• Like
Defense in Depth Web Inkognito 12/2013
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Defense in Depth Web Inkognito 12/2013

  • 628 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
628
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
0
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. DEFENSE IN DEPTH Tisíc a jeden tip pro webovou bezpečnost Michal Špaček @spazef0rze Web Inkognito VŠE www.michalspacek.cz @iz228 prosinec 2013 Slajdy jsou bez mých poznámek, nedávají tedy moc smysl pro toho, kdo na semináři nebyl.
  • 2. Zdroj: www.adobe.com
  • 3. Říjen 2013 3 miliony karet + 38 milionů účtů Nebo 150 milionů? Zdrojové kódy
  • 4. # Count Ciphertext Plaintext -------------------------------------------------------------1. 1911938 EQ7fIpT7i/Q= 123456 2. 446162 j9p+HwtWWT86aMjgZFLzYg== 123456789 3. 345834 L8qbAD3jl3jioxG6CatHBw== password 4. 211659 BB4e6X+b2xLioxG6CatHBw== adobe123 5. 201580 j9p+HwtWWT/ioxG6CatHBw== 12345678 6. 130832 5djv7ZCI2ws= qwerty 7. 124253 dQi0asWPYvQ= 1234567 8. 113884 7LqYzKVeq8I= 111111 9. 83411 PMDTbP0LZxu03SwrFUvYGA== photoshop 10. 82694 e6MPXQ5G6a8= 123123 Zdroj: http://stricture-group.com/files/adobe-top100.txt Michal Špaček www.michalspacek.cz
  • 5. Zdroj: http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/ Michal Špaček www.michalspacek.cz
  • 6. Hesla špatně zašifrovaná Hesla v nápovědě v čitelné podobě LOL Michal Špaček www.michalspacek.cz
  • 7. jan.semcky@firma.seznam.cz kwclmYX4Q9E= Michal Špaček www.michalspacek.cz
  • 8. lumatch@seznam.cz KwclmYX4Q9E= emajlovej klient vole ajohnson@mynow.co.uk KwclmYX4Q9E= zoznam cz Michal Špaček www.michalspacek.cz
  • 9. SQL Injection Útočník modifikuje SQL dotaz Michal Špaček www.michalspacek.cz
  • 10. Michal Špaček www.michalspacek.cz
  • 11. Michal Špaček www.michalspacek.cz
  • 12. "… WHERE znacka = '{$_GET['znacka']}'" Michal Špaček www.michalspacek.cz
  • 13. Michal Špaček www.michalspacek.cz
  • 14. '… WHERE id = ' . $_GET['id'] Michal Špaček www.michalspacek.cz
  • 15. ' OR 1=1; -Michal Špaček www.michalspacek.cz
  • 16. SELECT jmeno, adresa FROM vozidla WHERE rz = '$prectena'; Michal Špaček www.michalspacek.cz
  • 17. 1AM 1337 SELECT jmeno, adresa FROM vozidla WHERE rz = '1AM 1337'; Michal Špaček www.michalspacek.cz
  • 18. ' OR 1=1; -SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; Michal Špaček www.michalspacek.cz
  • 19. Řešení? Prepared statements (PDO) Michal Špaček www.michalspacek.cz
  • 20. SELECT jmeno, adresa FROM vozidla WHERE rz = ?; ' OR 1=1; -Michal Špaček www.michalspacek.cz
  • 21. Michal Špaček www.michalspacek.cz
  • 22. mysql_set_charset() mysql_real_escape_string() Michal Špaček www.michalspacek.cz
  • 23. Nepoužívat addslashes() proti SQLIA Michal Špaček www.michalspacek.cz
  • 24. Defense in Depth Fail = SQL Injection + Špatně uložená hesla Michal Špaček www.michalspacek.cz
  • 25. 323 loginů + SHA-1 hashů hesel crackstation.net Michal Špaček www.michalspacek.cz
  • 26. crackstation.net 111 cracknutých hesel Michal Špaček www.michalspacek.cz
  • 27. exoddus Tbvfs1 9plams P1ll3d Neznašov Michal Špaček www.michalspacek.cz
  • 28. 111 cracknutých hesel 52 k loginu …@seznam.cz Michal Špaček www.michalspacek.cz
  • 29. 52 loginů …@seznam.cz Kolik stejných hesel jako na Seznam? Michal Špaček www.michalspacek.cz
  • 30. Zdroj: http://www.flickr.com/photos/77939791@N00/5721058729/
  • 31. …@email.cz 2z8 …@centrum.cz 3z9 …@gmail.com 1 z 15 Michal Špaček www.michalspacek.cz
  • 32. hashcat 164 dalších cracknutých hesel Michal Špaček www.michalspacek.cz
  • 33. 164 dalších cracknutých hesel 2 také použita pro mailbox Michal Špaček www.michalspacek.cz
  • 34. Email Password! Zdroj: www.twitter.com
  • 35. v čitelné podobě (v plaintextu) Michal Špaček www.michalspacek.cz
  • 36. MD5(heslo) SHA1(heslo) CRC32(heslo) Michal Špaček www.michalspacek.cz
  • 37. Zdroj: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/
  • 38. MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( heslo )))))))))))))))) )))))))))))))))) Michal Špaček www.michalspacek.cz
  • 39. Zdroj: http://www.flickr.com/photos/92154034@N00/440515255/
  • 40. MD5(heslo + salt) SHA1(heslo + salt) Michal Špaček www.michalspacek.cz
  • 41. bcrypt! Blowfish hashing Michal Špaček www.michalspacek.cz
  • 42. crypt() salt=$2y$… password_hash() password_verify() Michal Špaček www.michalspacek.cz
  • 43. scrypt PBKDF2 Michal Špaček www.michalspacek.cz
  • 44. Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
  • 45. Zdroj: http://www.flickr.com/photos/59730822@N08/5701097734/
  • 46. Zdroj: http://www.flickr.com/photos/reidrac/4696900602/
  • 47. Cross-Site Scripting (XSS) Útočník vloží na naši stránku vlastní HTML nebo JS kód Michal Špaček www.michalspacek.cz
  • 48. Michal Špaček www.michalspacek.cz
  • 49. Michal Špaček www.michalspacek.cz
  • 50. Michal Špaček www.michalspacek.cz
  • 51. Řešení? htmlspecialchars($string) Michal Špaček www.michalspacek.cz
  • 52. htmlspecialchars($string, ENT_QUOTES) Michal Špaček www.michalspacek.cz
  • 53. Nepoužívat strip_tags() proti XSS Michal Špaček www.michalspacek.cz
  • 54. Cross-Site Scripting X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block Michal Špaček www.michalspacek.cz
  • 55. X-XSS-Protection IE 8+ Chrome Safari 4+ Michal Špaček www.michalspacek.cz
  • 56. Michal Špaček www.michalspacek.cz
  • 57. HTTP-Only cookies session.cookie_httponly: true session.cookie_secure: true Michal Špaček www.michalspacek.cz
  • 58. HttpOnly flag IE 6 SP1+ a všechny další Michal Špaček www.michalspacek.cz
  • 59. Content-Security-Policy default-src 'none' script-src 'unsafe-inline' script-src ajax.googleapis.com Michal Špaček www.michalspacek.cz
  • 60. Content-Security-Policy Firefox 4+ X-Content-Security-Policy Chrome 25+, Firefox 23+, Opera 15+ Content-Security-Policy IE 10+ X-Content-Security-Policy Michal Špaček www.michalspacek.cz
  • 61. I vaši aplikaci napadnou zlí útočníci Jste připraveni?
  • 62. Michal Špaček www.michalspacek.cz