1 / 29

Bezpieczeństwo aplikacji WWW

Bezpieczeństwo aplikacji WWW. Michał Pośnik s 4132 2008. Rodzaje ataków. Cross-Site Scripting. Od strony atakującego. Zasada ataku XSS Rodzaje ataku XSS Reflected XSS Persistent XSS Lokalny atak XSS Proste próby ataku XSS. Reflected XSS.

tyler
Download Presentation

Bezpieczeństwo aplikacji WWW

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bezpieczeństwo aplikacji WWW Michał Pośnik s4132 2008

  2. Rodzaje ataków

  3. Cross-SiteScripting

  4. Od strony atakującego Zasada ataku XSS Rodzaje ataku XSS • Reflected XSS • Persistent XSS • Lokalny atak XSS Proste próby ataku XSS

  5. Reflected XSS Najczęściej spotykany wśród ataków z serii XSS Trzeba nakłonić ofiarę do odwiedzenia spreparowanego URL Umożliwia dostęp do haseł użytkownika, adresów e-mail, loginów, fraz wpisywanych w search'u

  6. Persistent XSS Także bardzo powszechny atak Nie wymaga nakłaniania ofiary do kliknięcia w URL Za pomocą kodu ukrytego w URL, możemy dostać się do bazy danych Serwer bazodanowy rozsyła szkodliwy kod do użytkowników odwiedzających stronę Raz wstrzyknięty kod pozostaje już na serwerze

  7. Lokalny atak XSS Odbywa się na komputerze ofiary Wykonywane w przeglądarce, za pomocą JavaScript Serwer "dostarcza" w przeglądarce błędny skrypt, a nie złośliwy kod Najczęściej podatne są aplikacje Web 2.0

  8. Proste próby ataku XSS Aby wykonać prosty atak XSS musimy zrobic/znac: Sprawdzenie podatności strony WWW na atak XSS Podstawowa znajomość JavaScript Szczęście 

  9. Jedna ze stron, którą znalazłem 

  10. SQL INJECTION

  11. Od strony atakującego Jeden z podstawowych i najczęściej wykorzystywanych ataków w Internecie Wykorzystuje lukę w systemie polegającą na nieprawidłowym filtrowaniu Wszystkie bazy danych są podatne w mniejszym lub większym stopniu na te ataki

  12. Zasada działania Polega na wysłaniu na serwer spreparowanego kodu SQL Dzięki odpowiednim zapytaniom, możemy dostać się do serwera i wykraść dane

  13. Przeprowadzanie ataku Sprawdzamy czy w atakowanej stronie występują luki Jeśli znaleźliśmy takowe, sprawdzamy poprawność działania naszych zapytań Jeśli nie występują błędy, sprawdzamy efekt działania wstrzykniętego kodu Gromadziny dane w celu identyfikacji rodzaju zapytania, rodzaju bazy danych, czy uprzywilejowania użytkownika

  14. HTML INJECTION

  15. Od strony atakującego Ataki HTML Injection, podobnie jak ataki XSS i SQL Injection, polegają na dodawaniu kodu do źródła strony WWW Pozwalają nam modyfikować wygląc strony, oraz jej funkcjonalność W zależności od zapytania, możemy zmienić wygląd strony na stałe

  16. Prostota HTML Injection Znajomość HTMLa, nawet w podstawach, pozwoli nam na wykonanie prostego ataku Wiele stron jest podatnych na tego typu atak Po prawej znajduje się przykładowy kod HTML, który możemy wstrzyknąć w stronę podatną na atak. <a href=http://www.naszserwer.pl><img src=http://jakistamserwerznasztymobrazkiem.pl /> Kliknij na zdjecie, aby je powiekszyc! </a>

  17. Przykład wykorzystania HTML Injection Prosty tag <h1><u> … </u></h1>

  18. Cross-Siterequestforgery

  19. Od strony atakującego Często pomijana technika, a także często mieszana jako „podzbiór” ataków XSS Polega na wykorzystaniu przeglądarki ofiary, w celu wysyłania żądań HTTP, bez wiedzy ofiary Umożliwia wykonywanie czynności administratorskich bez konieczności przechwytywania sesji czy łamania haseł Umożliwia wykonanie ataku mimo skonfigurowanego firewalla

  20. Schemat przedstawiający zwykły atak CSRF

  21. Schemat przedstawiający atak CSRF z włączonym firewallem

  22. Przeprowadzenie ataku CSRF Wystarczy znajomość HTMLa "Podszycie" pod kod HTML jakiegos linka Pozyskiwanie potrzebnych nam informacji

  23. Bezpieczeństwo aplikacji WWW od strony programisty Rzeczy o których należy pamiętać podczas tworzenia zabezpieczeń Znajomość pewnych funkcji PHP może okazać się przydatna. Przykładowe funkcje zabezpieczające

  24. O należy pamiętać? Ustawienie walidacji parametrów wejściowych Wyłączenie opcji zmiennych globalnych Prawidłowa kontrola dostępu Prawidłowa autentykacja i zarządzanie sesjami Prawidłowe zabezpieczenie przed przepełnieniem bufora Prawidłowa obsługa błędów Bezpieczne przechowywanie danych Prawidłowe zabezpieczenie przed atakiem typu DoS Ustawienie funkcji uniemożliwiających wstrzykiwanie kodu

  25. Kilka przykładów znalezionych w sieci

  26. Kilka przykładów znalezionych w sieci

  27. Kilka przykładów znalezionych w sieci

  28. Dziękuję za uwagę

More Related