Aplikacja do tworzenia i zarzdzania serwisami internetowymi. Program przeznaczony dla przecitnego uytkownika charakteryzuje si wyjtkow prostot, a take atwoci jeli chodzi o publikowanie treci w Internecie. W zaoeniu WordPress mia by funkcjonaln platform do zarzdzania blogami, jednak dziki obsudze rnych formatw z powodzeniem moe peni take funkcj programu do zarzdzania treci czy niewielkiego portalu (CMS). Oprcz typowych dla blogw funkcji aplikacja zawiera rwnie menadera odnonikw, wsparcie dla statycznych stron HTML, RSS, wtyczki API pozwalajce na wspprac z platformami Blogger, czy MetaWeblog, filtr antyspamowy, a take zestaw tematw, pozwalajcych na stworzenie oryginalnego wygldu serwisu.