Лекция №1 6 Защищенность программы Москва 2019

атакк которым уязвимо ваше приложение.

Почему программисты разрабатывает уязвимые приложения?

При

разработке приложений часто не учитывается что будут предприниматься какие-либо атаки.
Разработчики не имеют навыков написания защищённого кода
Программисты это люди, а людям свойственно ошибаться

Создать полностью защищенное приложение от всех видов атак невозможно

или последовательность команд, использующие уязвимости в программном обеспечении и применяемые

для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака). В зависимости от метода получения доступа к уязвимому программному обеспечению эксплоиты подразделяются на удалённые (англ. remote) и локальные (англ. local).

Удалённый эксплоит работает через сеть и использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе;
Локальный эксплоит запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней. Обычно используется для получения взломщиком прав суперпользователя. Code Red — компьютерный вирус, представляющий собой многовекторный сетевой червь, выпущенный в сеть 13 июля 2001 года. Он атаковал компьютеры с работающим веб-сервером Microsoft IIS, после успешного заражения начинал DoS-атаку на веб-страницу whitehouse.gov

приложения, защищенные по умолчанию.
Обеспечивать защиту во время и после разработки
Несколько

уровней защиты от возможных атак

пользователя и пароля)
Авторизация (имеет ли пользователь достаточно прав для выполнения

запрошенного действия)
Брандмауэр
Если данные хранит или передает данные, ценные для злоумышленников, то используйте шифрование.

портов, чтобы настроить брандмауэр
Нет возможности изменения номеров портов
Установка сеанса с

TCP от сервера к клиенту.

необходимые для выполнения нужных действий.
Задокументируйте какие именно привилегии необходимы конченым

пользователям, чтобы работать с приложению.

Интерактивные приложения следует запускать с привилегиями стандартного пользователя.

Службы в контексте ограниченной учетной записи пользователя.

вместо одного для шифрования. Эти два ключа математически связаны друг

с другом. Один из ключей называется открытым ключом, а другой - закрытым. ключ. Вы используете один из ключей для шифрования данных и другой для расшифровки данных. Другой ключ должен быть от пара ключей, которые вы сгенерировали. Шифрование, которое вы делаете с этими ключами, является взаимозаменяемым. Например, если key1 зашифровывает данные, тогда key2 может расшифровать их, и если key2 зашифрует данные, то key1 может расшифровать их, потому что один из них могут быть переданы каждому, а другой должен храниться в секрете.

логического значения. Для генерации
закрытый ключ делает значение истинным, а для

открытого ключа значение должно быть ложным.