Zagrożenia związane z udostępnianiem aplikacji w sieci Internet



Podobne dokumenty
OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Drobne błędy w portalach WWW

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Bezpieczeństwo systemów komputerowych

The OWASP Foundation Session Management. Sławomir Rozbicki.

Agenda. Quo vadis, security? Artur Maj, Prevenity

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Aspekty bezpieczeństwa aplikacji internetowych

Program szkolenia: Bezpieczny kod - podstawy

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

17-18 listopada, Warszawa

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Usługa: Audyt kodu źródłowego

Bezpieczeństwo aplikacji internetowych

z testów penetracyjnych

Metody ochrony przed zaawansowanymi cyberatakami

Agenda. Rys historyczny Mobilne systemy operacyjne

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Podstawy bezpieczeństwa

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Sieci bezprzewodowe WiFi

Marek Krauze

Bezpieczeństwo aplikacji webowych

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Prezentacja specjalności studiów II stopnia. Inteligentne Technologie Internetowe

Projektowani Systemów Inf.

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Zdobywanie fortecy bez wyważania drzwi.

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Webapplication Security Pentest Service

Audytowane obszary IT

1. Streszczenie. 2. Opis problemu

Aplikacje WWW. Wykład 13. Zagrożenia bezpieczeństwa aplikacji WWW. wykład prowadzi: Maciej Zakrzewicz. Zagrożenia bezpieczeństwa

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Ochrona biznesu w cyfrowej transformacji

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Przełączanie i Trasowanie w Sieciach Komputerowych

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Testy penetracyjne webaplikacji.

Mateusz Erbel*, Piotr Kopniak Politechnika Lubelska, Instytut Informatyki, Nadbystrzycka 36B, Lublin, Polska

Kurs rozszerzony języka Python

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Badania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Kompleksowe Przygotowanie do Egzaminu CISMP

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Jak bezpieczne są Twoje dane w Internecie?

Opis przedmiotu zamówienia

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

2. Zastosowanie standardu Wi-Fi w systemach AMR... 21

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki Promotor dr inż. Paweł Figat

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Szczegółowy opis przedmiotu zamówienia:

Opis Przedmiotu Zamówienia

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Bezpieczeństwo IT w środowisku uczelni

Warszawa, 25 lipca 2014 r.

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Agent ds. cyberprzestępczości

Portal Security - ModSec Enterprise

Pytania i wyjaśnienia treści Specyfikacji Istotnych Warunków Zamówienia

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Obrona przed SQL-injection w aplikacjach Java/JEE

Ochrona systemów informatycznych przed atakami

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Wybrane problemy bezpieczeństwa w systemach IT.

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Technologia Automatyczne zapobieganie exploitom

SQL injection. Metody włamań do systemów komputerowych p. 1/13. Bogusław Kluge, Karina Łuksza, Ewa Makosa

KARTA PRZEDMIOTU. Programowanie aplikacji internetowych

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Bezpieczeństwo bankowości internetowej

Zagrożenia mobilne w maju

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Transkrypt:

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia

Cel prezentacji Wskazanie skali zagrożeń związanych z udostępnianiem systemów informatycznych w sieci Internet poprzez demonstrację praktycznych ataków sieciowych Wskazanie głównych metod ochrony przedsiębiorstw przed tymi zagrożeniami Strona 2

Plan prezentacji Statystyki dotyczące zagrożeń ze strony sieci Internet Omówienie podstawowych podatności aplikacji internetowych Demonstracja wykorzystania podatności typu Cross Site Scripting Demonstracja wykorzystania podatności typu SQL Injection Metody przeciwdziałania zagrożeniom Podsumowanie Strona 3

Zawsze jest jakaś droga wejścia... Strona 4

Zagrożenia związane z wykorzystaniem sieci informatycznych 69% zarejestrowanych incydentów bezpieczeństwa pochodziła z zewnątrz organizacji* Największe zagrożenie dla bezpieczeństwa organizacji stanowią*: przestępcy komputerowi (40%) pracownicy organizacji (34%) Średnia roczna wartość strat spowodowanych incydentami bezpieczeństwa wynosi w ramach jednej organizacji $465 700* Cel ataków na aplikacje internetowe**: Kradzież poufnych informacji (42%) Podmiana zawartości strony (23%) * Źródło: 2007 E-Crime Watch Survey Carnegie Mellon University ** Źródło: 2007 The WebHackingIncidentsDatabase AnnualReport Strona 5

Wzrost złożoności ataków w czasie Wysoka Wiedza włamywacza Ataki koordynowane automatycznie Rozproszone ataki odmowy dostępu Narzędzia Próbkowanie / skanowanie Podszywanie się Diagnostyka zarządzania siecią GUI Ataki na www Atak etapowy Cross site scripting Zaawansowane techniki skanujące Przejmowanie sesji Ataki odmowy dostępu Wyłączenie audytu Nasłuchiwanie Łamanie hasła Backdoory Włamania Złożoność ataku Wykorzystywanie stwierdzonych podatności Niska Zgadywanie hasła Samopowielający się kod 1980 1985 1990 1995 2000 Źródło: 2006Carnegie Mellon University Strona 6

Cykl życia podatności Liczba udanych ataków Początkujący włamywacze korzystają z pierwszych wersji exploit ów Pierwsze wersje exploit ów Stworzenie automatycznych narzędzi wykorzystujących podatność Wykorzystywanie automatycznych narzędzi na szeroką skalę Włamywacze zaczynają korzystać z nowych typów exploitów Doświadczeni włamywacze odkrywają podatność Publikacja łaty bezpieczeństwa Czas Źródło: 2006Carnegie Mellon University Strona 7

Najczęstsze podatności aplikacji internetowych (OWASP TOP 10) 1. 2. 3. 4. Podatności Cross Site Scripting (XSS) Podatności typu Injection Nieautoryzowane wykonanie plików Słabości wynikające z bezpośredniego odniesienia do obiektów 5. Podatności Cross Site Request Forgery (CSRF) 6. Wyciek informacji i niepoprawna obsługa błędów 7. Słabości w mechanizmach uwierzytelniania i zarządzania sesją 8. Nieskuteczne zabezpieczenia kryptograficzne 9. Niezabezpieczona transmisja danych 10. Niezabezpieczony dostęp do ukrytych adresów URL * Źródło: The Ten Most Critical Web Application Security Vulnerabilities OWASP 2007 Strona 8

Demonstracja podatności Cross Site Scripting

Podatność Cross Site Scripting (XSS) Przebieg ataku Cross Site Scripting: podatna aplikacja otrzymuje od atakującego odpowiednio spreparowane dane przeglądarka ofiary generuje stronę zawierającą złośliwe treści złośliwy kod zostaje wykonany w przeglądarce z uprawnieniami użytkownika Główne rodzaje podatności XSS: nietrwałe XSS (non-persistent / reflected XSS) trwałe XSS (persistent / stored XSS) Główne ryzyka: przejęcie sesji użytkownika ułatwienie ataków typu phishing podmiana zawartości strony przejęcie przeglądarki użytkownika Strona 10

Demonstracja podatności SQL Injection

Podatność SQL Injection Przebieg ataku SQL Injection: podatna aplikacja otrzymuje od atakującego odpowiednio spreparowane dane dane przekazywane są do zapytania do bazy danych bez odpowiedniej walidacji na poziomie bazy danych uruchamiane jest nieautoryzowane zapytanie Główne ryzyka: nieautoryzowany dostęp do danych obejście uwierzytelnienia nieautoryzowana modyfikacja danych atak typu odmowa usługi poprzez zniszczenie danych SQL_zap = "SELECT userfrom Users WHERE user= " & Username& &" " AND pswd = = " "& & Password& & " " " " wynik= GetQueryResult(SQL_zap) If wynik= "" ThenczyUwierzytelniono = False ElseczyUwierzytelniono = True SELECT user FROM Users WHERE user= x OR a = a AND pswd= x OR a = a Strona 12

Metody ochrony przed zagrożeniami

Metody ochrony przed zagrożeniami Wdrożenie skutecznych procesów: bezpieczeństwo w procesie tworzenia oprogramowania testowanie bezpieczeństwa wdrażanych zmian zarządzania podatnościami monitorowania bezpieczeństwa reagowania na incydenty bezpieczeństwa Wdrożenie środków technicznych ochrony przed zagrożeniami ze strony sieci informatycznych Przeprowadzanie okresowych audytów bezpieczeństwa aplikacji internetowych Strona 14

Audyt bezpieczeństwa aplikacji internetowych Techniki audytu bezpieczeństwa aplikacji internetowych: techniki automatyczne techniki manualne przegląd kodu źródłowego Rodzaj testów ze względu na zakres udostępnionych informacji: podejście black box podejście gray box podejście white box Inne istotne aspekty audytu bezpieczeństwa: niezależność audytora konieczność akceptacji testów przez strony trzecie potencjalne ryzyka związane z dostępnością aplikacji Strona 15

Czas na pytania

Ernst & Young Rondo ONZ 1 00-124 Warszawa Tel.: +48 (22) 557 70 00 Fax: +48 (22) 557 70 01 Michał Kurek Manager e-mail: michal.kurek@pl.ey.com Tel.: +48 22 557 8715 Fax: +48 22 557 7001 www.ey.com/pl Aleksander Ludynia Doświadczony Konsultant e-mail: aleksander.ludynia@pl.ey.com Tel.: +48 12 424 3213 Fax: +48 12 424 3201 2008 Ernst & Young Wszelkie prawa zastrzeżone Ernst & Young jest zarejestrowanym znakiem towarowym

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres