Quizzes Security
Total Page:16
File Type:pdf, Size:1020Kb
أﻣن اﻟﺗطﺑﯾﻘﺎت واﻟﻣﻌطﯾﺎت اﻟدﻛﺗور ﺳﺎﻣﻲ ﺧﯾﻣﻲ ISSN: 2617-989X Boo ks أمن التطبيقات والمعطيات الدكتور سامي الخيمي من منشورات الجامعة اﻻفتراضية السورية الجمهورية العربية السورية 2018 هذا الكتاب منشور تحت رخصة المشاع المبدع – النسب للمؤلف – حظر اﻻشتقاق )CC– BY– ND 4.0( https://creativecommons.org/licenses/by-nd/4.0/legalcode.ar يحق للمستخدم بموجب هذه الرخصة نسخ هذا الكتاب ومشاركته وإعادة نشره أو توزيعه بأية صيغة وبأية وسيلة للنشر وﻷية غاية تجارية أو غير تجارية، وذلك شريطة عدم التعديل على الكتاب وعدم اﻻشتقاق منه وعلى أن ينسب للمؤلف اﻷصلي على الشكل اﻵتي حصرا : سامي خيمي، اﻹجازة في تقانة المعلومات، من منشورات الجامعة اﻻفتراضية السورية، الجمهورية العربية السورية، 2018 متوفر للتحميل من موسوعة الجامعة /https://pedia.svuonline.org Data and application security Sami Khiami Publications of the Syrian Virtual University (SVU) Syrian Arab Republic, 2018 Published under the license: Creative Commons Attributions- NoDerivatives 4.0 International (CC-BY-ND 4.0) https://creativecommons.org/licenses/by-nd/4.0/legalcode Available for download at: https://pedia.svuonline.org/ ISSN: 2617-989X وثيقة تعريف المادة المقرر: أمن البيانات والتطبيقات. رمز المقرر: IWB404 ملخص: يقدم محتوى المادة مقاربة لموضوع أمن المعلومات من منظور سوية التطبيقات بالتركيز على حقيقة أن اﻷمن كالسلسلة قوي بقوة أضعف حلقة في هذه السلسلة. إن طبيعة و تنوع واختﻻف معايير تطوير تطبيقات الوب والتقنيات التي يستخدمها المطورون يجعل من سوية التطبيقات من أكثر اﻷهداف عرضة للهجومات الموجهة إلى أنظمة المعلومات. يركز المحتوى في هذه المادة على إعطاء الطالب فكرة نظرية و تطبيقية عن أكثر الهجومات شيوعاً والتي تؤثر على سوية التطبيقات مع التركيز على الذهنية و اﻹجارئية المستخدمة من قبل المخترقين في تنفيذ الهجوم إضافة إلى اﻷدوات المستخدمة لهذا الغرض. يوفر المحتوى أمثلة تفصيلية لتمكين الطﻻب من فهم كامل للنظرية و التطبيق كما يقدم أفكا ا ًر عن أهم الطرق المتبعة في تطوير تطبيقات آمنة. ISSN: 2617-989X Application Security – CH 9 المصادر: .1 محتوى المقرر على موودل كملف PDF .2 كتاب Web Application security the fast guide تأليف الدكتور سامي خيمي النسخة اﻷولى 7102 - والعروض التقديمية الخاصة بالكتاب. .3 المصادر الخاصة باﻷدوات المستخدمة. .4 الجلسات المتزامنة والمسجلة. اللقاءات اﻻفتراضية : تقوم الجلسات اﻻفتراضية بتغطية المقرر باستخدام مقاربتين: .1 الحوار والنقاش لتشجيع الطﻻب على تطوير إدراك متكامل لجميع المفاهيم. .2 عرض عملي لبعض أهم اﻻختراقات وسيناريوهات تنفيذها واﻷدوات المستخدمة. مقترحات للقراءة 1. AKAMAI. (2014). A Guide to multilayer web securty. 2. Bryan Sullivan, V. L. (2012). MC Graw Hill. 3. Chandra, P. Software Assurance maturity model. 4. Christian S. Fötinger, W. Z. Understanding a hacker’s mind –A psychological insight into the hijacking of identities. 5. Dafydd Stuttard, M. P. The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws, Second Edition. 2011: Wiley. 6. Gary McGraw, P. S.BSIMM7. 7. JOEL SCAMBRAY, V. L. (2011). Hacking exposed web application. MC Graw Hill. 8. Mark Curphey, J. S. (2003). Improving Web Application Security: Threats and Countermeasures. 9. OWASP. (2013). OWASP top 10. 10. Roger Meyer, C. C. (2008). Detecting attacks on web application from log files. 11. sheama, M. (2011). Web application security for dummies. Wiley. 12. Tom Brennan, J. J. (2015). Top 10 Considerations For Incident Response. 13. Xue, X. L. (2013). A Survey on Web Application Security. ISSN: 2617-989X Subject Definition document Subject: Data and Application Security. Subject code: IWB404. Summary: The subject approaches the information security subject from application level point of view focusing on the fact that security as the chain is strong as its weakest part. The nature and diversity and non-standard verbose development methods and techniques used by developers makes application layer one of the most vulnerable targets of attacks. Main focus of the subject is to give the student an overview about the most common attacks that might affect the web applications trying emphasize the mindset and the process normally used by attackers and commonly used tools to execute those attacks. The content provides detailed examples to enable student get a full understanding to theory and application. Additionally, the subject explains briefly the most known effective methods to develop secure applications. ISSN: 2617-989X Application Security – CH 9 Links: This subject mainly connected to web application development subject and software and web engineering related subject s as it has main web application focus and includes a set of web development methodologies. Resources 1. Main subject content on Moodle ( pdf). 2. Web application security the fast guide – Book by Dr.Sami khiami 1st edition 2017 and book slides. 3. Related Tools resources. 4. Synchronous and recorded sessions. Virtual Sessions: Session will be covering the subject using two different approaches: 1. Discussion to encourage and guide student to develop a full understanding of different concepts 2. The practical illustration for some of the main attack scenarios and used tools. Suggested Readings: 1. AKAMAI. (2014). A Guide to multilayer web securty. 2. Bryan Sullivan, V. L. (2012). MC Graw Hill. 3. Chandra, P. Software Assurance maturity model. 4. Christian S. Fötinger, W. Z. Understanding a hacker’s mind –A psychological insight into the hijacking of identities. 5. Dafydd Stuttard, M. P. The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws, Second Edition. 2011: Wiley. 6. Gary McGraw, P. S.BSIMM7. 7. JOEL SCAMBRAY, V. L. (2011). Hacking exposed web application. MC Graw Hill. 8. Mark Curphey, J. S. (2003). Improving Web Application Security: Threats and Countermeasures. 9. OWASP. (2013). OWASP top 10. ISSN: 2617-989X Application Security – CH 9 10. Roger Meyer, C. C. (2008). Detecting attacks on web application from log files. 11. sheama, M. (2011). Web application security for dummies. Wiley. 12. Tom Brennan, J. J. (2015). Top 10 Considerations For Incident Response. 13. Xue, X. L. (2013). A Survey on Web Application Security. ISSN: 2617-989X Contents Chapter 1: Security ....................................................................................................................... 7 1- Information security definition ........................................................................................ 8 2- Applying security ................................................................................................................ 9 Verify it is secure: .................................................................................................................. 9 Protect it: .............................................................................................................................. 10 3- Layered security ................................................................................................................ 11 1- The Physical layer: ........................................................................................................ 11 2- Network Layer:.............................................................................................................. 12 3- Platform layer: .............................................................................................................. 12 4- Application layer: .......................................................................................................... 12 5- Data layer: ..................................................................................................................... 12 6- The response layer: ....................................................................................................... 13 Layers security: ..................................................................................................................... 13 Application layer security: .................................................................................................. 14 4- Defense mechanisms ........................................................................................................ 15 1- Access: ........................................................................................................................... 15 2- Input: ............................................................................................................................ 17 3- Attacker: ....................................................................................................................... 19 4- Monitoring and auditing: ............................................................................................ 22 Quizzes Security ...................................................................................................................... 23 Chapter 2: Web application technologies ................................................................................. 26 1. Web Application technologies ........................................................................................ 27 Http protocol issues: ............................................................................................................ 27 Web Application technologies: ........................................................................................... 27 2. HTTP issues ..................................................................................................................... 28 HTTP Request: .................................................................................................................... 28 HTTP Response: .................................................................................................................. 29 Different HTTP methods: ..................................................................................................