WEB S

ECURITY

XA

VI E

R D

EK

EY

ST

ER

– D

X- S

OL U

TI O

NS

BV

BA

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

PRAKTISCH

http://www.dx-solutions.be

Twitter#dxopening

@DXsolutionsBVBA

@Ksafke

2

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

DX-SOLUTIONS 2005

3

Gestart als een one man show

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

DX-SOLUTIONS 2014

4 FTE web developers

CEO/ CTO team lead

Business developmentmanager

Office manager

CEO/ CTO team lead

Business developmentmanager

Studyx

20 trainers

CTO

PPprogram

CEO

DX-Solutions DEV

Founder

BAuction

Founders

Constry

4 FTE

CoprospectR

Founder

dxADSL sold to Scarlet Belgium in 2011

Business developmentmanager

DX-Solutions

4

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

WAT WIJ DOEN

5

• Informatiseren & automatiseren• Integraties met CRM en/of ERP• Online web –en mobiele applicaties• Opleidingen• Audits

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

ENKELE KLANTEN

6

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

WEB SECURITY, WHY SHOULD WE CARE!?

7

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

INTERNET

8

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

ALLEMAAL VERBONDEN

9

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

MAAR WAAR IS MIJN DATA?

10

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

WAT MET UW ONLINE APPLICATIE?

11

OWASP (Open Web Application Security Project)http://www.owasp.org

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

OWASP DOET ONS HUISWERK

12

TOP 3 security problemen 2013

1. Injectie2. Gebroken authenticatie en session management3. Cross-Site Scripting (XSS)4. Jij!

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

WEB APPLICATIE IN HET KORT

13

1. Client (wijzelf) vragen een website aan het internet

2. Internet stuurt de vraag door naar de desbetreffende webserver

3. Server gaat intern op zoek naar de applicatie server

4. Databank wordt aangesproken via SQL code

5. Webserver parsed (zet om in webpagina) en stuurt terug naar uw scherm

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

OWASP 1: INJECTION

14

De term injectie wordt gebruikt voor een type kwetsbaarheid van computerapplicaties, meestal webapplicaties. Applicaties die informatie in een database opslaan maken vaak gebruik van onderstaande technologiën om met de database te communiceren. Injectie kan gebeuren als invoer van gebruikers op onvoldoende gecontroleerde wijze wordt.

• SQL injection• LDAP • Xpath• XML parsers• SMTP headers (mail)

http://www.dx-solutions.be/upload/video/injection.mp4

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

DEMO

15

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

OWASP 2: BROKEN AUTHENTICATION AND SESSION MANAGEMENT

16

http://www.dx-solutions.be/upload/video/owasp2.mp4

Authenticatie van gebruikers en het beheren van actieve sessies. Een proces dit makkelijk ondermijnd kan worden.

HTTP is niet in staat om zelf sessies aan te maken, hierdoor moet de ontwikkelaar dit zelf doen. Hier loopt het heel vaak mis, waardoor actieve sessies gekaaptkunnen worden en zo uw identiteit overgenomen.

Goeie aanpak of SSL zijn hier de oplossing.

• sessionID via url• Sessionid via cookie• …

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

DEMO

17

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

OWASP 3: CROSS-SITE SCRIPTING (XSS)

18

http://www.dx-solutions.be/upload/video/owasp3.mp4

Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordtverwerkt en hierdoor in de uitvoer terecht komt naar de eindgebruiker.

Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden.

Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd.

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

DEMO

19

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

POPULAIRE XSS

20

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

JIJ!

21

Ook jij bent verantwoordelijk voor de veiligheid van uw applicatie en gegevens!

75% van de gebruikers heeft hetzelfde wachtwoord op meerdere platformen … Niet veilig!

Wat als LinkedIn, Facebook, … gehackt worden?

• Juist, die gebruiken md5 om uw wachtwoorden te encrypteren, dit is trouwens verplicht! Maar wat met rainbow tables?

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

RAINBOW TABLES

22

Een rainbow table is een eenvoudige tabel met allerlei mogelijke wachtwoorden en de hashes van deze wachtwoorden. Hij wordt gebruikt om wachtwoorden te testen op veiligheid, of om ze te kraken. De techniek is vele malen sneller dan de brute force-techniek, waarbij de hashes van de wachtwoorden nog moeten worden berekend. De rainbow table is samengesteld volgens Philippe Oechslins faster time-memory trade-off technique. Het maken van een dergelijke tabel kost weliswaar veel rekentijd en opslagcapaciteit, maar van zodra de tabel berekend is, kan een wachtwoord-hash snel omgezet worden in het gebruikte wachtwoord.

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

PASSWORD MANAGERS

https://lastpass.com/

23

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

VRAGEN?

24

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

OENGER OF DUST?

25

C O P Y R I G H T D X - S O LU T I O N S 2 0 1 4

PHOTO CREDITS

http://www.sdjcomputers.nl/index.php/particulier/back-up-maken/particulier/reparatie-particulier/

zakelijk/Internet-zakelijk

http://www.acunetix.com/wp-content/uploads/2012/10/web-apps.gif

26