Безопасность интернет-приложений осень 2013 лекция 5
Upcoming SlideShare
Loading in...5
×
 

Безопасность интернет-приложений осень 2013 лекция 5

on

  • 151 views

 

Statistics

Views

Total Views
151
Views on SlideShare
106
Embed Views
45

Actions

Likes
0
Downloads
4
Comments
0

1 Embed 45

https://tech-mail.ru 45

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Безопасность интернет-приложений осень 2013 лекция 5 Безопасность интернет-приложений осень 2013 лекция 5 Presentation Transcript

  • «Кто?» «Что разрешено?» «Что делал?» 2
  • WEB AAA ldap, radius, soap Log 3
  • Html form-based OpenID Multifactor http basic auth/digest auth SSL certs/smartcards 4
  • - Пустое значение Слишком короткий Пароль = логин Пароль по умолчанию Словарный пароль 5
  • 6
  • рабочая станция роутер локальная сеть хостинг провайдер 7
  • - SSL/TLS - Challenge-response 8
  • - Периодическая смена (устаревание) - Смена при инциденте (disaster plan) Типичные ошибки: - Сообщение «пользователь отсутствует» - Отсутствие подтверждения старого пароля - Отсутствие защиты от перебора старого пароля - csrf 9
  • - Оповещение ссылкой на смену - Смена при следующем входе - Создание и отправка нового 10
  • Типичные ошибки: - Простые челленджи (секретные вопросы) - Подбор секретного вопроса - Раскрытие данных пользователя - Логин при вводе правильного челленджа - Отправка кода восстановления на указанный адрес/номер - Подбор «одноразовой ссылки» 11
  • $nc somehost.com GET / HTTP/1.1 Host: somehost.com Cookie: Storeduser=mike HTTP/1.1 200 Ok Server: nginx Date: Fri, 12 Nov 2012 14:42:04 GMT Content-Type: text/html; charset=UTF-8 Connection: close Set-Cookie: session=mike:0b0a2371cc93f46b; secure; HttpOnly Content-Length: 5279 12
  • trim(passwd): “ pass”, “pass”, “p.ass”,”@@pass” substr(passwd,0,8): “password”,”password1234” tolower(passwd):”password”,”PASSWORD”,”Password” 13
  • Типичные ошибки: - Отправка пароля в открытом виде по email - Бессрочный “account activation” - Подбираемый “account activation” 14
  • Типичные ошибки: - store(passwd) - store(md5(passwd)) - store(customcrypt(passwd)) 15
  • - ошибки создания сессии - ошибки валидации - ошибки хранения 16
  • randomseed(const); session = md5(rand()); session = base64(“user:”+login + “date:”+date); session = md5(passwd); session = md5(timestamp()+passwd); session = encrypt(user.data); 17
  • GET-метод: somesite.com?sess=0102030010394&a=1 - Попадание в логи - Кеш поиска - Реферреры Даунгрейд с https к http - Перехват на сетевом уровне 18
  • админ модератор пользователь Чтение сообщений САЙТ Модерация Изменение настроек 19
  • админ модератор пользователь Чтение сообщений САЙТ Модерация Изменение настроек 20
  • админ модератор пользователь Чтение сообщений САЙТ Модерация Изменение настроек 21
  • админ модератор пользователь Чтение сообщений САЙТ Модерация Изменение настроек 22
  • админ модератор пользователь Чтение сообщений САЙТ Модерация Изменение настроек 23
  • админ модератор пользователь Чтение сообщений САЙТ Модерация Изменение настроек 24
  • - Прямой вызов ресурса - Контроль доступа параметром - Нарушение последовательности вызовов - Контроль доступа реферерром - Контроль по местоположению 25
  • Выбор товаров Переход в корзину Оплата Доставка 26
  • Выбор товаров Переход в корзину Оплата Доставка 27
  • Выбор товаров Переход в корзину Оплата Доставка 28
  • LET’S PLAY! 29
  • Set-Cookie: hand=10,J,Q,K,A Set-Cookie: hand=2,3,5,J,Q 30
  • Cookie: hand=10,J,Q,K,A 31
  • Cookie: hand=10,J,Q,K,A WIN! Cookie: hand=Q,Q,Q,Q,Q 32