Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

150
-1

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
150
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

  1. 1. Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis, CISSP, GPEN DPA infrastruktūras un drošības virziena vadītājs
  2. 2. Saturs
  3. 3. Didzis Balodis • DPA IT drošības un infrastruktūras virziena vadītājs • Vairāk kā 10 gadi IT industrijā (sākot no 1999.g) • Administrēšana, izstrāde, drošība • Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās testi (veikti vairāk kā 50 auditi) • Hobijs - bezvadu tīklu drošība • Sertifikāti: • CISSP- Certified Information System Security Professional • GPEN – GIAC Certified Penetration Tester
  4. 4. Statistika gadījumu web aplikācija satur vismaz augsta riska ievainojamību
  5. 5. OWASP TOP 10 A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
  6. 6. Trustwave pētījums
  7. 7. Viegli... Arī web lietojumu drošībā statistika ir nemainīga:
  8. 8. Sekas Klientu dati publiski pieejami Publiskota organizācijas iekšējā informācija Reputācijas zaudējumi Administratīvā atbildība (FPDAL) Sistēmu nepieejamība Finanšu zaudējumi
  9. 9. Piemērs
  10. 10. Piemērs
  11. 11. Piemērs
  12. 12. DEMO TIME
  13. 13. SQLi http://somesystem.lv/ gettextLang=0&usr_login=login ' AND (SELECT 4747 FROM (SELECT COUNT(*),CONCAT(0x3a76796a3a, (SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)), 0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
  14. 14. Failu upload
  15. 15. Pakalpojuma atteice
  16. 16. Proaktīva rīcība Lai izvairītos no nepatīkamas situācijas - pirms to izdarījis kāds cits...
  17. 17. DPA piedāvājums IT auditi un ielaušanās testēšana: Atbilstības auditi LR normatīviem un labākās prakses standartiem Ievainojamību skanēšana Tīkla ielaušanās testi Bezvadu tīklu auditi Web aplikāciju drošības testēšana Sociālās inženierijas testēšana Darbinieku IT drošības apmācība
  18. 18. Sertifikāti
  19. 19. Paldies!

×