SlideShare a Scribd company logo

Application security? Firewall it!

Download as PPTX, PDF
Positive Hack Days
Positive Hack Days

Ведущий: Эльдар Бейбутов Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.

Technology
1 of 17
Application Security? Firewall it. БЕЙБУТОВ ЭЛЬДАР eldar.beybutov@gmail.com SecurityTrace.ru
Статистика по защите веб-приложений Очень низкая Низкая Средняя Высокая Не удалось в заданных границах
Классификация угроз WASC
Программная реализация подпроцессов. Последовательность подпроцессов функции. Конкретный функционал приложения. Построение функциальности приложения Выдача данных Перевод средств Обратная связь Создание и обработка форм Выполнение запросов к БД Манипуляция данными .NET / JAVA … Python / Perl …. SQL / LDAP / SSI … Бизнес функция Процессная логика Исполняемая логика
Бизнес функция Процессная логика Исполняемая логика Перевод средств между пользователями. Аутентификация пользователя. query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; Создание сессии. session_start(); $_SESSION[‘username’] = $user; Формирование форм пользователя. echo “<html><form method=“GET”>"; print_r($_SESSION); echo "</html></form>"; Обработка формы перевода средств. Списание средств по реквизитам. Начисление средств по реквизитам. $sender = $_SESSION[ ‘username’ ] $amount = $_POST[ ‘amount’ ]; $receiver = $_POST[ ‘receiver’ ]; transaction($sender, $receiver, $amount); Пример выстроенной функциональности
$query = "SELECT * FROM `users` WHERE user = '$_GET[ 'username' ]' AND password = ' $_GET[ ‘Password' ] ';"; $query = "SELECT * FROM `users` WHERE user = 'admin’ OR 1=1 #' AND password = '$pass';"; Атака на исполняемую логику После внедрения данных пользователя меняется структура / смысл запроса.
Угрозы исполняемой логики Инъекции: SQL, XPATH, LDAP, SSI. Удаленное выполнение кода Переполнение буфера Межсайтовое выполнение сценариев Атака на функции форматирования строк Расщепление HTTP-запроса Получаемые данные логику исполнения кода. Получаемые данные попадают в исполняемую область программы. Используются слабые математические преобразования. Угрозы исполняемой логики
Атака на процессную логику На основе результата аутентификации прикрепляется cookie. По cookie создается форма перевода средств. Ожидается прием заполненной формы. При обработке не проверяется аутентичность отправителя и авторизация доступа. Прямое обращение к процессу обработки формы перевода средств является несанкционированным доступом, при этом Нарушение исполняемой логики не происходит, однако угроза реализована. Прямой доступ
Угрозы процессной логики Логические атаки, недостаточная валидация процесса. Недостаточная аутентификация. Недостаточная авторизация. Прямое обращение к ресурсам. Небезопасное восстановление пароля. Фиксация сессий. Перебор идентификаторов доступа. Небезопасные идентификаторы сессий. Нет разграничения доступа. Можно нарушить последовательность выполнения подпроцессов. Недостаточная проверка данных от процессов других функций. Угрозы процессной логики
Атака на бизнес функцию Злоумышленник заражает пользователя приложения по неконтролируемому каналу данных, крадет учетную запись и от его имени выполняет операции по переводу средств. При этом Нарушение процессной и исполняемой логики не происходит, однако ущерб нанесен.
Угрозы бизнес функции Человек по середине, человек в браузере. Вирусное заражение пользователя Недостаточное противодействие автоматизации Злоупотребление функциональными возможностями Кража учетных данных Отказ в обслуживании Доступ был скомпрометирован на стороне и похищен злоумышленником. Интенсивность использования бизнес функции наносит вред бизнесу. Взаимодействие выполняется не человеком, а автоматизировано машиной. Угрозы бизнес функций
Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение Необходимо срочно повышать защищенность исполняемой и процессной логики.
Безопасность с помощью Web Application Firewall Машинное обучение Эвристический анализ Корреляции Усиление прикладного уровня • Доступ по модели белых списков • Защита от неизвестных уязвимостей • Определение скрытых попыток взлома • Независимость от сигнатур • Высокая эффективность • Определение опасных функций сайта • Проверка по RFC • Внедрение защищающих HTTP заголовков • Нормализация • Защита процессной логики (CSRF, Cookie protection, URL protection) • Определение цепочек атак • SIEM корреляции на уровне приложения • Заложенные правила выявления атак • Верификация атак встроенным сканером HTTP
Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение защищенное Web Application Firewall. Защищенность исполняемой и процессной логики существенно возросла. Но теперь самое слабое звено, это защищенность бизнес функций, и злоумышленники будут прикладывать усилия для совершения мошеннических операций с целью нанести ущерб и извлечь из этого выгоду.
Технология позволяющая защитить веб-приложение от вредоносной активности, используя машинное изучение поведения, технологическую разведку и продвинутую корреляцию. Интеллектуальный поведенческий анализ 219 Краулинг Отказ в обслуживании АвтоматизацияКража учетки Вирусное заражение Эксплуатация функциональности Машинное изучение поведения • Уникальность запросов • Статистика кодов ответа • Связанные события безопасности • Используемые методы • Время ответа • Временные рамки взаимодействия • Переходы по приложению Технологическая разведка • Отслеживание мыши • Сканирование устройства • Сканирование браузерного окружения • Доступ к скрытому от глаз функционалу • Попытка эксплуатации симулируемых уязви • Использование репарационных баз
Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение защищенное WAF с интеллектуальным поведенческим анализом.
Спасибо! eldar.beybutov@gmail.com SecurityTrace.ru

Recommended

Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Безопасность Drupal сайтов
Безопасность Drupal сайтовБезопасность Drupal сайтов
Безопасность Drupal сайтов
Eugene Fidelin
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
 
Максим Кочкин (Wamba)
Максим Кочкин (Wamba)Максим Кочкин (Wamba)
Максим Кочкин (Wamba)
Ontico
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
Yandex
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
yaevents
 
Securing Rails Applications
Securing Rails ApplicationsSecuring Rails Applications
Securing Rails Applications
Alexander Kirillov
 

Recommended

Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Безопасность Drupal сайтов
Безопасность Drupal сайтовБезопасность Drupal сайтов
Безопасность Drupal сайтов
Eugene Fidelin
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
Sergey Belov
 
Максим Кочкин (Wamba)
Максим Кочкин (Wamba)Максим Кочкин (Wamba)
Максим Кочкин (Wamba)
Ontico
 
Где прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий ЗемсковГде прячутся мобильные вирусы — Григорий Земсков
Где прячутся мобильные вирусы — Григорий Земсков
Yandex
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
yaevents
 
Securing Rails Applications
Securing Rails ApplicationsSecuring Rails Applications
Securing Rails Applications
Alexander Kirillov
 
Е. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтовЕ. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
Andrew Petukhov
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первым
Positive Hack Days
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
revisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
revisium
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
revisium
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Security
kappa
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
Kateryna Ovechenko
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
Аспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииАспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятии
Positive Hack Days
 
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Positive Hack Days
 

More Related Content

What's hot

Е. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтовЕ. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 

What's hot (20)

Е. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтовЕ. Фиделин Безопасность Drupal сайтов
Е. Фиделин Безопасность Drupal сайтов
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первым
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Security
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
 

Viewers also liked

Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Positive Hack Days
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAP
Positive Hack Days
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
Positive Hack Days
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играх
Positive Hack Days
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
Positive Hack Days
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
Positive Hack Days
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
Positive Hack Days
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
Positive Hack Days
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
Positive Hack Days
 
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Positive Hack Days
 
Безопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаБезопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без друга
Positive Hack Days
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
Positive Hack Days
 

Viewers also liked (20)

Аспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииАспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятии
 
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
 
Fingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare InfrastructureFingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare Infrastructure
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAP
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играх
 
Ковбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградойКовбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградой
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
 
Использование KASan для автономного гипервизора
Использование KASan для автономного гипервизораИспользование KASan для автономного гипервизора
Использование KASan для автономного гипервизора
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
 
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
Если нашлась одна ошибка — есть и другие. Один способ выявить «наследуемые» у...
 
Строим ханипот и выявляем DDoS-атаки
Строим ханипот и выявляем DDoS-атакиСтроим ханипот и выявляем DDoS-атаки
Строим ханипот и выявляем DDoS-атаки
 
Безопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаБезопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без друга
 
Метод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных именМетод машинного обучения для распознавания сгенерированных доменных имен
Метод машинного обучения для распознавания сгенерированных доменных имен
 
Страх и ненависть в телеком-операторах
Страх и ненависть в телеком-операторахСтрах и ненависть в телеком-операторах
Страх и ненависть в телеком-операторах
 
Мобильная связь небезопасна. Аргументы, подкрепленные фактами
Мобильная связь небезопасна. Аргументы, подкрепленные фактамиМобильная связь небезопасна. Аргументы, подкрепленные фактами
Мобильная связь небезопасна. Аргументы, подкрепленные фактами
 

Similar to Application security? Firewall it!

безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
безопасность
безопасностьбезопасность
безопасность
Shoplist
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
Softline
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматов
Expolink
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
yaevents
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Konstantin Matyukhin
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова мария
Glib Pakharenko
 

Similar to Application security? Firewall it! (20)

безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Безопасность
БезопасностьБезопасность
Безопасность
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
безопасность
безопасностьбезопасность
безопасность
 
Информационная безопасность в аспекте веб-разработки
Информационная безопасность в аспекте веб-разработкиИнформационная безопасность в аспекте веб-разработки
Информационная безопасность в аспекте веб-разработки
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматов
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова мария
 

More from Positive Hack Days

Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Application security? Firewall it!

  • 1. Application Security? Firewall it. БЕЙБУТОВ ЭЛЬДАР eldar.beybutov@gmail.com SecurityTrace.ru
  • 2. Статистика по защите веб-приложений Очень низкая Низкая Средняя Высокая Не удалось в заданных границах
  • 4. Программная реализация подпроцессов. Последовательность подпроцессов функции. Конкретный функционал приложения. Построение функциальности приложения Выдача данных Перевод средств Обратная связь Создание и обработка форм Выполнение запросов к БД Манипуляция данными .NET / JAVA … Python / Perl …. SQL / LDAP / SSI … Бизнес функция Процессная логика Исполняемая логика
  • 5. Бизнес функция Процессная логика Исполняемая логика Перевод средств между пользователями. Аутентификация пользователя. query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; Создание сессии. session_start(); $_SESSION[‘username’] = $user; Формирование форм пользователя. echo “<html><form method=“GET”>"; print_r($_SESSION); echo "</html></form>"; Обработка формы перевода средств. Списание средств по реквизитам. Начисление средств по реквизитам. $sender = $_SESSION[ ‘username’ ] $amount = $_POST[ ‘amount’ ]; $receiver = $_POST[ ‘receiver’ ]; transaction($sender, $receiver, $amount); Пример выстроенной функциональности
  • 6. $query = "SELECT * FROM `users` WHERE user = '$_GET[ 'username' ]' AND password = ' $_GET[ ‘Password' ] ';"; $query = "SELECT * FROM `users` WHERE user = 'admin’ OR 1=1 #' AND password = '$pass';"; Атака на исполняемую логику После внедрения данных пользователя меняется структура / смысл запроса.
  • 7. Угрозы исполняемой логики Инъекции: SQL, XPATH, LDAP, SSI. Удаленное выполнение кода Переполнение буфера Межсайтовое выполнение сценариев Атака на функции форматирования строк Расщепление HTTP-запроса Получаемые данные логику исполнения кода. Получаемые данные попадают в исполняемую область программы. Используются слабые математические преобразования. Угрозы исполняемой логики
  • 8. Атака на процессную логику На основе результата аутентификации прикрепляется cookie. По cookie создается форма перевода средств. Ожидается прием заполненной формы. При обработке не проверяется аутентичность отправителя и авторизация доступа. Прямое обращение к процессу обработки формы перевода средств является несанкционированным доступом, при этом Нарушение исполняемой логики не происходит, однако угроза реализована. Прямой доступ
  • 9. Угрозы процессной логики Логические атаки, недостаточная валидация процесса. Недостаточная аутентификация. Недостаточная авторизация. Прямое обращение к ресурсам. Небезопасное восстановление пароля. Фиксация сессий. Перебор идентификаторов доступа. Небезопасные идентификаторы сессий. Нет разграничения доступа. Можно нарушить последовательность выполнения подпроцессов. Недостаточная проверка данных от процессов других функций. Угрозы процессной логики
  • 10. Атака на бизнес функцию Злоумышленник заражает пользователя приложения по неконтролируемому каналу данных, крадет учетную запись и от его имени выполняет операции по переводу средств. При этом Нарушение процессной и исполняемой логики не происходит, однако ущерб нанесен.
  • 11. Угрозы бизнес функции Человек по середине, человек в браузере. Вирусное заражение пользователя Недостаточное противодействие автоматизации Злоупотребление функциональными возможностями Кража учетных данных Отказ в обслуживании Доступ был скомпрометирован на стороне и похищен злоумышленником. Интенсивность использования бизнес функции наносит вред бизнесу. Взаимодействие выполняется не человеком, а автоматизировано машиной. Угрозы бизнес функций
  • 12. Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение Необходимо срочно повышать защищенность исполняемой и процессной логики.
  • 13. Безопасность с помощью Web Application Firewall Машинное обучение Эвристический анализ Корреляции Усиление прикладного уровня • Доступ по модели белых списков • Защита от неизвестных уязвимостей • Определение скрытых попыток взлома • Независимость от сигнатур • Высокая эффективность • Определение опасных функций сайта • Проверка по RFC • Внедрение защищающих HTTP заголовков • Нормализация • Защита процессной логики (CSRF, Cookie protection, URL protection) • Определение цепочек атак • SIEM корреляции на уровне приложения • Заложенные правила выявления атак • Верификация атак встроенным сканером HTTP
  • 14. Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение защищенное Web Application Firewall. Защищенность исполняемой и процессной логики существенно возросла. Но теперь самое слабое звено, это защищенность бизнес функций, и злоумышленники будут прикладывать усилия для совершения мошеннических операций с целью нанести ущерб и извлечь из этого выгоду.
  • 15. Технология позволяющая защитить веб-приложение от вредоносной активности, используя машинное изучение поведения, технологическую разведку и продвинутую корреляцию. Интеллектуальный поведенческий анализ 219 Краулинг Отказ в обслуживании АвтоматизацияКража учетки Вирусное заражение Эксплуатация функциональности Машинное изучение поведения • Уникальность запросов • Статистика кодов ответа • Связанные события безопасности • Используемые методы • Время ответа • Временные рамки взаимодействия • Переходы по приложению Технологическая разведка • Отслеживание мыши • Сканирование устройства • Сканирование браузерного окружения • Доступ к скрытому от глаз функционалу • Попытка эксплуатации симулируемых уязви • Использование репарационных баз
  • 16. Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение защищенное WAF с интеллектуальным поведенческим анализом.

Editor's Notes

  1. Порепетировать, облегчить. Слова попроще.
  2. С помощью развития данных атак возможно получить полный контроль над приложением и заставить его выполнять произвольную логику. Эксплуатация таких уязвимостей интересна даже в тех случаях, когда нечего красть из приложения – его можно использовать как часть ботнета или пользоваться наработанным кредитом доверия для распространения подложной информации, вирусов.
  3. Логические атаки приводят к тому, что функции приложения могут выполняться вне зависимости от желания пользователей и даже администраторов систем. Злоумышленник может решать за других какой функционал и с какими параметрами использовать от их имени использовать, в целях извлечения для себя максимальной выгоды. Пример: Администратор использует для управления сетью веб-приложения подверженное атака на исполняемую логику. Это позволяет злоумышленнику подделать запрос через CSRF атаку на администратора и перехватить управление. Информация должна предоставляться только людям, кто имеет доступ. Но так как процессы проверки и выдачи информации не связаны, можно обратиться к информации напрямую без прав. Выдаваемые идентификаторы могут быть подвержены предсказуемости/небезопасности(в куке написано, что он админ), возможно есть возможность зафиксировать сессию.
  4. Атака на интенсивность. Атака на отказ в обслуживании. Мошенничество. Смысл в том, что бизнес функция решает определенную бизнес задачу. При разработке концепции решения этой задачи, подразумевается, что на вход будут подаваться определенные воздействия, а на выходе будет получен результат, который поможет развитию бизнеса в общем и целом. Например, возможность оставлять комментарии к продуктам и услугам на сайте ДОЛЖНА помогать делать их лучше. Но что если была слита база данных учетных записей популярного сервиса знакомств, часть пользователей которых являются и вашими клиентами тоже, при этом злоумышленник автоматизировал процедуру входа на сайт под скомпрометированной учеткой и оставления негативного комментария. В таком случае мы говорим о том, что это не помогает делать продукты и услуги лучше, потому что злоумышленник нарушил ЛОГИКУ решения бизнес задачи, то есть бизнес функции и ИЗВЛЕКАЕТ из этого прибыль.
  5. На данном этапе атака на бизнес функцию является наиболее трудным вариантом. Писать вирусы, разрабатывать скрипты автоматизации, атаковать клиентов и скупать базы данных является дорогостоящим занятием, связанным с высоким риском. Атака на процессную логику достаточно легко провести ввиду распространенной подверженности логическим атакам, и плохого разграничения доступа. Но им подвержены не все веб-приложения, в случае когда при разработке приложений были правильно описаны все процессы и под процессы приложения удается защититься от атак на логику. Защищенности исполняемой логики практически нет. Взрыв технологического стека веб-приложений привел к появлению целого класса уязвимостей которым подвержены практически все приложения.
  6. User Entity Behavior Analytics was and will be one of our most important technology which we are investing are resources. Before UEBA trend takes advantages in market our product was contain Anomaly Protector, which distinguish character of user interaction between them in one-to-many comparison. Today we strengthened this technology that helps protect web applications from malicious activity using machine learning behavior analyze, threat intelligence, peer group analytics and advanced correlation. UEBA is most important thing in Fraud prevention, working together with injected JS, it can detects anomaly automated activity and detect user anomaly behavior.