1 / 34

Miha Pihler

Spletni napadi v praksi. Miha Pihler. “Doing security related stuff” eCTRL d.o.o. eCTRL d.o.o. MCSA, MCSE, MCT, CISSP, ... Microsoft MVP – Windows Security SloWUG Community Lead www.slowug.org Blog www.krneki.net www.krneki.net/blog www.krneki.net/BE

nan
Download Presentation

Miha Pihler

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Spletni napadi v praksi Miha Pihler “Doing security related stuff” eCTRL d.o.o.

  2. eCTRL d.o.o. • MCSA, MCSE, MCT, CISSP, ... • Microsoft MVP – Windows Security • SloWUG Community Lead • www.slowug.org • Blog www.krneki.net • www.krneki.net/blog • www.krneki.net/BE • Solastnik in soavtor www.parhelia-tools.com

  3. Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek

  4. Zgodovina spletnih napadov • Večinoma za zabavo • Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov in po možnosti ustaviti Internet • Buffer overflow napadi • Črvi • CodeRed • http://en.wikipedia.org/wiki/Code_Red_worm • Nimda • http://en.wikipedia.org/wiki/Nimda_(computer_worm)

  5. Code red • GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

  6. Zgodovina spletnih napadov • Večinoma za zabavo • Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov… • Bolj zabavno je okužiti tisoče računalnikov in s tem zaslužiti...

  7. Aplikacije • 21,5% XSS • 14% SQL “Injections” • 9,5% php “includes” • 7,9 "buffer overflows“ • 14.9.2006 • Cca. 90% vseh strani ima XSS ranljivosti • 9.4.2008 Jeremiah Grossman, WhiteHat Security

  8. Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek

  9. Sporočila o napakah

  10. Sporočila o napakah

  11. Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek

  12. Google Hacking • Enostavno • Brez posebnih “hacking” orodij • Raziskovalec je lahko enostavno anonimen • TOR proxy • Veliko prosto dostopnih informacij • Lahko so osnova za napade

  13. Demo • “Google hacking” • http://johnny.ihackstuff.com/ghdb.php

  14. Google HackingZaščita • Iskanje nezaščitenih informacij in sistemov…

  15. Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek

  16. Injection in XSS napadi • SQL Injection • Brisanje • Razkrivanje informacij • Dodajanje informacij • XSS napadi • Pogosto je zlonamerna koda del spletnega foruma • Izpostavljene so popularne strani

  17. Injection in XSS napadi • Kdo je kriv? • Slabo napisane spletne aplikacije • Uporaba slabe kode iz knjig/primerov

  18. Manipulacija URL naslovov • Enostavno • Vsi URL naslovi so izpostavljeni • SSL ne pomaga ;-) • Uporabnik lahko vpliva na URL in njegovo vsebino • Možna je uporaba orodij kot so Fiddler • Izogibanje “client side” preverjanju vnosov • Popravljanje polj – npr. Hidden field

  19. Demo • Manipulacija URL naslovov • Password generator • Injection napad • HEX URL (password-stealing trojan) • Del botneta

  20. Injection napadiZaščita • Dobro napisane spletne aplikacije • Preverjanje vnosov! • Vsa polja! • ‘ znak... • Na strani odjemalca : na strani strežnika • Redno testiranje aplikacij! • Po spremembah • Orodja za testiranje • Scrawlr • Microsoft Source Code Analyzer for SQL Injection

  21. Injection napadiZaščita • Orodja za testiranje • Scrawlr • Microsoft Source Code Analyzer for SQL Injection • Spletni viri • How To: Protect From SQL Injection in ASP.NET • %41%43%45%20%54%65%61%6d • Hello Secure World

  22. Injection napadiZaščita… • Konfiguracija omrežja • Izhod iz DMZ • Aplikacijski spletni požarni zidovi • ISA Server • URL Scan 3.0

  23. Demo • ISA Server • URL Scan 3.0 • Deluje na IIS 5.1 dalje – vključno z IIS 7

  24. Kje vse srečamo spletne strežnike • Pogoste naprave, ki jih je možno upravljati na daljavo • Usmerjevalniki • Pa ne samo SOHO! • Hladilniki • Mikrovalovne pečice

  25. Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek

  26. Od strežnika do odjemalca • Napadi zaradi dobičkov • Boti • Spam, Phising • Prehodni strežniki (proxy) • DDoS na konkurenčne spletne strani • Kako dobiti bote? • XSS

  27. Demo • Napadi na odjemalce • DNS in usmerjevalniki

  28. Varovanje odjemalcev • Izbira brskalnika • DNS napad je neodvisen od odjemalca in brskalnika • Rešitev je izključitev jave • IE • Protected mode • Integrity levels

  29. Agenda • Zgodovina spletnih napadov • Sporočila o napakah • Google hacking • Injection napadi • Od strežnika do odjemalca • Varovanje odjemalcev • Povzetek

  30. PovzetekZa varnejše strežnike in omrežja • DDoS napadi • Konfiguracija omrežja • Zakaj izhod iz DMZ? • Nameščeni popravki (OS, aplikacije, …) • Varovanje informacij (Google hacking) • Šifriranje podatkov • Uporaba NTFS (na IIS strežniku) • Ločevanje razvojnega in prod. okolja

  31. PovzetekZa varnejše strežnike in omrežja • Napadi na aplikacije • Varno napisane spletne aplikacije • Rutinsko preverjanje vseh sprememb • Testiranje z različnimi orodji • Uporaba aplikacijskih filtrov • ISA • URL Scan

  32. Povzetek Za varnejše strežnike in omrežja • “Web hosting” • Bo potencialno varoval vaše omrežje • Kadar ni možno preveriti izvorne kode • Druge spletne strani lahko potencialno ogrozijo vašo spletno stran

  33. Q&A www.krneki.net/BE www.krneki.net

More Related