1 / 87

Top Web hacking tehniques in 2012

Top Web hacking tehniques in 2012. Ivan Marković IT Security Consultant. Reference. Teme. Op šta bezbednost na Internetu OWASP Top Ten Istraživanja u Srbiji. Op šta bezbednost na Internetu. Socijalne mreže Web aplikacije. Socijalne mreže. Socijalne mreže - fenomen današnjice.

laban
Download Presentation

Top Web hacking tehniques in 2012

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Top Web hacking tehniques in 2012 Ivan MarkovićIT Security Consultant

  2. Reference

  3. Teme • Opšta bezbednost na Internetu • OWASP Top Ten • Istraživanja u Srbiji

  4. Opšta bezbednost na Internetu • Socijalne mreže • Web aplikacije

  5. Socijalne mreže • Socijalnemreže - fenomendanašnjice

  6. Socijalne mreže • Socijalnemreže - fenomendanašnjice • Olakšana komunikacija • Olakšana organizacija • Privatnost u drugom planu • Ugrožena bezbednost korporacija ali i pojedinca

  7. Socijalne mreže • Nebezbednostsocijalnihmreža • Nenamerno odavanje privatnih ili korporativnih informacija • Industriska špijunaža • Virusi, Malware • Preuzimanje kontrole nad računarom i mrežom • Phishing

  8. Kakoodajemoinformacije o sebiilidrugima? • Nenamerno odavanje privatnih ili korporativnih informacija • AT&T Leaks Motorola Olympus Launch Date on Facebook; Coming in December/January?

  9. Kakoodajemoinformacije o sebiilidrugima? • Nenamerno odavanje privatnih ili korporativnih informacija

  10. Kakoodajemoinformacije o sebiilidrugima? • Industriska špijunaža

  11. Kakoodajemoinformacije o sebiilidrugima? • Virusi, Malware

  12. Kakoodajemoinformacije o sebiilidrugima? • Virusi, Malware

  13. Kakoodajemoinformacije o sebiilidrugima? • Preuzimanje kontrole nad računarom i mrežom

  14. Kakoodajemoinformacije o sebiilidrugima? • Phishing

  15. Kakoodajemoinformacije o sebiilidrugima? • Phishing

  16. Nacinizloupotrebeiposledice http://pleaserobme.com/

  17. Nacinizloupotrebeiposledice • Poslovni rizik • Penali usled nemogućnosti operativnog poslovanja • Reputacioni rizik • Lažno predstavljanje, širenje dezinformacija, imena podataka • Regulatorni rizik • Posledice usled pružanja neispravnih usluga prema trećim licima

  18. Zaključak • Socijalne (društvene) mreže otvaraju mnoga vrata potencijalnim napadačima • Potrebno je osigurati najslabiju kariku u lancu bezbednosti – čoveka • Rešenje leži u redovnoj edukaciji i primeni propisanih standarda!

  19. Web aplikacije Šta znamo o web tehnologijama? Kojetemeobrađujemo?

  20. Šta su tačno web aplikacije? Internet, Intranet, Web Browser, HTML, JavaScript

  21. Uvod u web tehnologije HTML, JAVASCRIPT, Klijent strana PHP, ASP, Server strana Web čitači kao alat za analizu web aplikacija i web bezbednosnih propusta

  22. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača?

  23. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Dostupnost 24h Masovnaijednostavnaupotrebakaoiimplementacija

  24. Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti?

  25. Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Besplatne instalacije, Shared hosting http://secunia.com/advisories/graph/?type=imp&period=all&prod=33191

  26. Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Besplatne instalacije, Shared hosting Desktop Malware, Web server Malware, 0day, Virusi, Botnets

  27. Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Desktop Malware, Web server Malware, 0day, Virusi, Botnets Top 10 threats on the Internet in November 2011 Source: VirusList

  28. Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Besplatne instalacije, Shared hosting Desktop Malware, Web server Malware, 0day, Virusi, Botnets Phishing

  29. Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Phishing

  30. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Dostupnost 24h Masovnaijednostavnaupotrebakaoiimplementacija Zaobilazesvakodnevneoblikezaštite: FW, SSL

  31. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Zaobilazesvakodnevneoblikezaštite: FW, SSL

  32. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Dostupnost 24h Masovnaijednostavnaupotrebakaoiimplementacija Zaobilazesvakodnevneoblikezaštite: FW, SSL Povezuje interne i eksterne mreže

  33. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Povezuje interne i eksterne mreže

  34. Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Povezuje interne i eksterne mreže Propusti u desktop aplikacijama Cross site request forgery DNS Pinning, CSS History hack, Javascript port scanning, ...

  35. Web aplikacije su veliki sigurnosni rizik, banke u Srbiji kao primer • Neinvazivne tehnike, 10 minuta, sve banke u Srbiji

  36. Web aplikacije su veliki sigurnosni rizik, banke u Srbiji kao primer • Neinvazivne tehnike, 10 minuta, sve banke u Srbiji

  37. Web aplikacije su veliki sigurnosni rizik, banke u Srbiji kao primer • Neinvazivne tehnike, 10 minuta, sve banke u Srbiji

  38. OWASP Top 10 – 2010The Top 10 Most Critical Web Application Security Risks

  39. Mapping from 2007 to 2010 Top 10 = = + = + - -

  40. OWASP Top 10 Risk Rating Methodology 1 2 3 Injection Example 1.66 weighted risk rating

  41. OWASP Top Ten (2010 Edition) http://www.owasp.org/index.php/Top_10

  42. A1 – Injection

  43. Account: SKU: Account: SKU: SQL Injection – Illustrated "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 DB Table   HTTP response   SQL query HTTP request Finance Transactions Accounts Administration Communication Knowledge Mgmt E-Commerce Bus. Functions Databases Legacy Systems Web Services Directories Billing Human Resrcs Application Layer APPLICATIONATTACK Custom Code 1. Application presents a form to the attacker 2. Attacker sends an attack in the form data App Server 3. Application forwards attack to the database in a SQL query Web Server Hardened OS 4. Database runs query containing attack and sends encrypted results back to application Network Layer Firewall Firewall 5. Application decrypts data as normal and sends results to the user

  44. A1 – Avoiding Injection Flaws • Recommendations • Avoid the interpreter entirely, or • Use an interface that supports bind variables (e.g., prepared statements, or stored procedures), • Bind variables allow the interpreter to distinguish between code and data • Encode all user input before passing it to the interpreter • Always perform ‘white list’ input validation on all user supplied input • Always minimize database privileges to reduce the impact of a flaw • References • For more details, read the new http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

  45. SQL Injection – Statistichttp://www.google.com/fusiontables/

  46. A2 – Cross-Site Scripting (XSS)

  47. Finance Transactions Accounts Administration Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Cross-Site Scripting Illustrated 1 Attacker sets the trap – update my profile Application with stored XSS vulnerability Attacker enters a malicious script into a web page that stores the data on the server Victim views page – sees attacker profile 2 Script runs inside victim’s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim’s session cookie

  48. A2 – Avoiding XSS Flaws • Recommendations • Eliminate Flaw • Don’t include user supplied input in the output page • Defend Against the Flaw • Primary Recommendation: Output encode all user supplied input (Use OWASP’s ESAPI to output encode: http://www.owasp.org/index.php/ESAPI • Perform ‘white list’ input validation on all user input to be included in page • For large chunks of user supplied HTML, use OWASP’s AntiSamy to sanitize this HTML to make it safe See: http://www.owasp.org/index.php/AntiSamy • References • For how to output encode properly, read the new http://www.owasp.org/index.php/XSS_(Cross Site Scripting) Prevention Cheat Sheet (AntiSamy)

  49. Safe Escaping Schemes in Various HTML Execution Contexts #1: ( &, <, >, " )  &entity; ( ', / )  &#xHH; ESAPI: encodeForHTML() HTML Element Content • (e.g., <div> some text to display </div> ) #2: All non-alphanumeric < 256  &#xHH ESAPI: encodeForHTMLAttribute() HTML Attribute Values • (e.g., <input name='person' type='TEXT' value='defaultValue'> ) #3: All non-alphanumeric < 256  \xHH ESAPI: encodeForJavaScript() JavaScript Data (e.g., <script> some javascript</script> ) #4: All non-alphanumeric < 256  \HH ESAPI: encodeForCSS() HTML Style Property Values • (e.g., .pdiv a:hover {color: red; text-decoration: underline} ) #5: All non-alphanumeric < 256  %HH ESAPI: encodeForURL() URI Attribute Values • (e.g., <a href="javascript:toggle('lesson')" ) ALL other contexts CANNOT include Untrusted Data Recommendation: Only allow #1 and #2 and disallow all others See: www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet for more details

  50. XSS Statistichttp://www.google.com/fusiontables/

More Related