of 22 /22
Securitatea aplicatiilor online

Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Embed Size (px)

DESCRIPTION

Prezentarea "Securitatea Aplicatiilor Online" de la ODO realizata de Berescu Ciprian de la Play the Balls.

Text of Prezentarea "Securitatea Aplicatiilor Online" de la ODO

  • 1. Securitatea aplicatiilor online

2. Vulnerabilitati 3. Solutii folosite

  • Servere WEB (IIS, Apache)
  • Database (MySql,Oracle, MSSQL)
  • Interpretoare (Php, PERL, ASP)

4. Codul scris

  • SQL injection
  • XSS
  • CSRF/XSRF
  • Email Injection
  • Directory traversal

5. Network

    • MITM attack

6. SQL Injection

  • Atac asupra bazei de date

http://www.example.com/view.php?id_cat=4 "SELECT * FROM data WHERE id_category = " +$_GET[id]+ ";"http://www.example.com/view.php?id_cat=4 OR 1=1 "SELECT * FROM data WHERE id = 1 OR 1=1;"OR 1=1 7. why ?

  • Furtul de informatii
  • Alterarea datelor
  • Just for the fun of it
  • Se intampla si la case mai mari
    • 2007 Microsoft UK
    • 2007 UN web site
    • 2008 Kaspersky website

8. Protectie

  • Tot input-ul trebuie verificat
  • Criptarea datelor importante
  • Backup zilnic
  • Update la database server

9. Demonstratie 10. XSS

  • Input-ul nu este verificat
  • Este acceptat input-ul de HTML
  • Tipuri :
    • Non-persistent
    • Persistent

11. Non-persistent http://www.example.com?search.php?s= 12. Rezultatul : 13. persistent 14. CSRF/XSRF

  • Impotriva site-urilor care folosescautentificarile din coockie/session
  • Hacker-ul are informatii despre site-ul pe care victima are access

15. Email injection 16. Codul din spate Nu verificam input-ul String-ul trimis la serverul de mail : 17. Directory traversal HTTP requests 18. 19. MITM attack 20.

  • Transferul datelor

21. Demonstratie 22. Concluzii

  • Verifica tot input-ul
  • Informatii criptate
  • Back-up
  • Users cant be trusted
  • Fii paranoic