Defense in Depth Web Inkognito 12/2013

1,068 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,068
On SlideShare
0
From Embeds
0
Number of Embeds
414
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Defense in Depth Web Inkognito 12/2013

  1. 1. DEFENSE IN DEPTH Tisíc a jeden tip pro webovou bezpečnost Michal Špaček @spazef0rze Web Inkognito VŠE www.michalspacek.cz @iz228 prosinec 2013 Slajdy jsou bez mých poznámek, nedávají tedy moc smysl pro toho, kdo na semináři nebyl.
  2. 2. Zdroj: www.adobe.com
  3. 3. Říjen 2013 3 miliony karet + 38 milionů účtů Nebo 150 milionů? Zdrojové kódy
  4. 4. # Count Ciphertext Plaintext -------------------------------------------------------------1. 1911938 EQ7fIpT7i/Q= 123456 2. 446162 j9p+HwtWWT86aMjgZFLzYg== 123456789 3. 345834 L8qbAD3jl3jioxG6CatHBw== password 4. 211659 BB4e6X+b2xLioxG6CatHBw== adobe123 5. 201580 j9p+HwtWWT/ioxG6CatHBw== 12345678 6. 130832 5djv7ZCI2ws= qwerty 7. 124253 dQi0asWPYvQ= 1234567 8. 113884 7LqYzKVeq8I= 111111 9. 83411 PMDTbP0LZxu03SwrFUvYGA== photoshop 10. 82694 e6MPXQ5G6a8= 123123 Zdroj: http://stricture-group.com/files/adobe-top100.txt Michal Špaček www.michalspacek.cz
  5. 5. Zdroj: http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/ Michal Špaček www.michalspacek.cz
  6. 6. Hesla špatně zašifrovaná Hesla v nápovědě v čitelné podobě LOL Michal Špaček www.michalspacek.cz
  7. 7. jan.semcky@firma.seznam.cz kwclmYX4Q9E= Michal Špaček www.michalspacek.cz
  8. 8. lumatch@seznam.cz KwclmYX4Q9E= emajlovej klient vole ajohnson@mynow.co.uk KwclmYX4Q9E= zoznam cz Michal Špaček www.michalspacek.cz
  9. 9. SQL Injection Útočník modifikuje SQL dotaz Michal Špaček www.michalspacek.cz
  10. 10. Michal Špaček www.michalspacek.cz
  11. 11. Michal Špaček www.michalspacek.cz
  12. 12. "… WHERE znacka = '{$_GET['znacka']}'" Michal Špaček www.michalspacek.cz
  13. 13. Michal Špaček www.michalspacek.cz
  14. 14. '… WHERE id = ' . $_GET['id'] Michal Špaček www.michalspacek.cz
  15. 15. ' OR 1=1; -Michal Špaček www.michalspacek.cz
  16. 16. SELECT jmeno, adresa FROM vozidla WHERE rz = '$prectena'; Michal Špaček www.michalspacek.cz
  17. 17. 1AM 1337 SELECT jmeno, adresa FROM vozidla WHERE rz = '1AM 1337'; Michal Špaček www.michalspacek.cz
  18. 18. ' OR 1=1; -SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; Michal Špaček www.michalspacek.cz
  19. 19. Řešení? Prepared statements (PDO) Michal Špaček www.michalspacek.cz
  20. 20. SELECT jmeno, adresa FROM vozidla WHERE rz = ?; ' OR 1=1; -Michal Špaček www.michalspacek.cz
  21. 21. Michal Špaček www.michalspacek.cz
  22. 22. mysql_set_charset() mysql_real_escape_string() Michal Špaček www.michalspacek.cz
  23. 23. Nepoužívat addslashes() proti SQLIA Michal Špaček www.michalspacek.cz
  24. 24. Defense in Depth Fail = SQL Injection + Špatně uložená hesla Michal Špaček www.michalspacek.cz
  25. 25. 323 loginů + SHA-1 hashů hesel crackstation.net Michal Špaček www.michalspacek.cz
  26. 26. crackstation.net 111 cracknutých hesel Michal Špaček www.michalspacek.cz
  27. 27. exoddus Tbvfs1 9plams P1ll3d Neznašov Michal Špaček www.michalspacek.cz
  28. 28. 111 cracknutých hesel 52 k loginu …@seznam.cz Michal Špaček www.michalspacek.cz
  29. 29. 52 loginů …@seznam.cz Kolik stejných hesel jako na Seznam? Michal Špaček www.michalspacek.cz
  30. 30. Zdroj: http://www.flickr.com/photos/77939791@N00/5721058729/
  31. 31. …@email.cz 2z8 …@centrum.cz 3z9 …@gmail.com 1 z 15 Michal Špaček www.michalspacek.cz
  32. 32. hashcat 164 dalších cracknutých hesel Michal Špaček www.michalspacek.cz
  33. 33. 164 dalších cracknutých hesel 2 také použita pro mailbox Michal Špaček www.michalspacek.cz
  34. 34. Email Password! Zdroj: www.twitter.com
  35. 35. v čitelné podobě (v plaintextu) Michal Špaček www.michalspacek.cz
  36. 36. MD5(heslo) SHA1(heslo) CRC32(heslo) Michal Špaček www.michalspacek.cz
  37. 37. Zdroj: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/
  38. 38. MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( heslo )))))))))))))))) )))))))))))))))) Michal Špaček www.michalspacek.cz
  39. 39. Zdroj: http://www.flickr.com/photos/92154034@N00/440515255/
  40. 40. MD5(heslo + salt) SHA1(heslo + salt) Michal Špaček www.michalspacek.cz
  41. 41. bcrypt! Blowfish hashing Michal Špaček www.michalspacek.cz
  42. 42. crypt() salt=$2y$… password_hash() password_verify() Michal Špaček www.michalspacek.cz
  43. 43. scrypt PBKDF2 Michal Špaček www.michalspacek.cz
  44. 44. Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
  45. 45. Zdroj: http://www.flickr.com/photos/59730822@N08/5701097734/
  46. 46. Zdroj: http://www.flickr.com/photos/reidrac/4696900602/
  47. 47. Cross-Site Scripting (XSS) Útočník vloží na naši stránku vlastní HTML nebo JS kód Michal Špaček www.michalspacek.cz
  48. 48. Michal Špaček www.michalspacek.cz
  49. 49. Michal Špaček www.michalspacek.cz
  50. 50. Michal Špaček www.michalspacek.cz
  51. 51. Řešení? htmlspecialchars($string) Michal Špaček www.michalspacek.cz
  52. 52. htmlspecialchars($string, ENT_QUOTES) Michal Špaček www.michalspacek.cz
  53. 53. Nepoužívat strip_tags() proti XSS Michal Špaček www.michalspacek.cz
  54. 54. Cross-Site Scripting X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block Michal Špaček www.michalspacek.cz
  55. 55. X-XSS-Protection IE 8+ Chrome Safari 4+ Michal Špaček www.michalspacek.cz
  56. 56. Michal Špaček www.michalspacek.cz
  57. 57. HTTP-Only cookies session.cookie_httponly: true session.cookie_secure: true Michal Špaček www.michalspacek.cz
  58. 58. HttpOnly flag IE 6 SP1+ a všechny další Michal Špaček www.michalspacek.cz
  59. 59. Content-Security-Policy default-src 'none' script-src 'unsafe-inline' script-src ajax.googleapis.com Michal Špaček www.michalspacek.cz
  60. 60. Content-Security-Policy Firefox 4+ X-Content-Security-Policy Chrome 25+, Firefox 23+, Opera 15+ Content-Security-Policy IE 10+ X-Content-Security-Policy Michal Špaček www.michalspacek.cz
  61. 61. I vaši aplikaci napadnou zlí útočníci Jste připraveni?
  62. 62. Michal Špaček www.michalspacek.cz

×