- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (75)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (41)
- Dodavatelé CRM (38)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (66)
- Informační bezpečnost (48)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údržby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranžové sekce
 | Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | |
| ||
Partneři webu
IT SYSTEMS 1-2/2005
Deset hlavních slabin webových aplikací
Luděk Hrdina
Bezpečnostní manažeři pro IT čelí neustále se měnícím a stále důmyslnějším hrozbám. Například ještě docela nedávno byla téměř veškerá pozornost v oblasti bezpečnosti na internetu soustředěna na perimetr sítě. V současnosti je však třeba věnovat pozornost mnohem rozsáhlejší oblasti. Základní internetové služby (e-mail, FTP, HTTP a telnet) jsou dnes obklopeny plejádou dynamických webových aplikací, serverů a databází, které jsou dostupné čtyřiadvacet hodin denně, sedm dní v týdnu.Tyto aplikace vytvářejí infrastrukturu digitální ekonomiky, což z nich činí velmi atraktivní cíle pro hackery. Internetová bezpečnost, která přerostla oblast síťové vrstvy, dnes vyžaduje specifická opatření pro ochranu perimetru sítě, vnitřní bezpečnost a bezpečnost webových aplikací.
Se vzrůstajícím počtem webových aplikací rostou také potenciální bezpečnostní rizika a vzrůstají požadavky na komplexní zabezpečení. Skupina OWASP (Open Web Application Security Project), která se zaměřuje na pomoc organizacím při identifikaci bezpečnostních hrozeb webových aplikací, rozlišuje několik typů zranitelností, kterých mohou útočníci využít. Deset nejzávažnějších zranitelností webových aplikací podle skupiny OWASP je seznam aktualizovaný pro rok 2004 (Ten Most Critical Web Application Security Vulnerabilities: 2004 Update), který by si měl každý bezpečnostní manažer prostudovat (dokument v původním znění najdete na stránkách www.owasp.org/documentation/topten). Seznam popisuje deset zranitelností, či bezpečnostních nedostatků, ke kterým se váže nejvíce úspěšných útoků po internetu. Seznam je zaměřen na zranitelnosti na úrovni kódu aplikací. Snížení rizik pramenících z těchto nedostatků a zranitelností obvykle vyžaduje celou řadu nástrojů a technik, které jsou navíc založeny na různých technologiích. V tomto dokumentu je popsán přístup, jak lze těmto hrozbám čelit. Popisované metody (vždy pod mezititulkem Řešení) se dále odvíjejí od jednoho typu přístupu k problému, kdy webové aplikace před potenciálním útokem chrání centralizovaný řídicí bod spolu se speciálně vyvinutou firewallovou technologií pro webové aplikace.
1. Neověřený vstup (unvalidated input)
Shrnutí
Webové aplikace používají vstup z požadavků HTTP pro určení toho, jak na ně reagovat. Informace HTTP lze zakódovat mnoha různými způsoby. Velice často nejsou webové požadavky ověřeny před tím, než jsou použity webovou aplikací. Útočníci tak mohou zfalšovat libovolnou část HTTP požadavku - včetně např. URL, vyhledávacího řetězce nebo záhlaví - a pokusit se tak obejít zabezpečovací mechanismy webových aplikací.
Hrozby
Tato zranitelnost ohrožuje většinu webových aplikací a webových serverů. Většina webových aplikací vyžaduje nějaký vstup od uživatele. Dále je většina webových aplikací založena na vícevrstvé (multi-tier) architektuře, vlivem čehož je velice obtížné předvídat, jak bude vstup uživatele zpracován na jednotlivých vrstvách. Útočníci tak mohou zneužít této slabiny k útoku na koncové komponenty webové aplikace.
Řešení
Pro ověření vstupu jsou používány dva základní způsoby. Jeden představuje firewallová technologie znalá standardů a běžného chování aplikací, která ověřuje shodu s protokolem a nastavením aplikace. Druhým je firewallová technologie pro webové aplikace hledající podezřelé struktury v požadavcích HTTP a parametrech. Pro spolehlivé ověření parametru jsou použity oba způsoby. Specifická ochrana proti útoku pak má následující složky:
· Firewallová technologie pro webové aplikace ověřuje, zda jsou požadavky a odpovědi HTTP platné podle HTTP RFC.
· Útoky typu SQL injection (vložení SQL) a command injection (vložení příkazu) jsou blokovány vyhledáváním klíčových slov. Klíčová slova jsou sledována v polích formuláře, a to jak v požadavcích metodou GET, tak v požadavcích POST v rámci URL nebo těla požadavku HTTP. Seznamy klíčových slov jsou předkonfigurovány a jediné, co musí uživatel udělat, je nastavit úroveň zabezpečení na high/medium/low (vysoká/střední/nízká). Je-li nastavena vyšší úroveň zabezpečení, jsou analyzována také klíčová slova s menší pravděpodobností útoku.
· Blokování URL je prováděno prostřednictvím technologie streamingu na úrovni jádra, která umožňuje uživateli určit, která umístění souborů mají být blokována. Je také možné určit a blokovat specifické metody HTTP.
· HTTP požadavky, které obsahují nejen znaky ASCII, jsou omezeny, čímž je zabráněno vložení škodlivého kódu do záhlaví požadavku či polí formuláře.
2. Narušení kontroly přístupu (broken access control)
Shrnutí
Problém spočívá v nedostatečném zajištění přístupových práv uživatelů. Útočníci mohou odhalením nedostatků získat přístup k účtům jiných uživatelů, citlivým souborům nebo kritickým funkcím.
Hrozby
Každá webová aplikace má své autorizační schéma, ať už implicitní, nebo explicitní. Protože tato schémata lze obvykle snadno vytvořit, lze celou řadu z nich poměrně lehce obejít. Mezi nejčastější problémy patří techniky průniku do adresářů (directory traversal), výchozí práva k souborům a nezabezpečená uživatelská jména a hesla.
Řešení
V kombinaci s dalšími zabezpečovacími metodami poskytuje firewallová technologie pro webové aplikace ochranu proti slabinám, které umožňují autorizovaným uživatelům získat další nezabezpečená přístupová práva. Může se jednat o některý z následujících příkladů:
· Ochrana před průnikem do adresářů - zajišťuje normalizaci cesty URL a jména hostitele tak, aby bylo zabráněno různým útokům typu průnik do adresářů (directory traversal).
· Dekódování - zajišťuje, že URL jsou kanonizována a normalizována před vynucením pro všechny typy kódování. Tento proces zabraňuje útokům "úhybnými manévry", které mají zajistit, že ochrana použitou techniku neodhalí.
· Vynucením platnosti protokolu HTTP zabraňuje průnikům na úrovni protokolu - tj. například takovým, kdy se uvnitř URL napíše nulový znak, čímž je oklamán autentizační mechanismus založený na URL.
3. Porušení správy účtů a relací (broken account and session management)
Shrnutí
Slabá ochrana uživatelských údajů sloužících k přihlášení a údajů identifikujících relaci představuje další slabé místo popisované skupinou OWASP. Útočníkům je umožněno získat hesla, klíče, cookies relací a další informace, které jim umožní obejít autentizační a restrikční mechanismy a získat cizí identitu.
Hrozby
Autentizace je jednou z částí procesu webového zabezpečení. I silné autentizační mechanismy však lze obejít, je-li správa přihlašovacích údajů slabá. Zajištění konsistentního a silného zabezpečení autentizace přes různé platformy může být značně složité a nemusí být shodné pro různé aplikace. Vyvstává zde tedy potřeba takového autentizačního procesu, který nebude součástí samotné webového aplikace. Správa aktivních relací vyžaduje silné identifikátory, které nelze uhodnout, odposlechnout či zachytit.
Řešení
Nabízí se hned několik řešení pro zabezpečení uživatelských jmen, hesel a relací webových aplikací. Jedním z těchto řešení je kombinace firewallového a VPN řešení s podporou více autentizačních schémat a technikami pro uložení hesel a uživatelských jmen (včetně LDAP, Windows, Radius, Citrix, SecureID apod.) umožňující bezpečné zašifrované uložení údajů o uživateli.
4. Zneužití serveru k odesílání skriptů (cross-site scripting - XSS)
Shrnutí
Webových aplikací lze zneužít jako mechanismu k přenosu útoku na prohlížeč koncového uživatele. Úspěšný útok může vést k vyzrazení přihlašovacích informací koncového uživatele, útoku na jeho počítač či zfalšování obsahu webové stránky k oklamání uživatele.
Hrozby
Vývojáři webových aplikací si tuto slabinu často neuvědomují, a tudíž neprovádějí žádné ověření vstupu, které by mohlo tomuto zneužití zabránit. Slabé místo vznikne tehdy, je-li vstup uživatele zahrnut do HTML stránky odeslané jinému uživateli. Vložením škodlivého kódu do HTML může útočník spustit na napadeném počítači kód v jazyce JavaScript. Možnosti skriptovacích jazyků jsou sice omezené, avšak postačující k získání údajů o uživateli.
Řešení
Předpokládáme, že centralizovaný řídicí bod a firewallová technologie účinně chrání webové aplikace. Není-li možné vložit kód skriptu do webové aplikace, není možné poškodit koncového uživatele. Tento přístup je rozhodující, protože jakmile je jednou skriptový kód odeslán na webový server, není možné rozlišit škodlivý kód od legitimního kódu, který je součástí webové aplikace. Firewallová technologie pro webové aplikace umožní správcům tři úrovně odmítnutí skriptu (vysoká, střední a nízká). Obezřetný přístup je zamítnout veškeré HTTP požadavky obsahující znaky "<" nebo ">" (střední úroveň). Nedostatkem tohoto přístupu však je, že mohou být odmítnuty i stránky obsahující neškodné tagy jako např.. Alternativním způsobem je méně přísný přístup, kdy jsou zamítnuty pouze definované zakázané tagy (nízká úroveň). Je-li nastavena vysoká úroveň, jsou zamítnuta rovněž klíčová slova "<" and ">", a to i tehdy, jsou-li "legitimní", protože některé aplikace je chybně interpretují.
Daná firewallová technologie pro webové aplikace vyhledává všechna klíčová slova, která mohou být použita pro škodlivý skriptový kód, ať už se jedná o příkazy JavaScriptu, události, které mohou spustit skriptové jádro, nebo HTML atributy a tagy.
<br><br>
<b>5. Přetečení bufferu (buffer overflows) </b><br>
<u>Shrnutí </u><br>
Nejsou-li komponenty webových aplikací v některých jazycích dostatečně chráněny ověřením vstupu, je možné způsobit jejich zhroucení, kterého je pak možno v některých případech zneužít k převzetí kontroly nad procesem. Mezi tyto komponenty patří CGI, knihovny, ovladače a serverové komponenty webových aplikací.
<br><br>
<u>Hrozby </u><br>
Přetečení bufferu představuje jeden z největších problémů, kterému je třeba se při programování aplikace vyhnout. Představuje rovněž značné riziko, neboť při troše úsilí je možné po zhroucení aplikace spustit na hostitelském serveru webové aplikace libovolný kód. Tyto útoky jsou bohužel velice časté. Některé dokonce obsahují mechanismy automatického šíření, které útočníkovi umožní zamořit celou síť během několika minut.
<br><br>
<u>Řešení </u><br>
Speciální firewallová technologie pro webové aplikace umožňuje blokovat známá i neznámá přetečení bufferu. Současně vyhledává neznámá přetečení bufferu pátráním po škodlivém spustitelném kódu zakomponovaném do webového provozu. I když odhalení neznámých přetečení může být obtížné, lze zavést taková opatření, která podstatně sníží možnosti útočníka těchto přetečení zneužít.
Mezi další nástroje pro preventivní ochranu před neznámými útoky patří:
· stanovení omezení hlaviček URL a HTTP, čímž je snížena šance spustit škodlivý kód v případě přetečení bufferu,
· zabránění využití binárních znaků v požadavcích, čímž je ztížena možnost útočníka sestavit škodlivý spustitelný kód,
· blokování binárních znaků ve webových formulářích, které zvyšuje ochranu webových aplikací.
<br><br>
<b>6. Vložení příkazů (command injection)</b><br>
<u>Shrnutí </u><br>
Volané webové aplikace obvykle parametry převezmou a předávají je často i operačnímu systému webového serveru a externím aplikacím. Pokud se útočníkovi podaří vložit do těchto parametrů škodlivý kód, může být tento kód vykonán externím systémem v zastoupení webové aplikace.
<br><br>
<u>Hrozby </u><br>
Techniky vkládání příkazů využívají webových aplikací, které nejsou dostatečně chráněny spolehlivým ověřováním vstupů. Napadány jsou vícevrstvé aplikace. Jsou-li například uživatelem zadané hodnoty předány bez ověření řádkovému interpreteru, může útočník spustit na webovém serveru libovolný příkaz. Jedná se o velice silný útok, který je velmi častý a útočník může slabinu snadno najít a zneužít.
<br><br>
<u>Řešení </u><br>
Jsou-li na požadavek aplikace zaslány podezřelé příkazy operačního systému, jsou zablokovány prostřednictvím firewallové technologie pro webové aplikace. Ta poskytuje správcům tři možnosti zamítnutí vložených příkazů.
Při nastavení vysoké úrovně jsou požadavky zablokovány, obsahují-li jakýkoliv tvar uvozovek. Uvozovky jsou obvykle použity k narušení celistvosti textového řetězce.
Při nastavení střední úrovně jsou zamítnuty veškeré HTTP požadavky, které obsahují známé příkazy operačního systému nebo libovolná slova v uvozovkách.
Při nastavení nízké úrovně jsou zamítnuty veškeré HTTP požadavky, které obsahují známé příkazy operačního systému.
Ochrana před vložením příkazu má ještě další užitečné funkce:
· podpora více požadavků v jednom připojení,
· podpora během odeslání formuláře metodou GET nebo POST,
· protokolování pokusů o útok,
· schopnost nastavení různých konfigurací pro každý webový server.
<br><br>
<b>7. Nekorektní zpracování chyby (improper error handling) </b><br>
<u>Shrnutí </u><br>
Chybová hlášení generovaná webovými aplikacemi mohou útočníkovi poskytnout cenné informace. Záměrným způsobením chyb a analýzou chybových hlášení cíle včetně chyb generovaných ochranným bezpečnostním systémem může hacker získat značný přehled o produktech a technologiích dané instalace. Na základě těchto informací pak může hacker sestavit patřičný exploit (program vytvořený pro zneužití daných slabých míst) a úspěšně napadnout cíl. Útok může mít podobu odmítnutí služby, vyřazení bezpečnostního systému nebo zhroucení serveru.
<br><br>
<u>Hrozby </u><br>
Webové bezpečnostní systémy jsou navrženy tak, aby útočníkovi zabránili napadnout webovou aplikaci. Avšak způsob, jakým tyto systémy reagují na daný útok, může útočníkovi prozradit, jaký způsob ochrany je použit. Útočník může dokonce zjistit, kdo daný systém vyvinul a o jakou se jedná verzi. S použitím těchto informací pak napadne nejprve samotný bezpečnostní systém.
<br><br>
<u>Řešení </u><br>
Firewallové technologie pro webové aplikace umožňují skrytí chybových zpráv, v důsledku čehož nedostane hacker žádné informace o tom, jak a čím byl jeho útok zablokován.Ve výchozím nastavení prostě zablokuje připojení, jakmile zjistí pokus o útok. Útočník tak neobdrží žádné informace. V některých situacích však může být užitečné informovat uživatele o skutečnosti, že bylo porušeno bezpečnostní opatření. Jedná se například o případy, kdy se někdo dopustí "útoku" neúmyslně a následně volá technickou podporu, že byl z neznámého důvodu odpojen. Pro tyto případy může firewallová technologie vygenerovat standardní nebo přizpůsobenou HTML stránku s obecným chybovým hlášením o narušení bezpečnosti a náhodným identifikačním číslem. Identifikační číslo (ID) pak lze porovnat se záznamem v protokolu a zjistit příčinu zablokovaného připojení. Tím je zajištěno utajení firewallové technologie při současném zajištění potřebných informací pro technickou podporu a správce sítě.
<br><br>
<center><a href="./casopis/2005/04_04lin2X.jpg" target="_blank" rel="nofollow">
<img src="./casopis/2005/05_01check02.jpg" alt="" style="border: 1px solid #000000;"></a>
<br><font size="1">Přizpůsobená chybová stránka HTML </font>
</center>
<br><br>
<br><br>
<b>8. Nezabezpečené ukládání údajů (insecure storage) </b><br>
<u>Shrnutí </u><br>
Webové aplikace často používají kryptografie k ochraně informací o uživatelích. Ukázalo se však, že je poměrně obtížné tyto funkce správně naprogramovat, což může vést k oslabení ochrany.
<br><br>
<u>Hrozby </u><br>
Vývojáři, kteří nemají potřebné zkušenosti s kryptografickým programováním, se mohou dopouštět závažných chyb v implementaci kryptografických funkcí do webových aplikací. Mezi nejčastější chyby patří:
· nezabezpečené ukládání klíčů, certifikátů a hesel,
· nedostatečná kvalita zdrojů náhodných čísel,
· snaha vymyslet nový šifrovací algoritmus,
· nezajištění podpory pro změnu šifrovacích klíčů a dalších procedur údržby.
<br><br>
<u>Řešení </u><br>
Pro webové aplikace jsou k dispozici následující řešení:<br>
· použití VPN bez klientů umožňující zakončení SSL pro webové aplikace,
· použití IPSEC VPN umožňující výbornou ochranu komunikace, která je pro webové aplikace transparentní.
<br><br>
<b>9. Odepření služby (denial of service - DoS) </b><br>
<u>Shrnutí </u><br>
Útočníci mohou zcela vyčerpat zdroje webové aplikace, takže legitimní uživatelé nemají k aplikaci přístup. Útočníci také mohou blokovat přístup uživatelů k jejich účtům nebo způsobit zhroucení celé aplikace.
<br><br>
<u>Hrozby </u><br>
Webové aplikace jsou obzvláště náchylné k útokům odepření služby na úrovni aplikace. Tyto útoky lze vyvolat prostým otevřením dostatečného množství požadavků. Jediný počítač může generovat tolik požadavků, že dojde k spotřebování všech zdrojů webového či aplikačního serveru. Pro webový server je velice obtížné rozeznat, zda se jedná o legitimní požadavek, nebo o útok.
<br><br>
<u>Řešení</u><br>
Použitím speciální firewallové technologie pro webové aplikace se ověří, zda nejsou požadavky špatně formátovány. Tím lze zabránit většině známých útoků po HTTP. Navíc je díky integraci s centralizovaným řídicím bodem značně sníženo riziko útoků po síti. S využitím řešení pro správu šířky pásma je možné omezit spotřebu pásma specifickým URL, a dokonce lze i nastavit kvóty množství síťových relací z daného hostitele s vyčleněním známých hostitelů.
<br><br>
<b>10. Nezabezpečená správa konfigurace (insecure configuration management) </b><br>
<u>Shrnutí </u><br>
Pro každou webovou aplikaci je kritickým faktorem zabezpečení konfigurace serveru. Existuje celá řada konfiguračních možností serverů, které mají dopad na bezpečnost a které nejsou bezpečné ve svém výchozím nastavení.
<br><br>
<u>Hrozby </u><br>
Konfigurace moderního serveru webových aplikací a jeho udržování v aktuálním stavu se všemi vydanými bezpečnostními opravami může být velice obtížnou záležitostí. Provádějí to nejčastěji vývojáři webové aplikace, jejichž hlavní starostí je dostupnost aplikace. Nesprávná konfigurace může znamenat vytvoření celé řady slabých míst, včetně povolení nepotřebných funkcí, neodstraněných vzorových souborů a spustitelných programů i opomenutí instalovat bezpečnostní opravy.
<br><br>
<u>Řešení </u><br>
Mechanismy skrývání informací v hlavičce odpovědi webového serveru (header cloaking), které jsou součástí centralizovaného řídicího bodu, umožňují administrátorům skrýt identitu webového serveru před automatickými skripty, které prohledávají internet a pátrají po zranitelných webových serverech. Zkušený hacker, který se zaměří na vaši aplikaci, bude sice nadále schopen typ serveru odhalit, ale většina pokusů o útok ze strany tzv. script kiddies (nezkušených hackerů, kteří používají volně šířené hackerské nástroje) a počítačových červů bude odražena. Header cloaking spolehlivě oklame většinu automatických nástrojů.
<br><br>
<b>Závěrem </b><br>
Deset hlavních zranitelností popsaných v dokumentu OWASP představuje základ většiny exploitů pro útoky po internetu. Ošetřením těchto deseti slabin podstatně zvýšíte bezpečnost své sítě a svých dat.
<br><br>
Autor článku, Luděk Hrdina, je konzultantem společnosti Check Point Software Technologies.</div><div class="vsuvka2">Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si <a href="http://www.systemonline.cz/casopis-it-systems/predplatne-casopisu.htm">předplatné</a> nebo <a href="http://www.systemonline.cz/casopis-it-systems/archiv-casopisu-2005.htm">konkrétní vydání časopisu IT Systems z našeho archivu</a>.</div>
<div class="article-social">
<dl>
<dd class="rt-facebook"><div id="fb-root" style="z-index:1000;"></div>
<fb:like href="http://www.systemonline.cz/clanky/deset-hlavnich-slabin-webovych-aplikaci.htm" layout="button_count" action="like" show_faces="true" colorscheme="light"></fb:like>
</dd>
<dd class="rt-twitter">
<a href="https://twitter.com/share" class="twitter-share-button" data-count="horizontal" data-size="medium" data-dnt="true" data-url="http://www.systemonline.cz/clanky/deset-hlavnich-slabin-webovych-aplikaci.htm">Tweet</a>
</dd>
<dd class="rt-google">
<div class="g-plusone" data-size="medium"></div>
</dd>
<!--
<dd class="rt-linkedin">
<div><a href="https://www.linkedin.com/shareArticle?mini=true&url=https://www.systemonline.cz&source=LinkedIn"><img src="https://www.cad.cz/images/LinkedIn-logo_93x21.png" border="0" alt="CCB, spol. s r. o. on LinkedIn" /></a></div>
</dd>
-->
<div class="clear"></div>
</dl>
<div class="linkedin-share">
<script src="//platform.linkedin.com/in.js" type="text/javascript"> lang: cs_CZ</script>
<script type="IN/Share"></script>
</div>
<div class="facebook-share">
<div class="fb-share-button" data-href="http://www.systemonline.cz/clanky/deset-hlavnich-slabin-webovych-aplikaci.htm" data-type="button"></div>
</div>
<div class="clear"></div>
</div>
<div style="text-align: center; margin: 25px 0 2px 0; padding: 0;"><div align="center"><!-- id=6445 --><div class="banner-info" data-info="aHR0cHM6Ly9pLmNjYi5jei9pbmMvcmVkaXJlY3QucGhwP2JpZD02NDQ1JmthbT1odHRwcyUzQSUyRiUyRnd3dy5taW5lcnZhLWlzLmV1JTJG"><img src='https://i.ccb.cz/img/c5eb29e027145246def46436072b52d5.jpg' alt='Minerva – Ĺ™iÄŹte vĂ˝robu' border='0' /></div></div><br /><br /></div><div class="box_inzerce_kom" style="margin-top:15px; margin-left: 0px; margin-right: 0px; padding: 1px 5px 5px 5px;"><div class="box_inzerce_kom_int"><fieldset class="field"><p class="leg">Inzerce</p><h1 class="kom_zpr_h2" style="font-weight:bold;color:#FFFFFF;"><a class="aq_a_nounder" href="http://www.systemonline.cz/erp/modernizace-is-je-prilezitost-prehodnotit-zpusob-prace-z.htm">Modernizace IS je příležitost přehodnotit způsob práce</a></h1>
<p style="margin-top:2px;"><p><a href="https://www.systemonline.cz/casopis-it-systems/obsah-it-systems-2025-4.htm"><a class="kom_zpr_text" href="http://www.systemonline.cz/erp/modernizace-is-je-prilezitost-prehodnotit-zpusob-prace-z.htm"><img src="https://www.ccb.cz/data/images_aqua_obalky/2025/813_x.jpg" alt="IT Systems 4/2025" title="obsah časopisu IT Systems 1-2/2025" style="width: 120px !important;" class="obrazek_pr" width="120" vspace="5" hspace="5" height="auto" align="left" /></a></a>V aktuálním vydání IT Systems bych chtěl upozornit především na přílohu věnovanou kybernetické bezpečnosti. Jde o problematiku, které se věnujeme prakticky v každém vydání. Neustále se totiž vyvíjí a rozšiřuje. Tematická příloha Cyber Security je příležitostí podívat se podrobněji, jakým kybernetickým hrozbám dnes musíme čelit a jak se před nimi můžeme chránit. Kromě kybernetické bezpečnosti jsme se zaměřili také na digitalizaci průmyslu.</p></p>
<div style="text-align: right;"><a href="http://www.systemonline.cz/erp/modernizace-is-je-prilezitost-prehodnotit-zpusob-prace-z.htm" class="inzerce_pokracovani display_none" title="Inzerce - pokračování">» Více</a></div>
</fieldset>
</div>
</fieldset></div></div></div></div>
<div id="middle_right">
<div id="middle_right-in">
<div class="box_header"><a href="/casopis-it-systems/cenik-inzerce-portal.htm">Inzerce</a></div><div style="text-align: center; margin: 2px 0 2px 0; padding: 0;"><div align="center"><!-- id=6450 --><div class="banner-info" data-info="aHR0cHM6Ly9iLmNjYi5jei9pbmMvcmVkaXJlY3QucGhwP2JpZD02NDUwJmthbT1odHRwJTNBJTJGJTJGd3d3LnplYnJhLmN6JTJGemVicmEtcG9ydGZvbGlvJTJGaW1wb3NzaWJsZS1jbG91ZCUyRg=="><img src='https://b.ccb.cz/img/135aa702b8d7021d5b36d340c2e00a86.jpg' alt='Zebra Systems banner' border='0' /></div></div></div> <a class="button_orange" href="http://www.systemonline.cz/casopis-it-systems/">
Časopis IT Systems / Odborná příloha</a>
<div class="box" ><div class="box_content_main itobalky">
<div class="obalky-box"><a style="border:0px; padding-left: 1px;" href="/casopis-it-systems/obsah-it-systems-2025-4.htm"><img src="https://www.ccb.cz/data/images_aqua_obalky/2025/813_x.jpg?1745588259" style="width:120" alt="Aktuální číslo časopisu IT Systems" border="0" /></a>
<a href="/casopis-it-systems/obsah-cyber-security-i-2025.htm"><img src="https://www.ccb.cz/data/images_aqua_obalky/2025/814_x.jpg?" style="width:120; margin-left:15px" alt="Aktuální číslo časopisu příloha #1" border="0" /></a>
</div><div class="cleaner"> </div><div class="div_paticka"><a href="/casopis-it-systems/profil-casopisu-it-systems.htm">Více o časopisu IT Systems</a></div></div></div><a class="button_orange" href="/casopis-it-systems/archiv-casopisu-2025.htm">Archiv časopisu IT Systems</a><div class="box" ></div><div class="box_content_main">
<div class="box_obalka_left alfa"><a href="/casopis-it-systems/obsah-it-systems-2025-4.htm"><img class="obalka" src="/images_aqua_obalky/2025/813.jpg?1745588259" style="width:65px;" alt="IT Systems 4/" /></a>
</div>
<div class="box_obalka_left "><a href="/casopis-it-systems/obsah-it-systems-2025-3.htm"><img class="obalka" src="/images_aqua_obalky/2025/810.jpg?1742910171" style="width:65px;" alt="IT Systems 3/" /></a>
</div>
<div class="box_obalka_left "><a href="/casopis-it-systems/obsah-it-systems-2025-1-2.htm"><img class="obalka" src="/images_aqua_obalky/2025/808.jpg?1740390730" style="width:65px;" alt="IT Systems 1-2/" /></a>
</div>
<div class="box_obalka_left "><a href="/casopis-it-systems/obsah-it-systems-2024-12.htm"><img class="obalka" src="/images_aqua_obalky/2024/806.jpg?1735843395" style="width:65px;" alt="IT Systems 12/" /></a>
</div>
<div class="cleaner"> </div>
<div class="cleaner"></div>
</div><a class="button_orange" href="/casopis-it-systems/archiv-casopisu-2025.htm" >
Oborové a tematické přílohy</a>
<div class="box" ><div class="box_content_main">
<div class="box_obalka_left alfa"><a href="/casopis-it-systems/obsah-cyber-security-i-2025.htm"><img class="obalka" src="/images_aqua_obalky/2025/814.jpg?1745578281" style="width:65px;" alt="příloha #1 4/" /></a>
</div>
<div class="box_obalka_left "><a href="/casopis-it-systems/obsah-erp-systemy-i-2025.htm"><img class="obalka" src="/images_aqua_obalky/2025/811.jpg?1742910493" style="width:65px;" alt="příloha #1 3/" /></a>
</div>
<div class="box_obalka_left "><a href="/casopis-it-systems/obsah-e-commerce-2025.htm"><img class="obalka" src="/images_aqua_obalky/2025/809.jpg?1740391205" style="width:65px;" alt="příloha #1 1/" /></a>
</div>
<div class="box_obalka_left "><a href="/casopis-it-systems/obsah-trendy-ict-2024.htm"><img class="obalka" src="/images_aqua_obalky/2024/807.jpg?1735843490" style="width:65px;" alt="příloha #1 12/" /></a>
</div>
<div class="cleaner"> </div>
<div class="cleaner"></div>
</div></div><div class="box_header"><a href="/casopis-it-systems/cenik-inzerce-portal.htm">Inzerce</a></div><div style="text-align: center; margin: 2px 0 2px 0; padding: 0;"><div align="center"><!-- id=6441 --><div class="banner-info" data-info="aHR0cHM6Ly9pLmNjYi5jei9pbmMvcmVkaXJlY3QucGhwP2JpZD02NDQxJmthbT1odHRwJTNBJTJGJTJGYWthZGVtaWUuc2VmaXJhLmNvbSUyRg=="><img src='https://i.ccb.cz/img/29c0596caa6863dc26dffef5682da884.png' alt='Sefira semináře' border='0' /></div></div></div><a class="button_orange" href="/kalendar-akci/" >Kalendář akcí</a>
<div class="box">
<div id="box_kalendar"><table class="kalendar"><tr><td colspan="7" class="kalheader"><a href="//www.systemonline.cz/index.php?co=&id=&chci_mesic=03&chci_rok=2025&chci_mesic1=&chci_rok1=#kalendar"><img src="/kalendar/images/ar_left.png" border="0" width="10" height="9" alt="" /></a>
<b>duben - 2025</b> <a href="//www.systemonline.cz/index.php?co=&id=&chci_mesic=05&chci_rok=2025&chci_mesic1=&chci_rok1=#kalendar"><img src="/kalendar/images/ar_right.png" border="0" width="10" height="9" alt="" /></a></td></tr><tr class="nazvy_dnu">
<td class="nazvy_dnu_td">Po</td>
<td class="nazvy_dnu_td">Út</td>
<td class="nazvy_dnu_td">St</td>
<td class="nazvy_dnu_td">Čt</td>
<td class="nazvy_dnu_td">Pá</td>
<td class="nazvy_dnu_td">So</td>
<td class="nazvy_dnu_td">Ne</td>
</tr><tr class="dny"><td class="vsedni"> </td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=1&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >1</a></td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=2&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >2</a></td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=3&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >3</a></td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=4&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >4</a></td><td class="vikend">5</td><td class="vikend">6</td></tr><tr class="dny">
<td class="vsedni">7</td><td class="vsedni">8</td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=9&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >9</a></td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=10&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >10</a></td><td class="vsedni">11</td><td class="vikend">12</td><td class="vikend">13</td></tr><tr class="dny">
<td class="vsedni">14</td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=15&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >15</a></td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=16&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >16</a></td><td class="vsedni">17</td><td class="vsedni">18</td><td class="vikend">19</td><td class="vikend">20</td></tr><tr class="dny">
<td class="vsedni">21</td><td class="vsedni">22</td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=23&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >23</a></td><td class="vsedni">24</td><td class="vsedni">25</td><td class="vikend">26</td><td class="vikend">27</td></tr><tr class="dny">
<td class="vsedni">28</td><td class="vsedni"><a class="kalendar_a" href="/kalendar-akci/index.php?akce=ukaz_den&den=29&mesic=4&rok=2025&chci_mesic1=&chci_rok1=&chci_mesic=&chci_rok=" >29</a></td><td class="den_aktualni">30</td><td class="vsedni"><span class="pmden">1</span></td><td class="vsedni"><span class="pmden">2</span></td><td class="vikend"><span class="pmden">3</span></td><td class="vikend"><span class="pmden">4</span></td></tr><tr class="dny">
<td class="vsedni"><span class="pmden">5</span></td><td class="vsedni"><span class="pmden">6</span></td><td class="vsedni"><span class="pmden">7</span></td><td class="vsedni"><span class="pmden">8</span></td><td class="vsedni"><span class="pmden">9</span></td><td class="vikend"><span class="pmden">10</span></td><td class="vikend"><span class="pmden">11</span></td></tr>
</table>
</div>
<div class="box_content_main_kal">
<div class="z_obsahu">
IT Systems podporuje <br /></div>
<table class="table_kal_right"><tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/konference-isss-2025.htm" title='12.5.2025 09:00'>12.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" style="color:#035781;" href="/kalendar-akci/konference-isss-2025.htm" title='12.5.2025 09:00'> Konference ISSS 2025</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/cloud-computing-conference-2025.htm" title='13.5.2025 09:00'>13.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" style="color:#035781;" href="/kalendar-akci/cloud-computing-conference-2025.htm" title='13.5.2025 09:00'> Cloud Computing Conference 2025</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/virtualni-konference-kyberbezpecnost-pro-prumysl-vyrobce-a-energetiku.htm" title='14.5.2025 13:00'>14.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" style="color:#035781;" href="/kalendar-akci/virtualni-konference-kyberbezpecnost-pro-prumysl-vyrobce-a-energetiku.htm" title='14.5.2025 13:00'> Virtuální konference Kyberbezpečnost pro průmysl, výrobce...</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/kontajnery-v-praxi-2025-bratislava.htm" title='27.5.2025 09:00'>27.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" style="color:#035781;" href="/kalendar-akci/kontajnery-v-praxi-2025-bratislava.htm" title='27.5.2025 09:00'> Kontajnery v praxi 2025 - Bratislava</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/elektronicke-dokumenty-a-dlouhodobe-uchovavani-jak-zajistit-jejich-digitalni-duveru-seminar-.htm" title='27.5.2025 09:00'>27.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" style="color:#035781;" href="/kalendar-akci/elektronicke-dokumenty-a-dlouhodobe-uchovavani-jak-zajistit-jejich-digitalni-duveru-seminar-.htm" title='27.5.2025 09:00'> Elektronické dokumenty a dlouhodobé uchovávání: Jak...</a></td> </tr>
</table><br><a class="button_red" href="http://www.systemonline.cz/kalendar-akci/pridat-akci?id=" >Formulář pro přidání akce</a><br /><div class="box_content_main_kal">
<br><div class="z_obsahu">Další vybrané akce </div></div>
<table class="table_kal_right"><tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/konference-scada-security-3.htm" title='15.5.2025 09:00'>15.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" href="/kalendar-akci/konference-scada-security-3.htm" title='15.5.2025 09:00'> Konference SCADA Security</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/akce-pro-automobilove-dodavatele-quot-3dexperience-conference-2025-quot-.htm" title='22.5.2025 09:00'>22.5. </a></td><td valign="top"><a class="kalendar_akce_nazev" href="/kalendar-akci/akce-pro-automobilove-dodavatele-quot-3dexperience-conference-2025-quot-.htm" title='22.5.2025 09:00'> Akce pro automobilové dodavatele "3DEXPERIENCE...</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/konference-abia-cz-2025-setkani-zakazniku-a-partneru.htm" title='12.6.2025 09:00'>12.6. </a></td><td valign="top"><a class="kalendar_akce_nazev" href="/kalendar-akci/konference-abia-cz-2025-setkani-zakazniku-a-partneru.htm" title='12.6.2025 09:00'> Konference ABIA CZ 2025: setkání zákazníků a partnerů...</a></td> </tr>
<tr><td width="15%" valign="top"><a class="kalendar_akce_datum" href="http://www.systemonline.cz/kalendar-akci/the-massive-iot-conference.htm" title='29.9.2025 09:00'>29.9. </a></td><td valign="top"><a class="kalendar_akce_nazev" href="/kalendar-akci/the-massive-iot-conference.htm" title='29.9.2025 09:00'> The Massive IoT Conference</a></td> </tr>
</table> </div><div class="div_paticka"><a href="/kalendar-akci/">Další akce</a>
</div></div>
<div class="cleaner"> </div>
</div>
</div>
</div>
<div class="cleaner"> </div>
</div>
</div><!-- tukan -->
<div id="right" class="skyscraper">
<script>
jQuery(function(){
jQuery(window).scroll(function(){
offset = jQuery(window).scrollTop();
//var h = jQuery(window).height();
if (offset >= 124) {
jQuery('.skyscraper').css({top:(offset+10)+'px'});
} else if (offset < 185) {
jQuery('.skyscraper').css({top:'124px'});
}
});
});
</script>
</div>
<div id="left-sky" class="skyscraper">
<script>
jQuery(function(){
jQuery(window).scroll(function(){
offset = jQuery(window).scrollTop();
//var h = jQuery(window).height();
if (offset >= 124) {
jQuery('.skyscraper').css({top:(offset+10)+'px'});
} else if (offset < 185) {
jQuery('.skyscraper').css({top:'124px'});
}
});
});
</script>
</div>
<div class="cleaner"> </div>
<div id="footer">
<div id="copy"><!--
<br />
<a href="http://www.webservis.cz" target="_blank">Realizace - Webservis CCB</a>
-->
<div style="margin-bottom: 20px;">
<a href="http://www.ibrno.cz" onmouseover="self.document['bb'].src='http://www.systemonline.cz/images/ccb_icons/bb-a.png'" onmouseout="self.document['bb'].src='//www.systemonline.cz/images/ccb_icons/bb-b.png'">
<img style="border: 0;" src="//www.systemonline.cz/images/ccb_icons/bb-b.png" name="bb" style="margin-bottom: -5px;" /></a>
<a href="http://www.cad.cz" onmouseover="self.document['cad'].src='http://www.systemonline.cz/images/ccb_icons/cad-a.jpg'" onmouseout="self.document['cad'].src='//www.systemonline.cz/images/ccb_icons/cad-b.jpg'">
<img style="border: 0;" src="//www.systemonline.cz/images/ccb_icons/cad-b.jpg" name="cad" /></a>
<a href="http://www.golfinfo.cz" onmouseover="self.document['golf'].src='http://www.systemonline.cz/images/ccb_icons/golf-a.jpg'" onmouseout="self.document['golf'].src='//www.systemonline.cz/images/ccb_icons/golf-b.jpg'">
<img style="border: 0;" src="//www.systemonline.cz/images/ccb_icons/golf-b.jpg" name="golf" /></a>
<a href="http://www.listyjm.cz" onmouseover="self.document['listy'].src='http://www.systemonline.cz/images/ccb_icons/listy-a.jpg'" onmouseout="self.document['listy'].src='//www.systemonline.cz/images/ccb_icons/listy-b.jpg'">
<img style="border: 0;" src="//www.systemonline.cz/images/ccb_icons/listy-b.jpg" name="listy" width="90" /></a>
<a href="http://www.systemonline.cz" onmouseover="self.document['sys'].src='http://www.systemonline.cz/images/ccb_icons/sys-a.jpg'" onmouseout="self.document['sys'].src='//www.systemonline.cz/images/ccb_icons/sys-b.jpg'">
<img style="border: 0;" src="//www.systemonline.cz/images/ccb_icons/sys-b.jpg" name="sys" /></a>
<a href="http://www.technikaatrh.cz" onmouseover="self.document['tt'].src='http://www.systemonline.cz/images/ccb_icons/tt-a.jpg'" onmouseout="self.document['tt'].src='//www.systemonline.cz/images/ccb_icons/tt-b.jpg'">
<img style="border: 0;" src="//www.systemonline.cz/images/ccb_icons/tt-b.jpg" name="tt" /></a>
</div>
<a href="/informace-o-portalu.htm">© 2001 - 2025 CCB spol. s r.o.</a> ISSN 1802-615X <br />
<a href="https://www.grafika-tisk-brno.cz/webove-studio" target="_blank">Tvorba webových stránek Brno</a>
<br /><br />
<a href="/rss/rss.xml">RSS kanál</a>
<a href="/rss/rss.xml"><img src="/images_new/rss-feed.png" width="14" height="14" alt="RSS" style="border:none" /></a>
<span class="pipe">|</span>
<a href="/casopis-it-systems/cenik-inzerce.htm">Ceník inzerce</a>
<span class="pipe">|</span>
<a href="/zpravy/">Zprávy</a>
<span class="pipe">|</span>
<a href="/prehledy-produktu/">Katalog</a>
<span class="pipe">|</span>
<a href="/soutez/">Soutěže</a>
<span class="pipe">|</span>
<a href="/trends/">Trends</a>
<span class="pipe">|</span>
<a href="javascript:window.print();">Tisk stránky</a>
<span class="pipe">|</span>
<a target="_blank" href="https://www.ccb.cz/zasady-ochrany-osobnich-udaju.html">Zásady ochrany osobních údajů</a>
<p><strong><a href="http://www.systemonline.cz/casopis-it-systems/cenik-inzerce-news.htm">SystemNEWS (newsletter):</a></strong>
<a href="/zpravy/archiv-systemnews-2025.htm">Archiv</a> <span class="pipe">|</span>
<a href="/casopis-it-systems/cenik-inzerce-news.htm">Inzerce</a>
<span class="pipe">|</span>
<a href="#dialog" name="modal" onclick="window.open('http://news.systemonline.cz/index.php?mini=true','Přihlášení','status=1,height=383,width=403,resizable=0,toolbar=0,left=300,top=300');">Přihlášení</a>
<span class="pipe">||</span>
<strong><a href="http://www.systemonline.cz/casopis-it-systems/cenik-inzerce-portal.htm">SystemOnLine.cz:</a></strong>
<a href="/casopis-it-systems/kontakty.htm">Kontakty</a>
<span class="pipe">|</span>
<a href="/casopis-it-systems/cenik-inzerce-portal.htm">Inzerce</a>
</p>
<p><a href="http://www.linuxexpres.cz" target="_blank">LinuxEXPRES.cz</a>
<span class="pipe">|</span>
<a href="http://www.openoffice.cz" target="_blank">OpenOffice.cz</a>
<span class="pipe">|</span>
<a href="http://www.erpforum.cz" target="_blank">ERPforum.cz</a>
<span class="pipe">|</span>
<a href="http://www.crmforum.cz" target="_blank">CRMforum.cz</a>
</p>
<!--
<p><strong><a href="http://www.systemonline.cz/casopis-it-systems/cenik-inzerce-portal.htm">Partneři webu:</a></strong>
</p>
-->
<p><a href="http://m.systemonline.cz/?mobilelayout=true">Mobilní verze</a></p>
</div><script language="JavaScript" type="text/javascript">
<!--
document.write ('<a rel="nofollow" href="https://www.toplist.cz/"><img src="https://toplist.cz/dot.asp?id=48766&http='+escape(document.referrer)+'&t ='+escape(document.title)+'" width="1" height="1" border=0 alt="TOPlist" /></a>');
//-->
</script><noscript><a rel="nofollow" href="https://www.toplist.cz/"><img src="https://toplist.cz/dot.asp?id=48766" border="0" alt="TOPlist" width="1" height="1" /></a></noscript>
<a href="https://www.toplist.cz/zdravi" target="_top"><img
src="https://toplist.cz/dot.asp?id=1676032" border="0" alt="TOPlist" width="1" height="1"/></a>
<!-- do 2.3.2023:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-152437-1', 'systemonline.cz');
ga('create', 'UA-15750419-10', 'auto', {'name': 'newTracker'});
ga('create', 'UA-60168685-1', 'auto', {'name': 'newTracker2'});
ga('create', 'UA-60167397-1', 'auto', {'name': 'newTracker3'});
ga('create', 'UA-61418076-1', 'auto', {'name': 'newTracker4'});
ga('require', 'displayfeatures');
ga('send', 'pageview');
if (window.location.pathname == '/') {
var val = Math.floor(Math.random() * 10);
if (val>1) {
ga('newTracker.send', 'pageview');
}
if (val<2) {
ga('newTracker2.send', 'pageview');
}
if (val>3) {
ga('newTracker3.send', 'pageview');
}
if (val<4) {
ga('newTracker4.send', 'pageview');
}
}
</script>
-->
<!-- od 3.3.2023: -->
<!-- Google tag (gtag.js) -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-152437-1"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-152437-1');
</script>
<!-- od 2.6.2023: -->
<!-- Google tag (gtag.js) -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-MB0ZRGWT78"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'G-MB0ZRGWT78');
</script>
<!-- Begin Cookie Consent plugin by Silktide - http://silktide.com/cookieconsent -->
<!--
<script type="text/javascript">
window.cookieconsent_options = {"message":"Vážený návštěvníku, tato stránka používá soubory cookies. Prohlížením tohoto webu souhlasíte s využíváním těchto souborů.","dismiss":"Souhlasím","learnMore":"Více informací","link":null,"theme":"light-bottom"};
</script>
-->
<!--
<script type="text/javascript" src="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/1.0.9/cookieconsent.min.js"></script>-->
<!-- End Cookie Consent plugin -->
<script src="https://apis.google.com/js/platform.js" async defer>
{lang: 'cs'}
</script>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');</script>
</div>
<div id="footersearch">
<div id="searchbox">
<div id="search_form">
<form id="formular" action="/" method="GET">
<div id="sub1">
<input id="inp" name="vyraz" type="text" placeholder="zadejte hledaný výraz ..." value="" >
</div>
<input type="hidden" name="ukaz" value="vyhledavani">
<input type="hidden" name="web" value="NAZEV_PORTALU_VYHLEDAVANI">
<input type="hidden" name="oblast" value="">
<div id="sub2">
<input id="sub" name="hledej" type="image" src="/img/zoom.jpg" border="0">
</div>
</form>
<div id="search_text">
<!-- <img style="float:left;padding-top: 3px;" src="/img/arrow.jpg" border="0" vspace="0" hspace="0" alt="sipka"/> -->
<div id="small">Strukturované hledání</div>
</div>
</div>
</div>
</div>
</div>
<script type="text/javascript" src="//www.ccb.cz/admin/js/fix_eolas.js" defer="defer"></script>
<script src="//connect.facebook.net/cs_CZ/all.js#xfbml=1"></script>
</div></body>
</html>
Se vzrůstajícím počtem webových aplikací rostou také potenciální bezpečnostní rizika a vzrůstají požadavky na komplexní zabezpečení. Skupina OWASP (Open Web Application Security Project), která se zaměřuje na pomoc organizacím při identifikaci bezpečnostních hrozeb webových aplikací, rozlišuje několik typů zranitelností, kterých mohou útočníci využít. Deset nejzávažnějších zranitelností webových aplikací podle skupiny OWASP je seznam aktualizovaný pro rok 2004 (Ten Most Critical Web Application Security Vulnerabilities: 2004 Update), který by si měl každý bezpečnostní manažer prostudovat (dokument v původním znění najdete na stránkách www.owasp.org/documentation/topten). Seznam popisuje deset zranitelností, či bezpečnostních nedostatků, ke kterým se váže nejvíce úspěšných útoků po internetu. Seznam je zaměřen na zranitelnosti na úrovni kódu aplikací. Snížení rizik pramenících z těchto nedostatků a zranitelností obvykle vyžaduje celou řadu nástrojů a technik, které jsou navíc založeny na různých technologiích. V tomto dokumentu je popsán přístup, jak lze těmto hrozbám čelit. Popisované metody (vždy pod mezititulkem Řešení) se dále odvíjejí od jednoho typu přístupu k problému, kdy webové aplikace před potenciálním útokem chrání centralizovaný řídicí bod spolu se speciálně vyvinutou firewallovou technologií pro webové aplikace.
1. Neověřený vstup (unvalidated input)
Shrnutí
Webové aplikace používají vstup z požadavků HTTP pro určení toho, jak na ně reagovat. Informace HTTP lze zakódovat mnoha různými způsoby. Velice často nejsou webové požadavky ověřeny před tím, než jsou použity webovou aplikací. Útočníci tak mohou zfalšovat libovolnou část HTTP požadavku - včetně např. URL, vyhledávacího řetězce nebo záhlaví - a pokusit se tak obejít zabezpečovací mechanismy webových aplikací.
Hrozby
Tato zranitelnost ohrožuje většinu webových aplikací a webových serverů. Většina webových aplikací vyžaduje nějaký vstup od uživatele. Dále je většina webových aplikací založena na vícevrstvé (multi-tier) architektuře, vlivem čehož je velice obtížné předvídat, jak bude vstup uživatele zpracován na jednotlivých vrstvách. Útočníci tak mohou zneužít této slabiny k útoku na koncové komponenty webové aplikace.
Řešení
Pro ověření vstupu jsou používány dva základní způsoby. Jeden představuje firewallová technologie znalá standardů a běžného chování aplikací, která ověřuje shodu s protokolem a nastavením aplikace. Druhým je firewallová technologie pro webové aplikace hledající podezřelé struktury v požadavcích HTTP a parametrech. Pro spolehlivé ověření parametru jsou použity oba způsoby. Specifická ochrana proti útoku pak má následující složky:
· Firewallová technologie pro webové aplikace ověřuje, zda jsou požadavky a odpovědi HTTP platné podle HTTP RFC.
· Útoky typu SQL injection (vložení SQL) a command injection (vložení příkazu) jsou blokovány vyhledáváním klíčových slov. Klíčová slova jsou sledována v polích formuláře, a to jak v požadavcích metodou GET, tak v požadavcích POST v rámci URL nebo těla požadavku HTTP. Seznamy klíčových slov jsou předkonfigurovány a jediné, co musí uživatel udělat, je nastavit úroveň zabezpečení na high/medium/low (vysoká/střední/nízká). Je-li nastavena vyšší úroveň zabezpečení, jsou analyzována také klíčová slova s menší pravděpodobností útoku.
· Blokování URL je prováděno prostřednictvím technologie streamingu na úrovni jádra, která umožňuje uživateli určit, která umístění souborů mají být blokována. Je také možné určit a blokovat specifické metody HTTP.
· HTTP požadavky, které obsahují nejen znaky ASCII, jsou omezeny, čímž je zabráněno vložení škodlivého kódu do záhlaví požadavku či polí formuláře.
2. Narušení kontroly přístupu (broken access control)
Shrnutí
Problém spočívá v nedostatečném zajištění přístupových práv uživatelů. Útočníci mohou odhalením nedostatků získat přístup k účtům jiných uživatelů, citlivým souborům nebo kritickým funkcím.
Hrozby
Každá webová aplikace má své autorizační schéma, ať už implicitní, nebo explicitní. Protože tato schémata lze obvykle snadno vytvořit, lze celou řadu z nich poměrně lehce obejít. Mezi nejčastější problémy patří techniky průniku do adresářů (directory traversal), výchozí práva k souborům a nezabezpečená uživatelská jména a hesla.
oporučení autora
Popisované zranitelnosti řeší například produkt SmartDefense a technologie Web Intelligence od společnosti Check Point.
Popisované zranitelnosti řeší například produkt SmartDefense a technologie Web Intelligence od společnosti Check Point.
Řešení
V kombinaci s dalšími zabezpečovacími metodami poskytuje firewallová technologie pro webové aplikace ochranu proti slabinám, které umožňují autorizovaným uživatelům získat další nezabezpečená přístupová práva. Může se jednat o některý z následujících příkladů:
· Ochrana před průnikem do adresářů - zajišťuje normalizaci cesty URL a jména hostitele tak, aby bylo zabráněno různým útokům typu průnik do adresářů (directory traversal).
· Dekódování - zajišťuje, že URL jsou kanonizována a normalizována před vynucením pro všechny typy kódování. Tento proces zabraňuje útokům "úhybnými manévry", které mají zajistit, že ochrana použitou techniku neodhalí.
· Vynucením platnosti protokolu HTTP zabraňuje průnikům na úrovni protokolu - tj. například takovým, kdy se uvnitř URL napíše nulový znak, čímž je oklamán autentizační mechanismus založený na URL.
3. Porušení správy účtů a relací (broken account and session management)
Shrnutí
Slabá ochrana uživatelských údajů sloužících k přihlášení a údajů identifikujících relaci představuje další slabé místo popisované skupinou OWASP. Útočníkům je umožněno získat hesla, klíče, cookies relací a další informace, které jim umožní obejít autentizační a restrikční mechanismy a získat cizí identitu.
Hrozby
Autentizace je jednou z částí procesu webového zabezpečení. I silné autentizační mechanismy však lze obejít, je-li správa přihlašovacích údajů slabá. Zajištění konsistentního a silného zabezpečení autentizace přes různé platformy může být značně složité a nemusí být shodné pro různé aplikace. Vyvstává zde tedy potřeba takového autentizačního procesu, který nebude součástí samotné webového aplikace. Správa aktivních relací vyžaduje silné identifikátory, které nelze uhodnout, odposlechnout či zachytit.
Řešení
Nabízí se hned několik řešení pro zabezpečení uživatelských jmen, hesel a relací webových aplikací. Jedním z těchto řešení je kombinace firewallového a VPN řešení s podporou více autentizačních schémat a technikami pro uložení hesel a uživatelských jmen (včetně LDAP, Windows, Radius, Citrix, SecureID apod.) umožňující bezpečné zašifrované uložení údajů o uživateli.
4. Zneužití serveru k odesílání skriptů (cross-site scripting - XSS)
Shrnutí
Webových aplikací lze zneužít jako mechanismu k přenosu útoku na prohlížeč koncového uživatele. Úspěšný útok může vést k vyzrazení přihlašovacích informací koncového uživatele, útoku na jeho počítač či zfalšování obsahu webové stránky k oklamání uživatele.
Hrozby
Vývojáři webových aplikací si tuto slabinu často neuvědomují, a tudíž neprovádějí žádné ověření vstupu, které by mohlo tomuto zneužití zabránit. Slabé místo vznikne tehdy, je-li vstup uživatele zahrnut do HTML stránky odeslané jinému uživateli. Vložením škodlivého kódu do HTML může útočník spustit na napadeném počítači kód v jazyce JavaScript. Možnosti skriptovacích jazyků jsou sice omezené, avšak postačující k získání údajů o uživateli.
Řešení
Předpokládáme, že centralizovaný řídicí bod a firewallová technologie účinně chrání webové aplikace. Není-li možné vložit kód skriptu do webové aplikace, není možné poškodit koncového uživatele. Tento přístup je rozhodující, protože jakmile je jednou skriptový kód odeslán na webový server, není možné rozlišit škodlivý kód od legitimního kódu, který je součástí webové aplikace. Firewallová technologie pro webové aplikace umožní správcům tři úrovně odmítnutí skriptu (vysoká, střední a nízká). Obezřetný přístup je zamítnout veškeré HTTP požadavky obsahující znaky "<" nebo ">" (střední úroveň). Nedostatkem tohoto přístupu však je, že mohou být odmítnuty i stránky obsahující neškodné tagy jako např.