Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

Transkrypt

1 Bezpieczeństwo aplikacji internetowych 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP Chorzów

2 Wszystkie zawarte tu informacje słuŝą wyłącznie celom edukacyjnym.

3 Krótka historia hackingu Hacking sieci telefonicznych Hacking Komputerowy

4 Współczesne rodzaje ataków

5 DoS (Denial of Service)

6 Hacking wirusowy Wirus (łacińskie virus oznacza truciznę) komputerowy to najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody uŝytkownika, zazwyczaj tworząc przy tym szkody. Standardowe wirusy Konie trojańskie Robaki Złośliwe aplety

7 KradzieŜ informacji KradzieŜ kart kredytowych KradzieŜ toŝsamości Piractwo informacyjne

8 ZagroŜenia związane z bezpieczeństwem aplikacji internetowych

9 Ukryta manipulacja Brak kontroli przesyłanych danych i nieumiejętne projektowanie systemów informatycznych oraz aplikacji internetowych pozwala na manipulację danymi, z których korzystają owe aplikacje.

10 Infiltracja danych Brak weryfikacji informacji pochodzących od uŝytkownika moŝe umoŝliwić przenikanie do aplikacji niepowołanych instrukcji.

11 Zewnętrzne skrypty (Cross-Site Scripting XSS) Luki w aplikacjach internetowych czasem pozwalają na załączanie do stron WWW kodu zewnętrznego skryptu, który niejednokrotnie moŝe wykonywać dowolne operacje na serwerze.

12 Przepełnienie buforów Kiedy program nie moŝe obsłuŝyć przesłanej mu ilości informacji, następuje tzw. przepełnienie bufora i zatrzymanie aplikacji lub nawet systemu.

13 Zatrute pliki cookies Nieodpowiedni system zabezpieczeń z wykorzystaniem plików cookies pozwala na nieuprawnioną autoryzację.

14 Przechwytywanie sesji Przechwycenie danych sesyjnych umoŝliwia dostęp do niektórych poufnych informacji. Słabo zabezpieczone serwery pozwalają na przechwycenie identyfikatora sesji, co umoŝliwia podszycie się pod innego uŝytkownika.

15 SQL Injection Brak filtracji danych, które są elementami zapytań SQL i niekontrolowanie tychŝe zapytań, moŝe prowadzić do przechwycenia poufnych danych, umoŝliwić modyfikację danych znajdujących się w bazie lub nieautoryzowany dostęp do systemu.

16 Sposoby i przechwytywania łamania haseł Łamanie haseł metodą Brute-force Łamanie haseł metodą słownikową

17 Niezahaszowane dane Podczas, gdy poufne dane nie są haszowane zmniejsza się poziom bezpieczeństwa systemu.

18 Metody zabezpieczania się przed łamaniem i przechwytywaniem haseł Haszowanie haseł Tworzenie długich i nieszablonowych haseł UniemoŜliwianie dostępu do poufnych danych Blokada wielokrotnego logowania do systemu Rejestracja informacji o logowaniach

19 Google Hacking Odpowiednie przygotowanie zapytania do wyszukiwarki Google umoŝliwia wyszukanie interesujących, a czasem takŝe poufnych informacji.

20 Wybrane błędy w przeglądarkach internetowych na przykładzie MS Internet Explorera Fałszowanie zawartości paska adresu Uruchamianie plików wykonywalnych w komputerze bez zezwolenia uŝytkownika Przepełnienie bufora i zatrzymanie działania programu lub systemu operacyjnego

21 KradzieŜ historii przeglądarki Odpowiednio przygotowany kod JavaScript umoŝliwia weryfikację odwiedzonych stron WWW na podstawie posiadanych adresów.

22 Socjotechnika Odpowiednie wykorzystanie słabości ludzkiej psychiki i specyficznych technik manipulacji oraz perswazji, pozwala na uzyskanie dostępu do poszukiwanych informacji. Do stosowania socjotechniki czasem nie jest konieczna specjalistyczna wiedza techniczna.

23 Jak zbudować bezpieczną aplikację internetową? Podczas budowania aplikacji internetowej naleŝy przyjąć postawę hakera i starać wykluczyć wszystkie znane moŝliwości ataku na aplikację, a następnie dokonywać gruntownych testów i audytów bezpieczeństwa.

24 KsiąŜki dotyczące bezpieczeństwa i socjotechniki oraz adresy stron WWW związanych z omawianym tematem Jeff Forristal, Julie Traxler Hack Proofing Your Web Applications. Kevin Mitnick Sztuka Podstępu. Dan Verton Pamiętniki Hakerów

25 Dziękuję za uwagę Piotr Wittchen