Spotkanie WebService – Ruch SA
Transkrypt
Spotkanie WebService – Ruch SA
Bezpieczeństwo aplikacji www Michał Sajdak ([email protected]) Warszawa, 24.04.2008 Bezpieczeństwo aplikacji www Agenda • • • Wstęp Mity dotyczące bezpieczeństwa aplikacji webowych Najczęściej atakowane obszary Bezpieczeństwo aplikacji www O Firmie • Działamy od 1996 roku • Zrealizowaliśmy około 400 projektów technologicznych i doradczych • Od 2003 roku wchodzimy w skład Grupy Solidex Bezpieczeństwo aplikacji www O Firmie - specjalizacja WebService specjalizuje się w wielowarstwowych aplikacjach webowych oraz rozbudowanych rozwiązaniach portalowych. Większość naszych rozwiązań zintegrowana jest z systemami innych dostawców. Bezpieczeństwo aplikacji www Doświadczenie – wybrani Klienci Bezpieczeństwo aplikacji www Wstęp • • • • Aplikacje www – specyficzny podzbiór aplikacji Wszystkie podatności dotyczące aplikacji dotyczą również aplikacji webowych Łatwość ataku Brak świadomości problemów bezpieczeństwa Bezpieczeństwo aplikacji www Mity • • • Szyfrowane połączenie https zabezpiecza aplikację przed włamaniami. Klasyczne systemy firewall zabezpieczają przed atakami na aplikacje webowe. Firewalle aplikacyjne w 100% zabezpieczają przed atakami. Bezpieczeństwo aplikacji www Mity – filter evasion • • • • • Id = … UNION ALL SELECT user,password FROM users— Id = … UnioN ALL SeleCT user,password fROm users— Id = …/**/UNION/**/ALL/**/SELECT/**/user,password /**/FROM/**/users— Id = … UN/**/ION ALL SE /**/ LECT user,password FR /**/ OM users— Id = ; EXEC (‘SEL’ + ‘ECT’ + ‘user,password’+’FR’+’OM users’); Bezpieczeństwo aplikacji www Mity • • • Poprzez aplikacje webowe nie można otrzymać dostępu na poziomie systemu operacyjnego. Błędy typu XSS są mało groźne. Mniejsze portale są mniej bezpieczne od dużych, znanych rozwiązań. Bezpieczeństwo aplikacji www Mity • • • Aplikacje pisane w języku Java są bezpieczne. Portale branży finansowej są bezpieczne. Systemy bankowości elektronicznych są bezpieczne. Bezpieczeństwo aplikacji www Mity • • Oprogramowanie do automatycznych testów bezpieczeństwa wykryje większość błędów w aplikacji webowej. Wykonanie audytu bezpieczeństwa w 100% chroni przed atakiem. Bezpieczeństwo aplikacji www Ataki na aplikacje webowe - przegląd • • • • • • Architektura Znane błędy w komponentach Information gathering Mechanizmy dostępu Walidacja punktów wejścia Błędy logiczne Bezpieczeństwo aplikacji www Architektura • Poziom sieciowy • Poziom komponentów Bezpieczeństwo aplikacji www Znane błędy w komponentach • • • • • Serwer www Serwer aplikacyjny Baza danych Biblioteka Gotowe oprogramowanie Bezpieczeństwo aplikacji www Information gathering • • • • Obsługa błędów Komentarze HTML Komunikacja HTTP Google hacking Bezpieczeństwo aplikacji www Mechanizmy dostępu • Uwierzytelnianie – – – – – • Losowość Session timeout Session fixation Metody transmisji Cookie path/httponly Autoryzacja Bezpieczeństwo aplikacji www Walidacja punktów wejścia • • • • • • • • • SQL Injection XSS Command injection Response splitting Path traversal File inclusion Inne podatności typu injection (SMTP, SOAP, LDAP, XPATH) XSS: CSRF, JSON hijacking Przepełnienia bufora,… Bezpieczeństwo aplikacji www Błędy logiczne • Niepodatne na wykrycie automatycznymi narzędziami • Często bardzo proste do wykrycia i … wykorzystania Bezpieczeństwo aplikacji www Środki zaradcze • Wymogi nakładane na wdrażane oprogramowanie • Hardening środowisk • Audyt bezpieczeństwa • Firewalle aplikacyjne • Aktywny monitoring & response Dziękuję za uwagę Michał Sajdak ([email protected])