Web lietojumu biežāk pieļautās
kļūdas un to risinājumi.
Didzis Balodis, CISSP, GPEN
DPA infrastruktūras un drošības virzie...
Saturs
Didzis Balodis
• DPA IT drošības un infrastruktūras virziena vadītājs
• Vairāk kā 10 gadi IT industrijā (sākot no 1999.g)
...
Statistika
gadījumu web aplikācija satur vismaz
augsta riska ievainojamību
OWASP TOP 10
A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session
Management
A3-Cross-Site Scripti...
Trustwave pētījums
Viegli...
Arī web lietojumu drošībā statistika
ir nemainīga:
Sekas
Klientu dati
publiski pieejami
Publiskota
organizācijas
iekšējā informācija
Reputācijas
zaudējumi
Administratīvā
atb...
Piemērs
Piemērs
Piemērs
DEMO TIME
SQLi
http://somesystem.lv/ gettextLang=0&usr_login=login
' AND (SELECT 4747 FROM
(SELECT COUNT(*),CONCAT(0x3a76796a3a,
(SE...
Failu upload
Proaktīva rīcība
Lai izvairītos no nepatīkamas situācijas -
pirms to izdarījis kāds cits...
DPA piedāvājums
IT auditi un ielaušanās testēšana:
Atbilstības auditi LR normatīviem un labākās prakses
standartiem
Ievain...
Sertifikāti
Paldies!
Upcoming SlideShare
Loading in …5
×

Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

326 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
326
On SlideShare
0
From Embeds
0
Number of Embeds
46
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

  1. 1. Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis, CISSP, GPEN DPA infrastruktūras un drošības virziena vadītājs
  2. 2. Saturs
  3. 3. Didzis Balodis • DPA IT drošības un infrastruktūras virziena vadītājs • Vairāk kā 10 gadi IT industrijā (sākot no 1999.g) • Administrēšana, izstrāde, drošība • Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās testi (veikti vairāk kā 50 auditi) • Hobijs - bezvadu tīklu drošība • Sertifikāti: • CISSP- Certified Information System Security Professional • GPEN – GIAC Certified Penetration Tester
  4. 4. Statistika gadījumu web aplikācija satur vismaz augsta riska ievainojamību
  5. 5. OWASP TOP 10 A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
  6. 6. Trustwave pētījums
  7. 7. Viegli... Arī web lietojumu drošībā statistika ir nemainīga:
  8. 8. Sekas Klientu dati publiski pieejami Publiskota organizācijas iekšējā informācija Reputācijas zaudējumi Administratīvā atbildība (FPDAL) Sistēmu nepieejamība Finanšu zaudējumi
  9. 9. Piemērs
  10. 10. Piemērs
  11. 11. Piemērs
  12. 12. DEMO TIME
  13. 13. SQLi http://somesystem.lv/ gettextLang=0&usr_login=login ' AND (SELECT 4747 FROM (SELECT COUNT(*),CONCAT(0x3a76796a3a, (SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)), 0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
  14. 14. Failu upload
  15. 15. Proaktīva rīcība Lai izvairītos no nepatīkamas situācijas - pirms to izdarījis kāds cits...
  16. 16. DPA piedāvājums IT auditi un ielaušanās testēšana: Atbilstības auditi LR normatīviem un labākās prakses standartiem Ievainojamību skanēšana Tīkla ielaušanās testi Bezvadu tīklu auditi Web aplikāciju drošības testēšana Sociālās inženierijas testēšana Darbinieku IT drošības apmācība
  17. 17. Sertifikāti
  18. 18. Paldies!

×