Sigurnost na WEB-u

Navedite standarde (Generacije) i tehnologije bežičnih mreža?

• 5G (tehnologija Li FI) • 4G (tehnologija LTE) • 3G (tehnologije WiMAX/HSPA Evolution,HSPA) • 2.5G (tehnologije EDGE GSM/GPRS) • 2G (tehnologije GSM)

Koji je osnovni element biometrijskih sustava za autentikaciju i autorizaciju?

Baza podataka

Koja je uloga HTTP kolačića (cookies) i zašto su sigurnosni rizik?

-HTTP kolačići (cookies) su datoteke koje internetski preglednici spremaju na naše računalo pri pristupanju pojedinim web-sjedištima kako bi se omogućila dodatna funkcionalnost tih stranica. -Predstavljaju sigurnosni rizik zato što prilikom napada na stranicu napadač može krasti podatke, uključujući kolačiće i dobiti informacije iz njih.

Opišite koncept Same-Origin Policy?

-Svaki web preglednik implementira Same-Origin Policy kao podrazumijevanu sigurnosnu politiku! To znači da konteksti iz istog izvora (origin) mogu biti u interakciji jedan s drugim bez provjere, dok su konteksti iz različitih izvora (origina) izolirani jedan od drugog

Što je antiforenzika?

Anti-forenzika je skup metoda i alata koji se koriste kao protumjera za forenzičku analizu. Te metode i alati se uobičajeno koriste kako bi se sakrili, obrisali ili uništili pojedini podaci, ali se također mogu koristiti da se identificira, unaprijedi i osigura neki sustav, mreža ili čak samo jedno računalo. Anti-forenzička tehnika se može protumačiti kao bilo koja slučajna ili namjerna radnja koja je izazvala skrivanje, maskiranje ili enkripciju određenih podataka.

Koji sloj arhitekture web aplikacija se napada SQL injection napadima?

Aplikacijski sloj TCP/IP.

Objasnite izraze Authentication, Authorization i Accounting?

Authentication (Autentifikacija / Autentikacija - utvrđivanje (ovjera) identiteta) - Jednoznačno identificiranje i verifikacija korisnika, stroja ili aplikacije Authorization (Autorizacija - provjera ovlaštenja) Accounting (Evidentiranje aktivnosti) - Prvenstveno se odnosi na načine primjene raznih tehnologija u izgradnji javnih pristupnih telekomunikacijskih mreža.

Navedite razloge napada na bežične mreže?

Bežične mreže su sveprisutne i koriste se u raznim uređajima Bežične mreže se šire u prostoru bez ograničenja i nadzora Bilo koja stanica u dosegu može slušati i skupljati promet

Što je to biometrija?

Biometrija je skup automatiziranih metoda za jedinstveno prepoznavanje ljudi temeljen na fizičkim i ponašajnim karakteristikama. Biometrička autentifikacija koristi jedinstvenost fizičkih svojstava i karakteristika pojedinaca, kao što su otisci prstiju, slika rožnice oka, uzorak glasa ili facijalne karakteristike, karakteristike ponašanja i sl.

Opišite osnovne značajke LTE standarda?

Brzina barem 200Mbps

Opišite deautentikaciju?

Deautentikacija može biti izvršena na dva načina: • Stanica → AP: "Odlazim sa mreže" ili • AP → stanica: "Odspajam te sa mreže jer: o si neaktivan ili se mreža gasi ili o nema razloga Ciljana deautentikacija: • AP → jedna stanica (njena MAC adresa)

Što je digitalna forenzika?

Digitalna forenzika je znanost koja ima za cilj prikupljanje, čuvanje, pronalaženje, analizu i dokumentiranje digitalnih dokaza tj. podataka koji su skladišteni, obrađivani ili prenošeni u digitalnom obliku.

Koju platformu pametnih telefona smatrate najsigurnijom u pogledu sigurnosti podataka i aplikacija i zašto?

IOS

Opišite napad na upravljačko sučelje?

Internet aplikacije rade 24x7x365, što znači da administratori povremeno ažuriraju aplikacije udaljenim pristupom. Svaki dan arhitektura Internet aplikacije sadrži negdje neki otvoreni (port) priključak koji dozvoljava daljinsko održavanje poslužitelja, sadržaja, pozadinskih baza podataka... Gotovo svaki mrežni proizvod sadrži internetski bazirano upravljačko sučelje postavljeno na internet poslužitelju.

Opišite izvršavanje funkcijske analize?

Jedan od ključnih koraka u metodologiji napada je stvarna analiza svake pojedine funkcionalnosti aplikacije (npr.unos naredbe, potvrda, praćenje naredbe) i pokušaj ubacivanja grešaka u svaki ulazni spremnik. Proces pokušaja ubacivanja greški je ključan faktor u samome testiranju sigurnosti programske potpore, a navedeno se često naziva napad ulazne provjere.

Opišite SQL injection napad na web aplikacije?

Metoda koja iskorištava sigurnosne ranjivosti kod pristupa web aplikacije bazi podataka. Ove ranjivosti napadač iskorištava preoblikovanjem SQL upita koje web aplikacija šalje bazi podataka tako da otkriju osjetljive podatke ili izvedu nedozvoljene radnje nad njima.

Što je „write blocker" i koja mu je svrha?

Kako bi spriječio slučajno mijenjanje podataka, istražitelj može koristiti writeblocking uređaj prilikom analize sustava. Može birati između softverskog i hardverskog rješenja. Softverski, onemogućava se operacijski sustav od pisanja na medij. Hardverski, fizički se onesposobljava kabel koji prenosi instrukcije pisanja. Drugu opciju je lakše opravdati na sudu. Ako se ne može koristiti ni jedno od dva spomenuta rješenja, medij se može mountati u read only načinu. U tom slučaju je potrebno u detalje opisati korištene postupke i opcije kako bi se na sudu moglo dokazati da nije bilo dopušteno pisanje na disk.

Opišite Prikupljivost kao kriterij za usporedbu biometrijskih metoda?

Karakteristika se može lako izmjeriti i kvantitativno izraziti (potpis i termogram lica). Skeniranje mrežnice oka primjer je slabo prikupljive metode.

Objasnite pojam multimodalni biometrijski sustav?

Kombiniranje više biometrijskih tehnika i tako se može izgraditi jedan sigurni informacijski sustav

47. Opišite Nadzornu usklađenost kao sigurnosni problem i rizik računalstva u oblaku.

Korisnici su odgovorni za sigurnost i integritet vlastitih podataka čak i kad su oni pohranjeni kod poslužitelja usluga. Tradicionalno pružatelji usluga se podvrgavaju vanjskim revizijama i sigurnosnom certificiranju, na taj način dokazuju korisnicima svoje vrijednosti i predanost prema drugima. Oni koji odbijaju pristupiti ovakvom ispitivanju pokazuju korisniku da ih mogu angažirati samo za najjednostavnije usluge.

Objasnite nadzornu usklađenost kao sigurnosni problem računalstva u oblaku?

Korisnici su odgovorni za sigurnost i integritet vlastitih podataka čak i kada su oni pohranjeni kod pružatelja usluga. Zato, prije nego što odaberu kojeg davatelja usluga žele izabrati moraju se o njemu dobro informirati. Tradicionalni pružatelji usluga se podvrgavaju vanjskim revizijama i sigurnosnom certificiranju, na taj način dokazujući korisnicima svoje vrijednosti i prednosti pred drugima. Davatelji usluga koji odbijaju pristupiti ovim ispitivanja pokazuju da ih korisnici mogu angažirati samo za najjednostavnije usluge.

Opišite napad na klijentsku stranu aplikacije?

Najčešći i najopasniji su napadi unakrsnom skriptom (XSS). Glavni problem skripti je taj što se izvršavaju automatski po prevođenju. Pretraživači implementiraju vlastiti mehanizam potvrde koji prilikom prevođenja nakon nailaska na skriptu upozorava korisnika o izvršavanju iste. Nedostatak ove provjere je u tome što blokira i korisne skripte, narušavajući pritom samu logiku korištenja internet aplikacije.

Opišite napad nedovoljne razine autentikacije?

Nastupa kada Internet aplikacija omogućava potencijalnom napadaču pristup osjetljivom sadržaju ili funkcionalnosti, a da se pritom napadač nije propisno autenticirao.

Opišite SecaaS?

Nova generacija upravljanih usluga sigurnosti. Isporuka specijaliziranih usluga informacijske sigurnosti putem interneta.

Opišite proces autentifikacije dijeljenog ključa?

Odvija se na slijedeći način: 1. Klijent zahtjeva asocijaciju s pristupnom točkom (kao i u autentifikaciji otvorenog sustava) 2. Pristupna točka šalje izazov (Chalenge) klijentu - nasumce generiran tekst koji pristupna točka šalje u čistom obliku 3. Klijent odgovara na izazov - tako da enkriptiranjem teksta izazova upotrebom klijentskog web ključa šalje natrag k pristupnoj točki. 4. Pristupna točka odgovara na klijentski odgovor

Opišite Jedinstvenost kao kriterij za usporedbu biometrijskih metoda?

Opisuje kako dobro biometrijska metoda razlikuje dvije osobe, tj. bilo koje dvije osobe ne bi smjele imati jednake biometrijske karakteristike. Metode otiska prsta, šarenice oka ili termogram lica imaju veliku diskriminativnost - vjerojatnost da dvije osobe imaju jednake karakteristike je bliska nuli.

Objasnite model dvostrane autentikacije?

Osim upisivanja same lozinke potrebno je unijeti dodatni podatak. Obično se radi o dodatnom kodu koji se šalje na pametni mobitel čime se osigurava siguran pristup jer je mala vjerojatnost da je netko došao do vaše lozinke i do vašeg pametnog telefona. Primjer je autentifikacija pomoću tokena gdje se nakon unosa lozinke generira nova lozinka koja je valjana samo za jednu sjednicu.

Navedite faktore autentikacije: osnovne, implicitne, višestruke?

Osnovni faktori • Nešto što znate - dijeljena tajna, lozinka, nešto što korisnik i autentifikator znaju. • Nešto što imate - fizički ID (npr. identifikacijska kartica, token, smart kartica) • Nešto što jeste - mjerljiva svojstva (otisak prsta, facijalne karakteristike, boja glasa..) Implicitni faktori - Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa entitetom. • Fizička lokacija • Logička lokacija Višestruki faktori - Općenito korištenje više faktora u autentifikaciji transakcija daje jaču autentifikaciju.

Što je Data Wiping?

Potpuno brisanje artefakata (data wiping) je metoda koja postojeći sadržaj prepisuje s novim sve dok izvorni sadržaj nije uništen. Ova metoda se najčešće koristi za brisanje sadržaja s hard diskova, mobitela, CD-a/DVD-a i sl.

Opišite Organizacijsku sigurnost, vođenje i upravljanje rizicima kao sigurnosni problem i rizik računalstva u oblaku?

Prije naručivanja usluga vezanih uz računalstvo u oblaku, korisnik bi trebao imati ideju o kvaliteti i učinkovitosti organizacijske strukture i rizika procesa upravljanja kod pružatelja usluga. Također je bitno da klijent zna koji dijelovi pružatelja usluga će se baviti sigurnosnim incidentima, kako će se tretirati ključne uloge, kako pronaći informacije koje su relevantne za sigurnost, informacije o prekidima itd.

Navedite sigurnosne probleme računalstva u oblaku?

Privilegirani korisnički pristup, nadzorna usklađenost, adresa podataka, odvajanje podataka, oporavljanje, podrška istraživanja.

Opišite profiliranje infrastrukture?

Prvi korak metodologije napada je stjecanje visokog stupnja razumijevanja ciljane infrastrukture sustava na kojem je smještena web aplikacije, na način da se svaka komponenta sustava aplikacije pažljivo ispituje. • Postoji li posebna vrsta klijenta potrebna za spajanje na aplikaciju • Način i vrsta prijenosa podataka • Koja konekcija se koristi • Broj poslužitelja koji se koristi • Kako su konfigurirani poslužitelji • Postoje li vanjske stranice na istoj konfiguraciji

Opišite osnovne značajke RFID tehnologije?

RFID je tehnologija elektroničkih naljepnica koje u promjenjivom magnetskom polju mogu magnetskim putem priopćiti sadržaj svoje memorije. Doseg magnetskog polja je vrlo mali - približno 1 metar. To nije mrežna tehnologija.

Što je to računalni kriminal?

Računalni kriminal je nelegalna aktivnost koja uključuje korištenje računala i Interneta bilo da se računalo koristi kao alat ili je računalo cilj napada.

Čemu služe sustavi Single Sign-On?

Single Sign-on omogućuje uporabu jednog korisničkog računa na više različitih sustava. Time se korisniku olakšava postupak prijave, a istovremeno mora pamtiti samo jednu jaku lozinku za svoj digitalni identitet.

Opišite svrhu, namjenu i primjenu Ad Hoc mreža?

Spada u mreže koje ne koriste "tešku" infrastrukturu. Ad hoc-"za ovu svrhu" Decentralizirana bežična mreža uspostavljena za neku specifičnu svrhu. Svaki mobilni/statični uređaj može prosljeđivati promet za druge mrežne uređaje. Generalno, svi uređaji rade sve (nema routera i sl.) Primjena: oporavak u slučaju katastrofe, nadzor i motrenje životinjskih vrsta, inteligentne zgrade i mostovi, upravljanje i nadzor industrijskih objekata, nadzor i preventivno održavanje strojeva, poljoprivreda, medicina, logistika, inteligentne prometnice...

Što je Steganografija?

Steganografija je umjetnost i znanost prikrivanja poruka, datoteka, slika ili videa unutar neke druge poruke, datoteke, slike ili videa. Steganografija ima određenu prednost nad kriptografijom jer prilikom slanja poruka ne dolazi do neželjene pažnje od strane neke treće osobe, što znači da se poruke mogu slati neprimijećeno putem Interneta, a na izgled se čine bezopasnim podacima. Veličine datoteke se može drastično povećati ovisno o količini skrivenog sadržaja.

Zbog čega dolazi do sigurnosnih propusta u razvoju web aplikacija?

Sve veća složenost i područja primjene Nedovoljna obučenost Web programera • "Time To Market" • Velik broj različitih tehnologija • Karakteristike HTTP protokola o bezkonekcijski (engl. Stateless) o jednostavan o plain text, ...

Opišite Brute force napad?

To je automatizirani proces koji se koristi metodom pogađanja i promašaja kako bi se otkrilo korisničko ime, lozinka i kriptografski ključ. Te vrste napada su česte i relativno uspješne. Vrijeme napada može varirati od nekoliko minuta do nekoliko godina.

Navedite modele autentikacije?

Višestruka autentifikacija - U modelu višestruke autentifikacije svaka aplikacija ima potpun kontrolu korištenog identifikatora za entitet i metode za autentifikaciju. Jednostruka autentifikacija (SSO) - Jednostruka autentifikacija po sjednici, single sign-on (SSO), velika je prednost za korisnike. Višerazinska autentifikacija - Višerazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje ovise o metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.

Koja je uloga Ivana Vučetića u razvoju biometrije?

Vučetić je razvio prvi praktički primjenjiv sustav klasifikacije otisaka papilarnih linija.

Opišite WPA/WPA2 zaštitu WLAN mreže?

Zamjena za slabu WEP zaštitu. Razlikujemo WPA i WPA2 zaštitu. WPA zaštita je većinom usklađena sa 802.11i standardom, dok WPA2 u potpunosti implementira taj standard. Ključna razlika u odnosu na WEP je odvajanje korisničke autentifikacije od osiguravanja tajnosti i cjelovitosti samih podataka. Navedenim načinom je osigurana sigurnosna arhitektura koja je skalabilna te se može prilagoditi zahtjevima kućnog korisnika ali i velikih korporacija.

Nabrojite tri najbolje biometrijske metode obzirom na kriterij učinkovitost?

Šarenica, mrežnica, otisak prsta.

Navedite procese digitalne forenzike?

• Identifikacija dokaza • Skupljanje podataka • Čuvanje skupljenih podataka • Analiza podataka • Izvještavanje

Navedite fizičke biometrijske karakteristike?

• Identifikacija lica • Otisak prsta • Geometrija dlana • Šarenica oka • Mrežnica • Termogram lica i tijela • Geometrija uha • Miris • DNK

Opišite vrstu napada „Mrežni napad" na bežične mreže?

• Instaliranje lažnih pristupnih točaka • Udaljeno snimanje mrežnog prometa • Napad lažiranjem MAC adrese • Korištenje mrežnog protokola poput SNMP-a • DOS napadi • Ometanje RF signala

Navedite makar 5 metoda zaštite WLAN mreže?

• MAC filtriranje (eng. MAC filtering) • Statičko IP adresiranje (eng. Static IP addressing) • Isključivanje SSID-a (eng. Service Set Identifier) • Aktiviranje firewall-a na računalu i routeru • Smanjivanje dosega emitiranje signala • WEP enkripcija (eng. WEP encryption) • WPA (eng. WiFi Protected Access) • WPA 2 (eng. WiFi Protected Access 2) • TKIP (Temporal Key Integrity Protocol)

Nabrojite vrste napada na bežične mreže?

• Ne tehnički napadi • Mrežni napadi • Softverski napadi

Navedite sigurnosne probleme i rizike računalstva u oblaku za SME?

• Organizacijska sigurnost, vođenje i upravljanje rizicima • Obveze i odgovornosti • Nepredviđene situacije i sigurnosne kopije • Pravna i administrativna pitanja • Sigurnost ljudskih resursa • Kontrola pristupa • Sigurnost softvera/aplikacija • Korisnik, upravljanje i sučelje za programiranje aplikacija • Nadzor i logiranje • Interoperabilnost i prenosivost • Skaliranje, dimenzioniranje i troškovi • Usklađenost sa nacionalnim/internacionalnim zakonodavstvom

Nabrojite korake u metodologiji napada na web aplikacije?

• Proučavanje (profiliranje) infrastrukture • Napad na Internet poslužitelje • Proučavanje Internet aplikacije • Napad na mehanizme provjere identiteta • Napad na sheme provjera ovlasti • Izvršavanje funkcijske analize • Izrabljivanje podatkovne veze • Napad na upravljačka sučelja • Napad na klijentsku stranu aplikacije • Lansiranje napada uskraćivanja usluge

Navedite o čemu treba voditi računa kod izrade web aplikacija u zaštiti od SQL injection napada?

• Provjera ulaznih podataka • Struktura datoteka • Obratiti pozornost da skrivena polja u HTML-u nisu skrivena • Validacija na serveru • Izbjegavati stvarne nazive mapa i datoteka • Koristiti apsolutni put do datoteke • Odabrati način otvaranja datoteke • Logirati sumnjive greške • Ograničiti duljinu polja za unos • Ispitivati unesenu vrijednost • Koristiti funkcije za filtriranje • Koristiti pohranjene procedure • Korisnicima postaviti minimalna prava pristupa • ....

Navedite grane digitalne forenzike?

• Računalna forenzika • Forenzika (baza)podataka • Mrežna forenzika • Forenzika mobilnih uređaja • Internet forenzika • Forenzika dokumenata

Koji su statistički najčešći (5) napadi na web aplikacije?

• SQL Inection, razbijena autetifikacija i kontrola sjednice, izvršavanje napadačkog koda XSS, Nesigurna izravna referenca na objekt, krivotvorenje zahtjeva CSRF, krive sigurnosne postavke, nesigurna kriptografska pohrana.

Navedite ponašajne biometrijske karakteristike?

• Verifikacija potpisa • Biometrijski potpis • Glas • Dinamika tipkanja • Hod

Navedite prednosti biometrijskih sustava za autentikaciju i autorizaciju?

• biometrijske parametre je teško kopirati i krivotvoriti, zahtijevaju da osoba bude prisutna na mjestu identifikacije i definiraju nas u svakom trenutku