web lietojumu biežāk pieļautās kļūdas un to risinājumi. didzis balodis. dpa konference 2014
DESCRIPTION
TRANSCRIPT
![Page 1: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/1.jpg)
Web lietojumu biežāk pieļautās kļūdas un to risinājumi.
Didzis Balodis, CISSP, GPEN
DPA infrastruktūras un drošības virziena vadītājs
![Page 2: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/2.jpg)
Saturs
Realitāte
Demo Risinājumi
Statistika
![Page 3: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/3.jpg)
Didzis Balodis
• DPA IT drošības un infrastruktūras virziena vadītājs
• Vairāk kā 10 gadi IT industrijā (sākot no 1999.g)
• Administrēšana, izstrāde, drošība
• Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās
testi (veikti vairāk kā 50 auditi)
• Hobijs - bezvadu tīklu drošība
• Sertifikāti:
• CISSP- Certified Information System Security Professional
• GPEN – GIAC Certified Penetration Tester
![Page 4: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/4.jpg)
Statistika
86%gadījumu web aplikācija satur vismaz
vienu
augsta riska ievainojamību
![Page 5: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/5.jpg)
OWASP TOP 10
Injekcijas aizvien ir vispopulārākās!
A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management
A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References
A5-Security Misconfiguration A6-Sensitive Data Exposure
A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF)
A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
![Page 6: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/6.jpg)
Trustwave pētījums
![Page 7: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/7.jpg)
Viegli...
Arī web lietojumu drošībā statistika ir nemainīga:
96% vieglu uzbrukumu
![Page 8: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/8.jpg)
Sekas
Klientu dati publiski pieejami
Publiskota organizācijas iekšējā informācija
Reputācijas zaudējumi
Administratīvā atbildība (FPDAL)
Sistēmu nepieejamība
Finanšu zaudējumi
![Page 9: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/9.jpg)
Piemērs
![Page 10: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/10.jpg)
Piemērs
![Page 11: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/11.jpg)
Piemērs
![Page 12: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/12.jpg)
DEMO TIME
![Page 13: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/13.jpg)
SQLi
http://somesystem.lv/ gettextLang=0&usr_login=login
' AND (SELECT 4747 FROM
(SELECT COUNT(*),CONCAT(0x3a76796a3a,
(SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)),
0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
![Page 14: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/14.jpg)
Failu upload
![Page 15: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/15.jpg)
Proaktīva rīcība
Lai izvairītos no nepatīkamas situācijas -
Veic pārbaudi
pirms to izdarījis kāds cits...
![Page 16: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/16.jpg)
DPA piedāvājums
IT auditi un ielaušanās testēšana:
Atbilstības auditi LR normatīviem un labākās prakses standartiem
Ievainojamību skanēšana
Tīkla ielaušanās testi
Bezvadu tīklu auditi
Web aplikāciju drošības testēšana
Sociālās inženierijas testēšana
Darbinieku IT drošības apmācība
![Page 17: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/17.jpg)
Sertifikāti
![Page 18: Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014](https://reader035.vdocuments.mx/reader035/viewer/2022081413/546c2c8eb4af9f662c8b4fd9/html5/thumbnails/18.jpg)
Paldies!