SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Podobne dokumenty
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Agenda. Quo vadis, security? Artur Maj, Prevenity

Portal Security - ModSec Enterprise

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Obrona przed SQL-injection w aplikacjach Java/JEE

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Wybrane ataki na urządzenia sieciowe Secure Michał Sajdak, Securitum sekurak.pl

Wybrane problemy bezpieczeństwa w systemach IT.

Wybrane problemy bezpieczeństwa w urządzeniach sieciowych SEConference Michał Sajdak, Securitum sekurak.pl

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Najpopularniejsze błędy i metody ataków na aplikacje bankowe. Rafał Gołębiowski Senior Security Officer, Bank BGŻ BNP Paribas S.A.

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Jak bezpieczne są Twoje dane w Internecie?

Program szkolenia: Bezpieczny kod - podstawy

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Audytowane obszary IT

Zagrożenia mobilne w maju

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Jak uchronić Twój biznes przed cyberprzestępczością

Bezpieczeństwo systemów komputerowych

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Agenda. Rys historyczny Mobilne systemy operacyjne

danych. Dzięki temu serwer SQL jest celem o wysokiej wartości, a zatem bardzo atrakcyjnym dla hakerów.

Bazy Danych i Systemy informacyjne Wykład 5. Piotr Syga

Tomasz Zawicki CISSP Passus SA

Analiza aktywności złośliwego oprogramowania Njw0rm

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Projektowani Systemów Inf.

Wykrywanie i analiza złośliwych stron WWW. Łukasz Juszczyk CERT Polska/NASK lukasz.juszczyk@cert.pl

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

17-18 listopada, Warszawa

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

SQL injection. Metody włamań do systemów komputerowych p. 1/13. Bogusław Kluge, Karina Łuksza, Ewa Makosa

Sieci bezprzewodowe WiFi

MidpSSH - analiza bezpieczeństwa

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Innowacja Technologii ICT vs Człowiek

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Bezpieczeństwo IT w środowisku uczelni

Win Admin Replikator Instrukcja Obsługi

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Drobne błędy w portalach WWW

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Bezpieczeństwo aplikacji webowych

Wykaz zmian w programie SysLoger

Analiza malware Keylogger ispy

System zabezpieczenia dostępu do baz danych Oracle

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Zapewnienie dostępu do Chmury

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Analiza malware Remote Administration Tool (RAT) DarkComet

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Gdzie czyha niebezpieczeństwo i czego się boimy? Tomasz Zawicki, Passus

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

Instalacja MySQL.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Metody ataków sieciowych

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

The OWASP Foundation Session Management. Sławomir Rozbicki.

17-18 listopada, Warszawa

Zdobywanie fortecy bez wyważania drzwi.

Wybrane metody ataków na systemy Oracle

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Win Admin Monitor Instrukcja Obsługi

Udostępnianie klientom zasobów serwera

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

System Kancelaris. Zdalny dostęp do danych

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

9:45 Powitanie. 12:30 13:00 Lunch

Mateusz Erbel*, Piotr Kopniak Politechnika Lubelska, Instytut Informatyki, Nadbystrzycka 36B, Lublin, Polska

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Jak przenieść bazę danych na zdalny serwer?

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

Bezpieczeństwo danych w sieciach elektroenergetycznych

CREATE USER

Transkrypt:

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy podstawowe i przykładowe ataki na SQL serwer Praktycznie zademonstrujemy podstawowe ataki typu SQL injection w celu zobrazowania możliwości SQLi najbardziej popularnych ataków na serwery SQL. Zastanowimy się wspólnie czy dane są wykradane z serwerów czy może serwer SQL to magazyn do przechowania pozyskanych/wykorzystanych danych?

Agenda Wstęp Trochę teorii Statystyki i najbardziej popularne wektory ataków Motywacja główne cele atakujących SQL injection i Blind SQL Jak się bronić przed SQL injection Trochę praktyki DEMO prezentujemy SQLi dostęp do bazy danych DEMO prezentujemy SQLi dostęp do OS systemu hosta i zdalne wykonanie poleceń Podsumowanie

Zamiast wstępu Wyciek danych.. to już prawie codzienność

Trochę statystyk TOP 10 Attacks Techniques 2015 vs 2014 Źródło: www.hackmageddon.com

Trochę statystyki - wektory ataków 03.2016 Źródło: www.hackmageddon.com

2015 Web Application Attack Report (WAAR) https://www.imperva.com/docs/hii_web_application_attack_report_ed6.pdf

SQLi dziś http://codecurmudgeon.com/wp/sql-injection-hall-of-shame/

Motywacja główne cele atakujących Sprzedaż pozyskanych danych bazy danych/dane dostępowe na czarnym rynku przestępców (criminal black market) lub potencjalny szantaż Długoterminowy dostęp do sieci. Może obejmować kompromitację systemu operacyjnego serwera baz danych w celu otworzenia dostępu sieciowego dla dalszych ataków lub utrzymania posiadanego dostępu. Wystawnie zrzutu bazy na sprzedaż na czarnym rynku przestępców. Kradzież tożsamości jest najbardziej rozpowszechnionym atakiem SQL injection. Zwiększenie reputacji atakującego na podziemnych forach poprzez dzielnie się znaleziskami z innymi Utrata reputacji docelowej zaatakowanej organizacji Wykorzystanie witryny/systemu do dystrybucji i propagacji oprogramowania złośliwego (malware) Wykorzystanie szybkich i pojemnych serwerów jako magazynu na kradzione dane

Przykładowe ryzyka towarzyszące SQL injection z punktu widzenia biznesu Dokonanie modyfikacji lub wykasowanie wrażliwych danych Kradzież danych klientów takich jak: dane osobowe, numery kart kredytowych, inne Straty finansowe Utrata marki i reputacji Kradzież własności intelektualnej Odpowiedzialność prawna i związane z tym kary

SQL Injection SQLi - SQL injection to atak w którym złośliwy kod jest wprowadzony do niefiltrowanych danych wprowadzonych przez użytkownika w celu przesłania i wykonania w postaci komendy SQL serwera - SQL injection to podstawowy atak wykorzystywany do uzyskania nieautoryzowanego dostępu do bazy danych lub pozyskania informacji bezpośrednio z bazy danych - SQLi to również podatność webaplikacji lub webserewera a nie tylko bazy danych

:)?

Przykładowa web-aplikacja / system Image source http://securityhorror.blogspot.com/2012/10/death-dos-ing.html

SQLi przykład działania Źródło: http://baesystemsai.blogspot.com/2016/01/testing-your-defences-against-sql-injection.html

Wykorzystanie ataków SQL injection - Ominięcie uwierzytelnienia - czyli uwierzytelnienie w systemie bez wprowadzenia loginu i hasła i pozyskanie dostępu administracyjnego Ujawnienie informacji pozyskanie danych wrażliwych przechowywanych w bazach danych Naruszenie integralności danych atakujący może skompromitować stronę/aplikację oraz umieścić złośliwy kod lub podmienić zawartość bazy danych Naruszenie dostępności danych atakujący może usunąć dane, logi lub inne dane z bazy danych Wykonanie zdalne kodu atakujący może skompromitować system operacyjny serwera baz danych, poprzez wykonanie poleceń systemowych OS

SQL injection na wesoło ;)

SQL injection na wesoło ;)

SQLi a kodeks karny? USTAWA z dnia 6 czerwca 1997 r. - Kodeks karny Art. 267,268,269

Przykładowy klasyczny kod aplikacji podatny na SQLi http://www.aspsnippets.com/articles/sql-injection-attack-its-examples-and-prevention-mechanisms-and-techniques-in-aspnet.aspx

Klasyczny przykład SQLi MSSQL http://www.sqlinjectionwiki.com/categories/1/mssql-sql-injection-cheat-sheet/

Klasyczny przykład SQL Injection MSSQL http://www.sqlinjectionwiki.com/categories/1/mssql-sql-injection-cheat-sheet/

Uwaga prezentowane treści służą tylko i wyłącznie do celów edukacyjnych i wykorzystanie tej techniki bez zgody właściciela systemu może stanowić naruszenie prawa! DEMO SQLi DEMO Ominięcie mechanizmu uwierzytelnienia Utworzenie własnego użytkownika w bazie danych Utworzenie własnej bazy danych na atakowanym SQL serwerze Kasowanie bazy danych - DROP

Klasyczny przykład SQL Injection http://www.sqlinjectionwiki.com/categories/1/mssql-sql-injection-cheat-sheet/

Uwaga prezentowane treści służą tylko i wyłącznie do celów edukacyjnych i wykorzystanie tej techniki bez zgody właściciela systemu może stanowić naruszenie prawa! DEMO SQLi demo zdalne wykonanie kodu OS Windows 2012 Wykonanie polecenia ping przez SQLi Dodajemy użytkownika w systemie Windows przez SQLi Dodanie utworzonego użytkownika do grupy Administratorów A teraz idziemy do serwera

BLIND SQL injection ; IF EXISTS(SELECT * FROM creditcard) WAITFOR DELAY 0:0:10 -- Jeśli baza creditcard istnieje NIE Nie możemy przetworzyć Twojego żądania, spróbuj ponownie TAK Po 10 sek Nie możemy przetworzyć Twojego żądania, spróbuj ponownie

Narzędzia do SQLi przykłady sqlmap, BSQL Hacker

Narzędzia do SQLi przykłady DroidSQLi telefon komórkowy lub tablet http://www.prophethacker.com/

Jak się bronić przed SQLi - ogólnie Źródło: Szkolenie CEH v9 EC-COUNCIL

Jak się bronić przed SQLi - ogólnie 1. Comprehensive data sanitization. 2. Use a web application firewall. 3. Limit database privileges by context. 4. Avoid constructing SQL queries with user input. 5. Penetration Testing 6. Recomednations OWASP etc

Warte uwagi Nie ufaj danym z zewnątrz (także z systemów zależnych czy plików) Nie ufaj danym z bazy Nie sklejaj SQL z danymi (PreparedStatement) Ogranicz uprawnienia kont w serwerze bazy danych Stosuj własne komunikaty o błędach Szyfruj dane Sprawdzaj regularnie podatności (np. za pomocą testów penetracyjnych) Używaj widoków i procedur składowanych Filtruj dane wejściowe inne

SQL serwer z perspektywy hakera Jeśli SQL serwer zawiera interesujące dane dla hakera Kradzież i sprzedaż pozyskanych danych Kompromitacja i utrata reputacji organizacji Kradzież tożsamości użytkowników Kasowanie danych Jeśli SQL serwer nie zawiera interesujących danych dla hakera Wykorzystanie witryny/systemu do dystrybucji i propagacji oprogramowania złośliwego (malware) Wykorzystanie szybkich i pojemnych serwerów jako magazynu na kradzione dane z innych serwerów

Podsumowanie Spojrzeliśmy na dane i serwery SQL z perspektywy cyberprzestępcy Omówiliśmy podstawowe i przykładowe ataki na SQL serwer Praktycznie zademonstrowaliśmy podstawowe ataki typu SQL injection w celu zobrazowania możliwości SQLi Omówiliśmy ogólne zasady ochrony przed SQLi

Dziękuję za uwagę http://netcomputer.pl