web lietojumu biežāk pieļautās kļūdas un to risinājumi. didzis balodis. dpa konference 2014
DESCRIPTION
TRANSCRIPT
Web lietojumu biežāk pieļautās kļūdas un to risinājumi.
Didzis Balodis, CISSP, GPEN
DPA infrastruktūras un drošības virziena vadītājs
Saturs
Realitāte
Demo Risinājumi
Statistika
Didzis Balodis
• DPA IT drošības un infrastruktūras virziena vadītājs
• Vairāk kā 10 gadi IT industrijā (sākot no 1999.g)
• Administrēšana, izstrāde, drošība
• Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās
testi (veikti vairāk kā 50 auditi)
• Hobijs - bezvadu tīklu drošība
• Sertifikāti:
• CISSP- Certified Information System Security Professional
• GPEN – GIAC Certified Penetration Tester
Statistika
86%gadījumu web aplikācija satur vismaz
vienu
augsta riska ievainojamību
OWASP TOP 10
Injekcijas aizvien ir vispopulārākās!
A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management
A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References
A5-Security Misconfiguration A6-Sensitive Data Exposure
A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF)
A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
Trustwave pētījums
Viegli...
Arī web lietojumu drošībā statistika ir nemainīga:
96% vieglu uzbrukumu
Sekas
Klientu dati publiski pieejami
Publiskota organizācijas iekšējā informācija
Reputācijas zaudējumi
Administratīvā atbildība (FPDAL)
Sistēmu nepieejamība
Finanšu zaudējumi
Piemērs
Piemērs
Piemērs
DEMO TIME
SQLi
http://somesystem.lv/ gettextLang=0&usr_login=login
' AND (SELECT 4747 FROM
(SELECT COUNT(*),CONCAT(0x3a76796a3a,
(SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)),
0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
Failu upload
Proaktīva rīcība
Lai izvairītos no nepatīkamas situācijas -
Veic pārbaudi
pirms to izdarījis kāds cits...
DPA piedāvājums
IT auditi un ielaušanās testēšana:
Atbilstības auditi LR normatīviem un labākās prakses standartiem
Ievainojamību skanēšana
Tīkla ielaušanās testi
Bezvadu tīklu auditi
Web aplikāciju drošības testēšana
Sociālās inženierijas testēšana
Darbinieku IT drošības apmācība
Sertifikāti
Paldies!