Your SlideShare is downloading. ×
Cum imi pot securiza magazinul online
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Cum imi pot securiza magazinul online

933
views

Published on

Care sunt principalele vulnerabilitati ale unui magazin online si care sunt efectele acestora - Alexandru Molodoi, CTO GECAD NET

Care sunt principalele vulnerabilitati ale unui magazin online si care sunt efectele acestora - Alexandru Molodoi, CTO GECAD NET

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
933
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CUM ş i DE CE s ă î mi securizez magazinul online
    • Alexandru Molodoi
    • Chief Technical Officer GECAD NET
    • Scoala de Afaceri ePayment, 26.02.2009
  • 2. Agenda
    • Despre GECAD NET
    • Securitatea informatiei
    • Top vulnerabilitati magazine online
    • Nu am un magazin online securizat. Ce se poate intampla?
    • Ce pot sa fac pentru a-mi securiza site-ul?
  • 3. Despre GECAD NET
    • Cunoscuti pana in 2003 ca producator de tehnologii antivirus.
    • Dupa 2003, GECAD devine Grup iar in cadrul sau, GECAD NET continua traditia in securitate IT.
    • In 2006, GECAD NET lanseaza propria solutie de securitate.
    • SENTINET , care evalueaz a infrastructura IT, o monitorizeaz a , alerteaz a s i raporteaz a incidentele din re t eaua companiei s i nu numai.
    • Din 2009 GECAD NET extinde parteneriatul cu Kaspersky atat in Romania cat si in Bulgaria pentru comercializarea solutilor de business.
    • Focus pe servicii profesionale de IT pentru mediul business.
  • 4. Securitatea informatiei
  • 5. Vulnerabilitati
    • SQL Injection
    • Cross Site Scripting (XSS)
    • Parameter tampering
    • Cookie Poisoning
    • Denial of Service (DoS)
  • 6. Impactul atacurilor
    • Furtul, modificarea sau distrugerea informatiilor din bazele de date
    • Furtul identitatii clientilor
    • Efectuarea de tranzactii online de catre atacator in numele utilizatorului atacat
    • Preluarea controlului total asupra website-ului sau chiar a serverului
    • Modificarea paginilor – dezinformare sau compromiterea imaginii magazinului online
    • Indisponibilitatea website-ului
  • 7. SQL Injection
    • SQL Injection este o vulnerabilitate ce apare atunci cand datele primite de la utilizator nu sunt verificate corect ci pasate direct catre baza de date . In consecinta atacatorul poate schimba cererea la baza de date .
    • Vectori de atac:
    • Formulare
    • Search box-uri
    • Parametri din URL
  • 8. SQL Injection
    • Efecte
      • Furt de date (tabele intregi) (SELECT * FROM …)
      • Modificare continut website (UPDATE tabel SET …)
      • Distrugere de date (DELETE FROM …)
      • Furtul identitatii utilizatorilor
      • Efectuare de tranzactii online de cate atacator in numele utilizatorului atacat
      • Preluarea controlului website-ului
      • Indisponibilitatea website-ului
  • 9. Cross Site Scripting (XSS)
    • XSS est e o vulnerabilitate specifica aplicatiilor web ce permite injectare de cod “malitios” in paginile web vizitate de utilizatori vizati .
    • Vectori de atac:
    • Formulare
    • Parametri transmisi prin URL
  • 10. Cross Site Scripting (XSS)
    • Efecte
      • Furtul identitatii utilizatorilor website-ului
      • Efectuarea de tranzactii online in numele altor utilizatori
      • Rularea de continut malitios pe calculatoarele utilizatorilor website-ului
  • 11. Parameter tampering
    • Atacurile de tip Web Parameter Tampering se bazeaza pe manipularea parametrilor transferati intre browser si server. Astfel sunt modificate datele de intrare ale aplicatiei, precum credentialele utilizatorului si parole de acces, preturi si cantitati ale produselor, etc. Aceste informatii sunt de obicei stocate in cookies, campuri invizibile de formulare sau URL Query Strings, si sunt utilizate pentru a creste functionalitatea si controlul asupra aplicatiei.
  • 12. Parameter tampering
    • Efecte
      • Efectuare de comenzi online cu preturi modificate
      • Accesarea de sectiuni neautorizate din website
      • Modificare neautorizata de continut
  • 13. Cookie Poisoning
    • In cazul Cookie Poisoning un atacator poate modifica valorile parametrilor stocati in cookie inainte de a le trimite catre server. Daca, spre exemplu, un cookie stocheaza suma totala pe care un client o datoreaza pentru produsele din cosul sau virtual, printr-o modificare adusa acestei valori atacatorul poate prejudicia proprietarul website-ului ca urmare a platii unei sume mult mai mici pentru cumparaturile sale.
  • 14. Cookie Poisoning
    • Efecte
      • Accesarea de sectiuni neautorizate din website
      • Modificare neautorizata de continut
  • 15. Denial of Service (DoS)
    • Denial of Service este vulnerabilitatea care odata exploatata face aplicatia online indisponibila vizitatorilor. Una din modalitatile de exploatare este de a face un numar mare de cereri incercand saturarea numarului maxim de conexiuni.
  • 16. Denial of Service (DoS)
    • Efect
      • Indisponibilitatea aplicatiei
  • 17.
    • Cum imi protejez website-ul de efectele acestor vulnerabilitati?
  • 18. Definire specificatii si arhitectura
    • Securitatea aplicatiei se trateaza inca de la etapa de definire a specificatiilor si a arhitecturii aplicatiei web astfel incat aplicatia sa fie “Secure by Design”
  • 19. Dezvoltare aplicatie
    • Dezvoltatorii aplicatiei trebuie sa aiba notiuni de securitatea informatiei.
    • Pe parcursul dezvoltarii aplicatiei fiecare modul trebuie verificat si din punct de vedere al securitatii cu instrumente specializate.
  • 20. Release
    • Inainte de lansarea aplicatiei web aceasta trebuie auditata ca un tot unitar pentru vulnerabilitati de
    • platforma (Sistem operare, Apache, PHP, SQL etc.)
    • de aplicatie (aplicatia web propriu-zisa)
  • 21. Auditare periodica
    • Periodic, trebuie auditat aplicatia deoarece:
      • De cele mai multe ori se adauga functionalitati noi adaugate in aplicatie
      • Frecvent sunt descoperite vulnerabilitati noi (de platforma si de aplicatie)
  • 22.
    • Multumesc !
    • Alexandru Molodoi
    • [email_address]
  • 23.
    • Q & A