• Like
Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

  • 129 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
129
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
2
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis, CISSP, GPEN DPA infrastruktūras un drošības virziena vadītājs
  • 2. Saturs
  • 3. Didzis Balodis • DPA IT drošības un infrastruktūras virziena vadītājs • Vairāk kā 10 gadi IT industrijā (sākot no 1999.g) • Administrēšana, izstrāde, drošība • Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās testi (veikti vairāk kā 50 auditi) • Hobijs - bezvadu tīklu drošība • Sertifikāti: • CISSP- Certified Information System Security Professional • GPEN – GIAC Certified Penetration Tester
  • 4. Statistika gadījumu web aplikācija satur vismaz augsta riska ievainojamību
  • 5. OWASP TOP 10 A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
  • 6. Trustwave pētījums
  • 7. Viegli... Arī web lietojumu drošībā statistika ir nemainīga:
  • 8. Sekas Klientu dati publiski pieejami Publiskota organizācijas iekšējā informācija Reputācijas zaudējumi Administratīvā atbildība (FPDAL) Sistēmu nepieejamība Finanšu zaudējumi
  • 9. Piemērs
  • 10. Piemērs
  • 11. Piemērs
  • 12. DEMO TIME
  • 13. SQLi http://somesystem.lv/ gettextLang=0&usr_login=login ' AND (SELECT 4747 FROM (SELECT COUNT(*),CONCAT(0x3a76796a3a, (SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)), 0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
  • 14. Failu upload
  • 15. Proaktīva rīcība Lai izvairītos no nepatīkamas situācijas - pirms to izdarījis kāds cits...
  • 16. DPA piedāvājums IT auditi un ielaušanās testēšana: Atbilstības auditi LR normatīviem un labākās prakses standartiem Ievainojamību skanēšana Tīkla ielaušanās testi Bezvadu tīklu auditi Web aplikāciju drošības testēšana Sociālās inženierijas testēšana Darbinieku IT drošības apmācība
  • 17. Sertifikāti
  • 18. Paldies!