web security
DESCRIPTION
Workshop tijdens onze #dxopening over web security op een verstaanbare manier gebracht. Verwijzing naar OWASP met de top 3 dieper bekeken.TRANSCRIPT
![Page 1: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/1.jpg)
WEB S
ECURITY
XA
VI E
R D
EK
EY
ST
ER
– D
X- S
OL U
TI O
NS
BV
BA
![Page 2: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/2.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
PRAKTISCH
http://www.dx-solutions.be
Twitter#dxopening
@DXsolutionsBVBA
@Ksafke
2
![Page 3: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/3.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
DX-SOLUTIONS 2005
3
Gestart als een one man show
![Page 4: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/4.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
DX-SOLUTIONS 2014
4 FTE web developers
CEO/ CTO team lead
Business developmentmanager
Office manager
CEO/ CTO team lead
Business developmentmanager
Studyx
20 trainers
CTO
PPprogram
CEO
DX-Solutions DEV
Founder
BAuction
Founders
Constry
4 FTE
CoprospectR
Founder
dxADSL sold to Scarlet Belgium in 2011
Business developmentmanager
DX-Solutions
4
![Page 5: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/5.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
WAT WIJ DOEN
5
• Informatiseren & automatiseren• Integraties met CRM en/of ERP• Online web –en mobiele applicaties• Opleidingen• Audits
![Page 6: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/6.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
ENKELE KLANTEN
6
![Page 7: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/7.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
WEB SECURITY, WHY SHOULD WE CARE!?
7
![Page 8: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/8.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
INTERNET
8
![Page 9: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/9.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
ALLEMAAL VERBONDEN
9
![Page 10: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/10.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
MAAR WAAR IS MIJN DATA?
10
![Page 11: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/11.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
WAT MET UW ONLINE APPLICATIE?
11
OWASP (Open Web Application Security Project)http://www.owasp.org
![Page 12: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/12.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
OWASP DOET ONS HUISWERK
12
TOP 3 security problemen 2013
1. Injectie2. Gebroken authenticatie en session management3. Cross-Site Scripting (XSS)4. Jij!
![Page 13: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/13.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
WEB APPLICATIE IN HET KORT
13
1. Client (wijzelf) vragen een website aan het internet
2. Internet stuurt de vraag door naar de desbetreffende webserver
3. Server gaat intern op zoek naar de applicatie server
4. Databank wordt aangesproken via SQL code
5. Webserver parsed (zet om in webpagina) en stuurt terug naar uw scherm
![Page 14: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/14.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
OWASP 1: INJECTION
14
De term injectie wordt gebruikt voor een type kwetsbaarheid van computerapplicaties, meestal webapplicaties. Applicaties die informatie in een database opslaan maken vaak gebruik van onderstaande technologiën om met de database te communiceren. Injectie kan gebeuren als invoer van gebruikers op onvoldoende gecontroleerde wijze wordt.
• SQL injection• LDAP • Xpath• XML parsers• SMTP headers (mail)
http://www.dx-solutions.be/upload/video/injection.mp4
![Page 15: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/15.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
DEMO
15
![Page 16: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/16.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
OWASP 2: BROKEN AUTHENTICATION AND SESSION MANAGEMENT
16
http://www.dx-solutions.be/upload/video/owasp2.mp4
Authenticatie van gebruikers en het beheren van actieve sessies. Een proces dit makkelijk ondermijnd kan worden.
HTTP is niet in staat om zelf sessies aan te maken, hierdoor moet de ontwikkelaar dit zelf doen. Hier loopt het heel vaak mis, waardoor actieve sessies gekaaptkunnen worden en zo uw identiteit overgenomen.
Goeie aanpak of SSL zijn hier de oplossing.
• sessionID via url• Sessionid via cookie• …
![Page 17: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/17.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
DEMO
17
![Page 18: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/18.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
OWASP 3: CROSS-SITE SCRIPTING (XSS)
18
http://www.dx-solutions.be/upload/video/owasp3.mp4
Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordtverwerkt en hierdoor in de uitvoer terecht komt naar de eindgebruiker.
Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden.
Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd.
![Page 19: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/19.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
DEMO
19
![Page 20: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/20.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
POPULAIRE XSS
20
![Page 21: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/21.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
JIJ!
21
Ook jij bent verantwoordelijk voor de veiligheid van uw applicatie en gegevens!
75% van de gebruikers heeft hetzelfde wachtwoord op meerdere platformen … Niet veilig!
Wat als LinkedIn, Facebook, … gehackt worden?
• Juist, die gebruiken md5 om uw wachtwoorden te encrypteren, dit is trouwens verplicht! Maar wat met rainbow tables?
![Page 22: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/22.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
RAINBOW TABLES
22
Een rainbow table is een eenvoudige tabel met allerlei mogelijke wachtwoorden en de hashes van deze wachtwoorden. Hij wordt gebruikt om wachtwoorden te testen op veiligheid, of om ze te kraken. De techniek is vele malen sneller dan de brute force-techniek, waarbij de hashes van de wachtwoorden nog moeten worden berekend. De rainbow table is samengesteld volgens Philippe Oechslins faster time-memory trade-off technique. Het maken van een dergelijke tabel kost weliswaar veel rekentijd en opslagcapaciteit, maar van zodra de tabel berekend is, kan een wachtwoord-hash snel omgezet worden in het gebruikte wachtwoord.
![Page 23: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/23.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
PASSWORD MANAGERS
https://lastpass.com/
23
![Page 24: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/24.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
VRAGEN?
24
![Page 25: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/25.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
OENGER OF DUST?
25
![Page 26: Web Security](https://reader036.vdocuments.mx/reader036/viewer/2022062418/5561f649d8b42ae04e8b4970/html5/thumbnails/26.jpg)
C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4
PHOTO CREDITS
http://www.sdjcomputers.nl/index.php/particulier/back-up-maken/particulier/reparatie-particulier/
zakelijk/Internet-zakelijk
http://www.acunetix.com/wp-content/uploads/2012/10/web-apps.gif
26