slide1
Download
Skip this Video
Download Presentation
Miha Pihler

Loading in 2 Seconds...

play fullscreen
1 / 34

Miha Pihler - PowerPoint PPT Presentation


  • 182 Views
  • Uploaded on

Spletni napadi v praksi. Miha Pihler. “Doing security related stuff” eCTRL d.o.o. eCTRL d.o.o. MCSA, MCSE, MCT, CISSP, ... Microsoft MVP – Windows Security SloWUG Community Lead www.slowug.org Blog www.krneki.net www.krneki.net/blog www.krneki.net/BE

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Miha Pihler' - nan


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

Spletni napadi v praksi

Miha Pihler

“Doing security related stuff”

eCTRL d.o.o.

slide3
eCTRL d.o.o.
  • MCSA, MCSE, MCT, CISSP, ...
  • Microsoft MVP – Windows Security
  • SloWUG Community Lead
      • www.slowug.org
    • Blog www.krneki.net
      • www.krneki.net/blog
      • www.krneki.net/BE
  • Solastnik in soavtor www.parhelia-tools.com
agenda
Agenda
  • Zgodovina spletnih napadov
  • Sporočila o napakah
  • Google hacking
  • Injection napadi
  • Od strežnika do odjemalca
  • Varovanje odjemalcev
  • Povzetek
zgodovina spletnih napadov
Zgodovina spletnih napadov
  • Večinoma za zabavo
    • Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov in po možnosti ustaviti Internet
  • Buffer overflow napadi
  • Črvi
    • CodeRed
      • http://en.wikipedia.org/wiki/Code_Red_worm
    • Nimda
      • http://en.wikipedia.org/wiki/Nimda_(computer_worm)
code red
Code red
  • GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
zgodovina spletnih napadov1
Zgodovina spletnih napadov
  • Večinoma za zabavo
    • Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov…
    • Bolj zabavno je okužiti tisoče računalnikov in s tem zaslužiti...
aplikacije
Aplikacije
  • 21,5% XSS
  • 14% SQL “Injections”
  • 9,5% php “includes”
  • 7,9 "buffer overflows“
    • 14.9.2006
  • Cca. 90% vseh strani ima XSS ranljivosti
    • 9.4.2008 Jeremiah Grossman, WhiteHat Security
agenda1
Agenda
  • Zgodovina spletnih napadov
  • Sporočila o napakah
  • Google hacking
  • Injection napadi
  • Od strežnika do odjemalca
  • Varovanje odjemalcev
  • Povzetek
agenda2
Agenda
  • Zgodovina spletnih napadov
  • Sporočila o napakah
  • Google hacking
  • Injection napadi
  • Od strežnika do odjemalca
  • Varovanje odjemalcev
  • Povzetek
google hacking
Google Hacking
  • Enostavno
    • Brez posebnih “hacking” orodij
    • Raziskovalec je lahko enostavno anonimen
      • TOR proxy
  • Veliko prosto dostopnih informacij
    • Lahko so osnova za napade
slide14
Demo
  • “Google hacking”
  • http://johnny.ihackstuff.com/ghdb.php
google hacking za ita
Google HackingZaščita
  • Iskanje nezaščitenih informacij in sistemov…
agenda3
Agenda
  • Zgodovina spletnih napadov
  • Sporočila o napakah
  • Google hacking
  • Injection napadi
  • Od strežnika do odjemalca
  • Varovanje odjemalcev
  • Povzetek
injection in xss napadi
Injection in XSS napadi
  • SQL Injection
    • Brisanje
    • Razkrivanje informacij
    • Dodajanje informacij
  • XSS napadi
    • Pogosto je zlonamerna koda del spletnega foruma
    • Izpostavljene so popularne strani
injection in xss napadi1
Injection in XSS napadi
  • Kdo je kriv?
    • Slabo napisane spletne aplikacije
    • Uporaba slabe kode iz knjig/primerov
manipulacija url naslovov
Manipulacija URL naslovov
  • Enostavno
    • Vsi URL naslovi so izpostavljeni
      • SSL ne pomaga ;-)
    • Uporabnik lahko vpliva na URL in njegovo vsebino
    • Možna je uporaba orodij kot so Fiddler
      • Izogibanje “client side” preverjanju vnosov
      • Popravljanje polj – npr. Hidden field
slide20
Demo
  • Manipulacija URL naslovov
    • Password generator
  • Injection napad
    • HEX URL (password-stealing trojan)
    • Del botneta
injection napadi za ita
Injection napadiZaščita
  • Dobro napisane spletne aplikacije
    • Preverjanje vnosov!
      • Vsa polja!
      • ‘ znak...
      • Na strani odjemalca : na strani strežnika
    • Redno testiranje aplikacij!
      • Po spremembah
    • Orodja za testiranje
      • Scrawlr
      • Microsoft Source Code Analyzer for SQL Injection
injection napadi za ita1
Injection napadiZaščita
  • Orodja za testiranje
      • Scrawlr
      • Microsoft Source Code Analyzer for SQL Injection
  • Spletni viri
    • How To: Protect From SQL Injection in ASP.NET
    • %41%43%45%20%54%65%61%6d
    • Hello Secure World
injection napadi za ita2
Injection napadiZaščita…
  • Konfiguracija omrežja
    • Izhod iz DMZ
  • Aplikacijski spletni požarni zidovi
    • ISA Server
    • URL Scan 3.0
slide24
Demo
  • ISA Server
  • URL Scan 3.0
    • Deluje na IIS 5.1 dalje – vključno z IIS 7
kje vse sre amo spletne stre nike
Kje vse srečamo spletne strežnike
  • Pogoste naprave, ki jih je možno upravljati na daljavo
    • Usmerjevalniki
      • Pa ne samo SOHO!
      • Hladilniki
      • Mikrovalovne pečice
agenda4
Agenda
  • Zgodovina spletnih napadov
  • Sporočila o napakah
  • Google hacking
  • Injection napadi
  • Od strežnika do odjemalca
  • Varovanje odjemalcev
  • Povzetek
od stre nika do odjemalca
Od strežnika do odjemalca
  • Napadi zaradi dobičkov
    • Boti
      • Spam, Phising
      • Prehodni strežniki (proxy)
      • DDoS na konkurenčne spletne strani
  • Kako dobiti bote?
    • XSS
slide28
Demo
  • Napadi na odjemalce
    • DNS in usmerjevalniki
varovanje odjemalcev
Varovanje odjemalcev
  • Izbira brskalnika
    • DNS napad je neodvisen od odjemalca in brskalnika
      • Rešitev je izključitev jave
  • IE
    • Protected mode
    • Integrity levels
agenda5
Agenda
  • Zgodovina spletnih napadov
  • Sporočila o napakah
  • Google hacking
  • Injection napadi
  • Od strežnika do odjemalca
  • Varovanje odjemalcev
  • Povzetek
povzetek za varnej e stre nike in omre ja
PovzetekZa varnejše strežnike in omrežja
  • DDoS napadi
    • Konfiguracija omrežja
      • Zakaj izhod iz DMZ?
    • Nameščeni popravki (OS, aplikacije, …)
  • Varovanje informacij (Google hacking)
    • Šifriranje podatkov
    • Uporaba NTFS (na IIS strežniku)
    • Ločevanje razvojnega in prod. okolja
povzetek za varnej e stre nike in omre ja1
PovzetekZa varnejše strežnike in omrežja
  • Napadi na aplikacije
    • Varno napisane spletne aplikacije
    • Rutinsko preverjanje vseh sprememb
    • Testiranje z različnimi orodji
    • Uporaba aplikacijskih filtrov
      • ISA
      • URL Scan
povzetek za varnej e stre nike in omre ja2
Povzetek Za varnejše strežnike in omrežja
  • “Web hosting”
    • Bo potencialno varoval vaše omrežje
      • Kadar ni možno preveriti izvorne kode
    • Druge spletne strani lahko potencialno ogrozijo vašo spletno stran
slide34
Q&A

www.krneki.net/BE

www.krneki.net