1 / 8

Włączanie obcej zawartości do kodu strony Dyskusja podczas spotkania OWASP Poland

Włączanie obcej zawartości do kodu strony Dyskusja podczas spotkania OWASP Poland. Moderator – Wojciech Dworakowski, SecuRing w ojciech.dworakowski@owasp.org. 2013-05-08. Obca zawartość. Reklamy – ad-serwery Statystyki Biblioteki Widgety Sieci społecznościowe Mashup ….

chakra
Download Presentation

Włączanie obcej zawartości do kodu strony Dyskusja podczas spotkania OWASP Poland

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Włączanie obcej zawartości do kodu stronyDyskusja podczas spotkania OWASP Poland Moderator – Wojciech Dworakowski, SecuRing wojciech.dworakowski@owasp.org 2013-05-08

  2. Obca zawartość • Reklamy – ad-serwery • Statystyki • Biblioteki • Widgety • Sieci społecznościowe • Mashup • …

  3. Przykład 1 – zbp.pl (2011-02) • Ostrzeżenie pokazywało się tylko dla locale EN-us Żródło: Materiały własne W.Dworakowski

  4. Przykład 2 – Niebezpiecznik.pl (2013-04) • Podmiana skryptu JS ładowanego z zewnętrznego serwera • automatyczne przekierowanie przeglądarki na stronę na Pastebin zaraz po załadowaniu serwisu

  5. Motywacja i skutki ataku? • Motywacja (kto?) • Cyberprzestępcy • Konkurencja • Hacktivism • Skutki (po co?) • Serwowanie malware i inne masowe przestępstwa internetowe • Wyświetlanie własnych reklam • DDoS • Zmiana treści – np. fałszywe informacje w kontekście strony • Obniżenie wiarygodności • Kopanie bitcoin ;) • Skala masowa • Wszystkie serwisy obsługiwane przez danego dostawcę treści

  6. Sposoby ataku? • Atak na dostawcę treści (bannerów/reklam/statystyk/bibliotek/widgetów/map/…) • Np. w pierwszym przypadku: System bannerowyOpenX, stara wersja + nieprawidłowa konfiguracja • Atak na stację programisty u operatora • Atak na CDNy • Cel: • zmienienie skryptu włączanego w treści strony • zmienienie treści (np. obrazków, reklam, tekstu, itp.)

  7. Czy i jak można się zabezpieczyć? • Unikanie ryzyka: • Nie stosować zawartości na którą nie mamy wpływu • Delegowanie ryzyka: • Umowa i odszkodowania

  8. Czy i jak można się zabezpieczyć? • Ograniczanie ryzyka: • Opakowanie zewnętrznych skryptów i sprawdzanie ich • Sandboxing wbudowany w przeglądarkę • Rozwiązanie przyszłościowe ale nie działa w starszych przeglądarkach • Sandboxing w JS – np. Google CAJA • Osadzanie w IFRAME + atrybut sandbox • Monitoring behawioralny (np. współczynnik ucieczki ze strony) • Serwowanie całej strony po SSL • CSP Żaden z tych sposobów nie jest uniwersalny i w 100% skuteczny

More Related