Securitate Web Curs 01 PDF
Document Details
Uploaded by FearlessSasquatch
Universitatea Tehnică Gheorghe Asachi din Iași
2024
Adrian Alexandrescu
Tags
Summary
This document is a presentation on web security, covering topics such as web components, TCP/IP, client-server models, and security contexts. The presentation includes a bibliography.
Full Transcript
SECURITATE WEB CURSUL 01 INTRODUCERE ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Introducere II. Protocolul HTTP Adrian Alexandrescu 2023-2024 2 Introducere 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. I...
SECURITATE WEB CURSUL 01 INTRODUCERE ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Introducere II. Protocolul HTTP Adrian Alexandrescu 2023-2024 2 Introducere 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. I Ce este web-ul? Modelul TCP/IP Paradigma client-server Arhitectura unei aplicații web Servere web Limbaje server-side Număr de site-uri web Contextul de securitate Tipuri de atacuri pe web Vectori de atac Adrian Alexandrescu 2023-2024 3 1. Ce este web-ul? I World Wide Web - WWW, W3, Web Sistem de pagini web interconectate care sunt accesate prin intermediul Internetului Pagină web Document web, parte a unui website, care conține hipertext și care poate fi vizualizat pe un dispozitiv electronic prin intermediul unui web browser Hipertext (en., hypertext) Text afișat pe un dispozitiv electronic care conține referințe către alte date (hyperlink-uri) ce pot fi accesate de utilizator Adrian Alexandrescu 2023-2024 4 I 1. Ce este web-ul? Principalele componente ale web-ului cerere HTTP URL / URI HTML Adrian Alexandrescu 2023-2024 răspuns 5 2. Modelul TCP/IP I Modelul TCP/IP = Suita de protocoale internet Modelul de comunicație între calculatoarele conectate la internet Set de reguli pentru transmiterea și primirea pachetelor de date în rețea Adrian Alexandrescu 2023-2024 6 Nivel Web Transfer fișiere 2. Modelul TCP/IP E-mail Interactiv Securitate Aplicație Streaming Configurare Server de nume Acces/Administrare Sincronizare Informații Transport Rețea Alexandrescu AccesAdrian la rețea 2023-2024 Aplicații Protocoale HTTP, HTTPS, SPDY FTP, TFTP SMTP, IMAP4, POP3, MIME Telnet, IRC, XMPP, RDP SSH, SSL/TLS RTSP, RTP, RTCP DHCP, BOOTP DNS LDAP, ONC/RPC, SNMP NTP, RIP WHOIS eD2K, BitTorrent, Bitcoin, Tor TCP, UDP, SCTP, DCCP, RDP, PPTP, μTP IP (v4, v6), ICMP (v4, v6) MAC (Ethernet, DSL), Tunneling (L2TP) IEEE 802, IEEE 802.11, PPP, ARP, RARP 7 I 3. Paradigma client-server Server = instanță a unei aplicații care primește cereri și oferă răspunsuri Client = instanță care accesează serviciile puse la dispoziție de un server Serverul așteaptă (”ascultă”) conexiuni de la potențiali clienți Clientul se conectează la server și trimite mesaje (cereri), iar serverul răspunde cerere (request) Client Server răspuns (response) Adrian Alexandrescu 2023-2024 8 3. Paradigma client-server I Conectarea mai multor clienți Socket IP Port Adrian Alexandrescu 2023-2024 9 4. Arhitectura unei aplicații web I Arhitectura pe trei niveluri Adrian Alexandrescu 2023-2024 10 4. Arhitectura unei aplicații web Adrian Alexandrescu 2023-2024 I 11 5. Servere web Adrian Alexandrescu 2023-2024 I 12 6. Limbaje server-side Adrian Alexandrescu 2023-2024 I 13 7. Număr de site-uri web Adrian Alexandrescu 2023-2024 I 14 8. Contextul de securitate I > 30.000 de site-uri web sunt sparte în fiecare zi ~ 300.000 de programe malware create zilnic pentru a perturba și a pătrunde în sistemele digitale Atacurile costă companiile o medie anuală de 3,0 trilioane de dolari (conform unui studiu din 2015) Se estimează că acest număr va ajunge la 10,5 trilioane de dolari (rată de creștere de 300% în 10 ani) 63% din toate atacurile create în timpul anului pandemic au ca scop obținerea de bani de la ținte https://earthweb.com/how-many-cyber-attacks-happen-per-day/ Adrian Alexandrescu 2023-2024 15 8. Contextul de securitate I 43% dintre atacurile cibernetice vizează companiile mici, dar doar 14% sunt pregătite să se apere. Experiența companiilor mici cu atacurile: Măsuri de securitate insuficiente: 45% spun că procesele lor sunt ineficiente în atenuarea atacurilor, Frecvența atacurilor: 66% au suferit un atac cibernetic în ultimele 12 luni, Contextul atacurilor: 69% spun că atacurile cibernetice devin din ce în ce mai țintite. Adrian Alexandrescu 2023-2024 16 8. Contextul de securitate Tipurile de atac asupra companiilor mici: I Phishing/Inginerie socială: 57% Dispozitive compromise/furate: 33% Furtul de credențiale: 30% Pierderi financiare Impactul atacurilor: Pierderea productivității Daune asupra reputației Răspunderea juridică Probleme de continuitate a afacerii Adrian Alexandrescu 2023-2024 17 I 9. Tipuri de atacuri pe web MFU – Malicious File Upload JSI – JavaScript Injection CMDI – Command Injection PHPI – PHP Injection RFI – Remote File Inclusion LFI – Local File Inclusion SQLI – SQL Injection https://www.akamai.com/blog/security/attack-surface-workout-web-application-api-attacks Adrian Alexandrescu 2023-2024 18 10. Vectori de atac Adrian Alexandrescu 2023-2024 I 19 11. Construirea unui sistem sigur Adrian Alexandrescu 2023-2024 I 20 Protocolul HTTP 1. 2. 3. II Prezentare Cererea HTTP Răspunsul HTTP Adrian Alexandrescu 2023-2024 21 1. Protocolul HTTP - prezentare II Hypertext Transfer Protocol RFC 9110 - HTTP Semantics, creat de Internet Engineering Task Force (IETF) The Hypertext Transfer Protocol (HTTP) is a family of stateless, application-level, request/response protocols that share a generic interface, extensible semantics, and self-descriptive messages to enable flexible interaction with network-based hypertext information systems. cerere GET /index.html HTTP/1.1 răspuns Adrian Alexandrescu 2023-2024 HTTP/1.1 200 OK [conținut index.html] 22 2. Cererea HTTP https://ac.tuiasi.ro/despre/prezentare/ GET /despre/prezentare HTTP/1.1 Host: ac.tuiasi.ro User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0 Accept: text/html,,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive Adrian Alexandrescu 2023-2024 23 3. Răspunsul HTTP https://ac.tuiasi.ro/despre/prezentare/ HTTP/1.1 200 OK Date: Thu, 06 Oct 2022 10:35:58 GMT Server: Apache/2.2.15 (CentOS) Pragma: no-cache Last-Modified: Thu, 06 Oct 2022 10:35:58 GMT Connection: close Content-Type: text/html; charset=UTF-8 [corpul-mesajului] Adrian Alexandrescu 2023-2024 24 Bibliografie https://developer.mozilla.org/enUS/docs/Learn/Common_questions/What_is_a_URL https://www.goodfirms.co/glossary/web-security https://flashstart.com/web-security-making-internet-a-safe-place/ https://www.techtarget.com/searchsecurity/definition/attack-vector https://www.ibm.com/cloud/blog/four-architecture-choices-forapplication-development https://www.embroker.com/blog/cyber-attack-statistics/ https://earthweb.com/how-many-cyber-attacks-happen-per-day/ https://www.rfc-editor.org/rfc/rfc9110 https://medium.com/@tknbnola/what-exactly-is-this-http-thing8979a54a8398 Adrian Alexandrescu 2023-2024 25
