Spotkanie WebService – Ruch SA

Bezpieczeństwo aplikacji www
Michał Sajdak ([email protected])
Warszawa,
24.04.2008
Bezpieczeństwo aplikacji www
Agenda
•
•
•
Wstęp
Mity dotyczące bezpieczeństwa aplikacji webowych
Najczęściej atakowane obszary
Bezpieczeństwo aplikacji www
O Firmie
• Działamy od 1996 roku
• Zrealizowaliśmy około 400 projektów technologicznych i
doradczych
• Od 2003 roku wchodzimy w skład Grupy Solidex
Bezpieczeństwo aplikacji www
O Firmie - specjalizacja
WebService specjalizuje się w wielowarstwowych
aplikacjach webowych oraz rozbudowanych rozwiązaniach
portalowych.
Większość naszych rozwiązań zintegrowana jest z
systemami innych dostawców.
Bezpieczeństwo aplikacji www
Doświadczenie – wybrani
Klienci
Bezpieczeństwo aplikacji www
Wstęp
•
•
•
•
Aplikacje www – specyficzny podzbiór aplikacji
Wszystkie podatności dotyczące aplikacji dotyczą
również aplikacji webowych
Łatwość ataku
Brak świadomości problemów bezpieczeństwa
Bezpieczeństwo aplikacji www
Mity
•
•
•
Szyfrowane połączenie https zabezpiecza aplikację
przed włamaniami.
Klasyczne systemy firewall zabezpieczają przed
atakami na aplikacje webowe.
Firewalle aplikacyjne w 100% zabezpieczają przed
atakami.
Bezpieczeństwo aplikacji www
Mity – filter evasion
•
•
•
•
•
Id = … UNION ALL SELECT user,password FROM
users—
Id = … UnioN ALL SeleCT user,password fROm
users—
Id = …/**/UNION/**/ALL/**/SELECT/**/user,password
/**/FROM/**/users—
Id = … UN/**/ION ALL SE /**/ LECT user,password FR
/**/ OM users—
Id = ; EXEC (‘SEL’ + ‘ECT’ + ‘user,password’+’FR’+’OM
users’);
Bezpieczeństwo aplikacji www
Mity
•
•
•
Poprzez aplikacje webowe nie można otrzymać dostępu
na poziomie systemu operacyjnego.
Błędy typu XSS są mało groźne.
Mniejsze portale są mniej bezpieczne od dużych,
znanych rozwiązań.
Bezpieczeństwo aplikacji www
Mity
•
•
•
Aplikacje pisane w języku Java są bezpieczne.
Portale branży finansowej są bezpieczne.
Systemy bankowości elektronicznych są bezpieczne.
Bezpieczeństwo aplikacji www
Mity
•
•
Oprogramowanie do automatycznych testów
bezpieczeństwa wykryje większość błędów w aplikacji
webowej.
Wykonanie audytu bezpieczeństwa w 100% chroni
przed atakiem.
Bezpieczeństwo aplikacji www
Ataki na aplikacje webowe - przegląd
•
•
•
•
•
•
Architektura
Znane błędy w komponentach
Information gathering
Mechanizmy dostępu
Walidacja punktów wejścia
Błędy logiczne
Bezpieczeństwo aplikacji www
Architektura
•
Poziom sieciowy
•
Poziom komponentów
Bezpieczeństwo aplikacji www
Znane błędy w komponentach
•
•
•
•
•
Serwer www
Serwer aplikacyjny
Baza danych
Biblioteka
Gotowe oprogramowanie
Bezpieczeństwo aplikacji www
Information gathering
•
•
•
•
Obsługa błędów
Komentarze HTML
Komunikacja HTTP
Google hacking
Bezpieczeństwo aplikacji www
Mechanizmy dostępu
•
Uwierzytelnianie
–
–
–
–
–
•
Losowość
Session timeout
Session fixation
Metody transmisji
Cookie path/httponly
Autoryzacja
Bezpieczeństwo aplikacji www
Walidacja punktów wejścia
•
•
•
•
•
•
•
•
•
SQL Injection
XSS
Command injection
Response splitting
Path traversal
File inclusion
Inne podatności typu injection (SMTP, SOAP, LDAP,
XPATH)
XSS: CSRF, JSON hijacking
Przepełnienia bufora,…
Bezpieczeństwo aplikacji www
Błędy logiczne
•
Niepodatne na wykrycie automatycznymi narzędziami
•
Często bardzo proste do wykrycia i … wykorzystania
Bezpieczeństwo aplikacji www
Środki zaradcze
•
Wymogi nakładane na wdrażane oprogramowanie
•
Hardening środowisk
•
Audyt bezpieczeństwa
•
Firewalle aplikacyjne
•
Aktywny monitoring & response
Dziękuję za uwagę
Michał Sajdak ([email protected])