340 likes | 570 Views
Spletni napadi v praksi. Miha Pihler. “Doing security related stuff” eCTRL d.o.o. eCTRL d.o.o. MCSA, MCSE, MCT, CISSP, ... Microsoft MVP – Windows Security SloWUG Community Lead www.slowug.org Blog www.krneki.net www.krneki.net/blog www.krneki.net/BE
E N D
Spletni napadi v praksi Miha Pihler “Doing security related stuff” eCTRL d.o.o.
eCTRL d.o.o. • MCSA, MCSE, MCT, CISSP, ... • Microsoft MVP – Windows Security • SloWUG Community Lead • www.slowug.org • Blog www.krneki.net • www.krneki.net/blog • www.krneki.net/BE • Solastnik in soavtor www.parhelia-tools.com
Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek
Zgodovina spletnih napadov • Večinoma za zabavo • Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov in po možnosti ustaviti Internet • Buffer overflow napadi • Črvi • CodeRed • http://en.wikipedia.org/wiki/Code_Red_worm • Nimda • http://en.wikipedia.org/wiki/Nimda_(computer_worm)
Code red • GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Zgodovina spletnih napadov • Večinoma za zabavo • Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov… • Bolj zabavno je okužiti tisoče računalnikov in s tem zaslužiti...
Aplikacije • 21,5% XSS • 14% SQL “Injections” • 9,5% php “includes” • 7,9 "buffer overflows“ • 14.9.2006 • Cca. 90% vseh strani ima XSS ranljivosti • 9.4.2008 Jeremiah Grossman, WhiteHat Security
Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek
Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek
Google Hacking • Enostavno • Brez posebnih “hacking” orodij • Raziskovalec je lahko enostavno anonimen • TOR proxy • Veliko prosto dostopnih informacij • Lahko so osnova za napade
Demo • “Google hacking” • http://johnny.ihackstuff.com/ghdb.php
Google HackingZaščita • Iskanje nezaščitenih informacij in sistemov…
Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek
Injection in XSS napadi • SQL Injection • Brisanje • Razkrivanje informacij • Dodajanje informacij • XSS napadi • Pogosto je zlonamerna koda del spletnega foruma • Izpostavljene so popularne strani
Injection in XSS napadi • Kdo je kriv? • Slabo napisane spletne aplikacije • Uporaba slabe kode iz knjig/primerov
Manipulacija URL naslovov • Enostavno • Vsi URL naslovi so izpostavljeni • SSL ne pomaga ;-) • Uporabnik lahko vpliva na URL in njegovo vsebino • Možna je uporaba orodij kot so Fiddler • Izogibanje “client side” preverjanju vnosov • Popravljanje polj – npr. Hidden field
Demo • Manipulacija URL naslovov • Password generator • Injection napad • HEX URL (password-stealing trojan) • Del botneta
Injection napadiZaščita • Dobro napisane spletne aplikacije • Preverjanje vnosov! • Vsa polja! • ‘ znak... • Na strani odjemalca : na strani strežnika • Redno testiranje aplikacij! • Po spremembah • Orodja za testiranje • Scrawlr • Microsoft Source Code Analyzer for SQL Injection
Injection napadiZaščita • Orodja za testiranje • Scrawlr • Microsoft Source Code Analyzer for SQL Injection • Spletni viri • How To: Protect From SQL Injection in ASP.NET • %41%43%45%20%54%65%61%6d • Hello Secure World
Injection napadiZaščita… • Konfiguracija omrežja • Izhod iz DMZ • Aplikacijski spletni požarni zidovi • ISA Server • URL Scan 3.0
Demo • ISA Server • URL Scan 3.0 • Deluje na IIS 5.1 dalje – vključno z IIS 7
Kje vse srečamo spletne strežnike • Pogoste naprave, ki jih je možno upravljati na daljavo • Usmerjevalniki • Pa ne samo SOHO! • Hladilniki • Mikrovalovne pečice
Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek
Od strežnika do odjemalca • Napadi zaradi dobičkov • Boti • Spam, Phising • Prehodni strežniki (proxy) • DDoS na konkurenčne spletne strani • Kako dobiti bote? • XSS
Demo • Napadi na odjemalce • DNS in usmerjevalniki
Varovanje odjemalcev • Izbira brskalnika • DNS napad je neodvisen od odjemalca in brskalnika • Rešitev je izključitev jave • IE • Protected mode • Integrity levels
Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek
PovzetekZa varnejše strežnike in omrežja • DDoS napadi • Konfiguracija omrežja • Zakaj izhod iz DMZ? • Nameščeni popravki (OS, aplikacije, …) • Varovanje informacij (Google hacking) • Šifriranje podatkov • Uporaba NTFS (na IIS strežniku) • Ločevanje razvojnega in prod. okolja
PovzetekZa varnejše strežnike in omrežja • Napadi na aplikacije • Varno napisane spletne aplikacije • Rutinsko preverjanje vseh sprememb • Testiranje z različnimi orodji • Uporaba aplikacijskih filtrov • ISA • URL Scan
Povzetek Za varnejše strežnike in omrežja • “Web hosting” • Bo potencialno varoval vaše omrežje • Kadar ni možno preveriti izvorne kode • Druge spletne strani lahko potencialno ogrozijo vašo spletno stran
Q&A www.krneki.net/BE www.krneki.net