22
Securitatea aplicatiilor online

Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Embed Size (px)

DESCRIPTION

Prezentarea "Securitatea Aplicatiilor Online" de la ODO realizata de Berescu Ciprian de la Play the Balls.

Citation preview

Page 1: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Securitatea aplicatiilor online

Page 2: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Vulnerabilitati

Page 3: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Solutii folosite

•Servere WEB (IIS, Apache)

•Database (MySql,Oracle, MSSQL)

• Interpretoare (Php, PERL, ASP)

Page 4: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Codul scris

•SQL injection

•XSS

•CSRF/XSRF

•Email Injection

•Directory traversal

Page 5: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Network

• MITM attack

Page 6: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

SQL Injection• Atac asupra bazei de date

http://www.example.com/view.php?id_cat=4

"SELECT * FROM data WHERE id_category = " + $_GET[‘id’] + ";"

http://www.example.com/view.php?id_cat=4 OR 1=1

"SELECT * FROM data WHERE id = 1 OR 1=1;"

OR 1=1

Page 7: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

why ?

•Furtul de informatii•Alterarea datelor• Just for the fun of it

•Se intampla si la case mai mari ▫2007 Microsoft UK ▫2007 UN web site▫2008 Kaspersky website

Page 8: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Protectie

•Tot input-ul trebuie verificat

•Criptarea datelor importante

•Backup zilnic

•Update la database server

Page 9: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Demonstratie

Page 10: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

XSS

• Input-ul nu este verificat•Este acceptat input-ul de HTML•Tipuri :

▫Non-persistent

▫Persistent

Page 11: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Non-persistent

http://www.example.com?search.php?s=<script>alert(document.cookie)</script>

Page 12: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Rezultatul :

Page 13: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

persistent

Page 14: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

CSRF/XSRF

• Impotriva site-urilor care folosesc autentificarile din coockie/session

• “Hacker-ul” – are informatii despre site-ul pe care victima are access

<img src=“http://www.other-example.com?deleteuser.php?u=vasile” />

Page 15: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Email injection

Page 16: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Codul din spateNu verificam input-ul

String-ul trimis la serverul de mail :

Page 17: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Directory traversal

HTTP requests

Page 18: Prezentarea "Securitatea Aplicatiilor Online" de la ODO
Page 19: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

MITM attack

Page 20: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

•Transferul datelor

Page 21: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Demonstratie

Page 22: Prezentarea "Securitatea Aplicatiilor Online" de la ODO

Concluzii

•Verifica tot input-ul

•Informatii criptate

•Back-up

•Users can’t be trusted

•Fii paranoic