[Quality Meetup] Adrian "Vizzdoom" Michalczyk – Wyścig śmierci w aplikacjach webowych

•

0 likes•110 views

Prezentacja była opowieścią o tym, jak można dziesięciokrotnie doładować sobie konto „jednorazowym” kuponem. Adrian wyjaśnił czym są błędy Race Condition, jak ich szukać w aplikacjach internetowych i jak im przeciwdziałać. Pokazał także przykłady tych błędów w popularnych portalach, takich jak Facebook, Starbucks, czy też na platformie DigitalOcean.

Software

WYŚCIG
ŚMIERCI
W APLIKACJACH WEBOWYCH
#17
Wersja 4 (2018/05)

Zanim zaczniemy…
• Adrian `Vizzdoom` Michalczyk
• starszy inżynier ds. bezpieczeństwa IT
• 10-letnie doświadczenie w branży
• http://adrian.michalczyk.website/about-me
• prezentacja i kody źródłowe online:
https://github.com/vizzdoom/infosec-coffee

RACE
CONDITIONS
Sytuacja wyścigu/hazard danych

Chciałbym zamówić X
Rozumiem, jedną chwilkę
(sprawdź stan magazynowy)
To kosztuje Y zł
Płacę
(czy mam tyle pieniędzy na koncie)?
Przygotowuję zamówienie / Brak środków
klient -= wartość zamówienia zł
barman += wartość zamówienie zł

Jednym prostym trickiem znalazł sposób
na promocję swojego fanpage na Facebooku!
Marketingowcy go nienawidzą!

Race conditions – Facebook
1. Oceń stronę na 5 gwiazdek i przechwyć żądanie HTTP do:
/ajax/pages/review/add
2. Wyślij wiele żądań HTTP w najkrótszym możliwym czasie.
3. Liczba ocen zwiększy się (przykładowo o 5 nowych recenzji).
4. Odwiedź stronę raz jeszcze i przejdź do sekcji „All reviews”.
5. Usuń jedną ze swoich recenzji. Strona ma teraz 4 recenzje.
6. Możesz wystawić nową recenzję. Powtórz kroki 2-5.
7. Gratulacje! Masz teraz świetnie wypromowaną stronę!
https://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html

Race conditions – Slack
https://hackerone.com/reports/165570

Race conditions – Digital Ocean
https://josipfranjkovic.blogspot.com/2015/04/race-conditions-on-facebook.html

Race conditions – Starbucks
https://sakurity.com/blog/2015/05/21/starbucks.html
#prepare transfer details in both sessions
curl starbucks/step1 -H "Cookie: session=s1"
--data "amount=1&from=wallet1&to=wallet2"
curl starbucks/step1 -H "Cookie: session=s2"
--data "amount=1&from=wallet1&to=wallet2"
#send $1 simultaneously from wallet1 to wallet2
curl starbucks/step2?confirm
-H "Cookie:session=s1" &
curl starbucks/step2?confirm
-H "Cookie: session=s2" &

Nietransakcyjne przetwarzanie danych
account_1 = User::getAccount()
coupon = Coupon::getCoupon()
if (coupon.isActive())
User::setWallet(+10zł)
Coupon::setInactive()
dane lokalne
DATABASE
dane „prawdziwe”

Transakcyjność
• A – Atomicity (niepodzielność)
• C – Consistency (spójność)
• I – Isolation (izolacja)
• D – Durability (trwałość)

Atomicity (niepodzielność danych)
Zbiór logicznie powiązanych
ze sobą operacji
musi zostać wykonany w całości.
Albo wcale.

Isolation (izolacja danych)
Transakcje wykonywane
w tym samym czasie
i na tych samych danych
muszą być wykonywane
sekwencyjnie.

Transakcyjne przetwarzanie danych
DB::runTransaction(User1,Coupon1)
dane lokalne
DATABASE
dane „prawdziwe”
CODE ACTIVE VALUE
CODE1000 0 1000
CODE2000 1 2000
CODE3000 1 3000
CODE4000 1 4000
USERID ACCOUNT
UID 1 2499
UID 2 1999
UID 3 999
UID 4 499

Jak testować hazard danych?
• blackbox > whitebox

Jak testować hazard danych?
• blackbox > whitebox
$conn = new PDO(DB_CONNECTION_STRING, DB_USERNAME, DB_PASSWORD);
$q = $conn->prepare("UPDATE `users` SET `wallet` = :newWallet");
$q->bindParam(":newWallet", $newWallet);
$q->execute();

Jak testować hazard danych?
• najpierw musisz mocno obciążyć system
• localhost != staging != live
• testuj szybko i równolegle
• blackbox > whitebox

DZIĘKUJĘ
ZA UWAGĘ
https://github.com/vizzdoom/infosec-coffee
http://adrian.michalczyk.website/contact-me

More from Future Processing

Uważa się, że karty graficzne / CUDA to technologia wykorzystywana do wykonywania dużej ilości skomplikowanych obliczeń w implementacji sieci neuronowych. Jakie jeszcze praktyczne problemy można rozwiązać za jej pomocą? Czy w medycynie przydatna jest realistyczna grafika rodem z gier komputerowych? Bazując na wiedzy wyciągniętej z pracy w projekcie Cardiac, prelegenci postarają się odpowiedzieć na te pytania. Celem tego projektu jest stworzenie narzędzia wspomagającego lekarzy w podejmowaniu decyzji i stawianiu diagnozy chorób wieńcowych. Aby to osiągnąć, niezbędne jest pozyskanie geometrii naczyń wieńcowych w wysokiej rozdzielczości, co wymaga wykonania ponad 7 bilionów operacji. Pozyskana geometria służy do symulacji przepływu krwi, w trakcie której w każdej sekundzie generowane jest 100 GB danych, a te trzeba następnie wizualizować. Wykorzystując odpowiednie algorytmy i współczesne karty graficzne, wszystkie ww. problemy są do rozwiązania.

[FDD 2018] Ł. Turchan, A. Hulist, M. Duchnowski - CUDA - results over coffee ...

Future Processing

Zastosowanie technologii Blockchain we współczesnym biznesie staje się coraz bardziej powszechne. W czasie prelekcji Lech wprowadził słuchaczy do podstawowych technologii, kryjących się za prywatnym Blockchainem i zdecentralizowanymi aplikacjami oraz wskazał różnicę pomiędzy stosowanymi obecnie dowodami autoryzującymi bloki. Pokazał również, jak w prosty sposób postawić prywatny Blockchain na platformie Azure z PoA (Proof of Authority) i przedstawił narzędzia, które mogą być zastosowane przy procesie developmentu oprogramowania opartego o Ethereum Dapps (Truffle, Genache, Metamask).

[FDD 2018] Lech Kalinowski - Prywatny Blockchain

Future Processing

[FDD 2018] W. Malara, K. Kotowski - Autoenkodery – czyli zalety funkcji F(X)≈X

Future Processing

RFC 679 to specyfikacja standardu autoryzacji o nazwie OAuth2. Jego rozszerzenie stanowi OpenId Connect, którego szczegółowy opis możecie znaleźć pod adresem https://openid.net/developers/specs. Aby zacząć z nim pracę, należałoby dodatkowo dobrze poznać IdentityServer – scentralizowany i modularny magazyn tożsamości umożliwiający łatwe rozszerzanie. Oczywiście można próbować przebrnąć przez stos definicji, by dowiedzieć się, w jaki sposób pracować z tymi technologiami. Jeżeli jednak nie przepadacie za czytaniem suchych dokumentów technicznych, a chcecie dowiedzieć się czegoś więcej o sposobach zabezpieczania aplikacji, koniecznie zobaczcie prelekcję Jarka.

[FDD 2018] Jarosław Ogiegło - Ludzie, zabezpieczajcie się! Wprowadzenie do OA...

Future Processing

Tworzenie skalowalnych i wydajnych mikroserwisów w rozproszonym środowisku chmurowym wymaga dużej dyscypliny u programisty oraz zastosowania wielu narzędzi ułatwiających to zadanie. Im większy system, tym większej uwagi wymaga. Rozproszone środowisko dodatkowo wymusza korzystanie z zewnętrznych rozwiązań ułatwiających pracę ze stanem systemu, takich jak cache. Zdarzyło Ci się kiedyś pogubić w tym, gdzie leży która usługa i skąd się wziął błąd w systemie? Czy nie łatwiej byłoby mieć jedno narzędzie, które utrzyma wszystkie usługi pod kontrolą i zapewni niezawodne zarządzanie stanem aplikacji bez konieczności używania zewnętrznych systemów? W czasie swojej prelekcji Krzysiek przedstawi, jak sprawdzony w bojach Azure Service Fabric zapewnia stabilną kontrolę nad systemem mikroserwisów oraz pozwala stworzyć aplikację bez użycia zewnętrznej bazy danych i systemu cachingu. Swoje doświadczenie z Azure Service Fabric nabył w codziennej pracy w dużym projekcie dla korporacji finansowej w Future Processing.

[JuraSIC! Meetup] Krzysztof Sikora- Jak Service Fabric rozwiąże twoje problem...

Future Processing

Monady mają bardzo zły PR – powszechnie uważane są za superabstrakcyjne byty z programowania funkcyjnego albo nawet gorzej... z matematyki. Jednak w praktyce okazuje się, że używa ich każdy programista C#. W trakcie prezentacji przekonasz się o tym, że używasz monad na co dzień (sic!). Ponadto, Mateusz pokaże inne typy monad, których być może nie stosujesz, ale mogą się przydać i które wcale nie są abstrakcyjne. Mamy nadzieję, że po prezentacji każdy będzie (przynajmniej) intuicyjnie rozumiał, co to monada i kiedy mogą one nam pomóc.

[JuraSIC! Meetup] Mateusz Stasch - Monady w .NET

Future Processing

W dobie technologii rozwijających się niemal wykładniczo łatwo jest zapomnieć o tym, że zarówno wytwórcy, jak i użytkownicy oprogramowania są ludźmi z całym ogromem możliwości, ale jednocześnie z pewnymi ograniczeniami poznawczymi. Projektując rozwiązanie, warto zastanowić się jak sprawić, by użytkownicy chcieli go używać oraz by robili to w sposób jak najbliższy zaprojektowanemu. Ola podczas swojej prelekcji zapoznała uczestników z kognitywnym (poznawczym) podejściem do testowania aplikacji mobilnych. W tym celu przywołała kilka teorii i zjawisk, pokazujących, jak umysł konstruuje rzeczywistość oraz tym samym uświadamiających, gdzie mogą czaić się błędy w postrzeganiu.

[QE 2018] Aleksandra Kornecka – Kognitywne podejście do testowania aplikacji ...

Future Processing

Świat technologii mobilnych od pewnego czasu przechodzi rewolucję – odchodzi się od natywnych aplikacji mobilnych. Jak zatem twórcy aplikacji mobilnych odpowiadają na potrzeby rynku? Czy osoby automatyzujące testy aplikacji mobilnych mają do dyspozycji narzędzia gotowe na technologie, takie jak React Native czy Flutter? Czy można uniknąć pisania oddzielnego kodu testów dla Androida i iOS-a? W czasie wykładu, na przykładzie aplikacji stworzonej w oparciu o technologię React Native oraz narzędzia Detox, Adam przedstawił praktyczną implementację testów end-to-end oraz ich konfigurację z Continuous Integration.

[QE 2018] Adam Stasiak – Nadchodzi React Native – czyli o testowaniu mobilnyc...

Future Processing

Apache Spark jest narzędziem do przetwarzania danych na dużą skalę. Zastosowanie tego narzędzia w rozproszonym środowisku, w celu przetwarzania dużych zbiorów danych daje ogromne korzyści. Ale co z szybką pętlą zwrotną podczas opracowywania aplikacji z użyciem Apache Spark? Testowanie aplikacji w klastrze jest niezbędne, lecz nie wydaje się być tym, do czego większość programistów przywykło podczas praktykowania TDD. Podczas wystąpienia, Łukasz podzielił się z kilkoma wskazówkami, jak można napisać testy jednostkowe oraz integracyjne i jak Docker może być używany do testowania Sparka na lokalnej maszynie.

[QE 2018] Łukasz Gawron – Testing Batch and Streaming Spark Applications

Future Processing

Zachodząca w ostatnich latach transformacja procesów wytwarzania oprogramowania zorientowana jest głównie w kierunku zespołów zwinnych, wykorzystujących podejście DevOps. Następstwem tych zmian jest potrzeba przemyślenia na nowo sposobów zapewniania bezpieczeństwa tworzonych aplikacji. Krótkie sprinty nie pozostawiają już miejsca na testy manualne. O ile jednak nie znikną one całkowicie, główną osią ochrony projektu stają się testy automatyczne, które zespół projektowy musi zaimplementować i utrzymać. Teraz w kompetencjach developerów i testerów będzie leżeć kwestia znajomości zasad bezpieczeństwa, w kontekście działania ich systemu.

[QE 2018] Marek Puchalski – Web Application Security Test Automation

Future Processing

Thriving as a Tester is different to just succeeding or just getting by, or just having a decent career. To thrive means to grow vigorously. Wow. To grow vigorously! In a nutshell, this means to grow personally and pretty quickly; and this is what the job market needs – and of course, this is what your career needs too. Thriving as a Tester is about adopting a mindset of success and then building the habits to support your goals.

[QE 2018] Rob Lambert – How to Thrive as a Software Tester

Future Processing

The Digital Transformation is real. It is having a profound effect on how business is done and the nature of the systems required to deliver productive customer experiences and consequent business benefits. The demand for flexible and rapid delivery of software and systems is there. Software development teams can deliver if they adopt the disciplines of Continuous Delivery, DevOps and in-production experimentation. The barrier to achieving success in the software delivery process is likely to be the inability of testers to align testing and automated testing in particular to the development processes. Our track record in test automation is not good enough. In order to succeed a new way of thinking about testing is required, and the New Model of Testing offers a way of identifying the elements of the test process that must be ‘shifted left’. This does not necessarily mean testers move, but rather that the thinking processes must move. During this lecture, Paul has shown that it is possible that users, BAs, and developers take some responsibility in this area. The New Model applies to all testing, whether performed in development, integration, system or user testing, by people or tools.

[QE 2018] Paul Gerrard – Automating Assurance: Tools, Collaboration and DevOps

Future Processing

Szacuje się, że testerzy poświęcają około połowy swojego czasu na projektowanie i przygotowanie przypadków testowych. A gdyby udało się ten czas skrócić? Albo zupełnie pominąć i wygenerować przypadki automatycznie? Taką możliwość (przynajmniej w swoim założeniu) daje testowanie oparte na modelu. Jak takie modelowanie wygląda? Co można dzięki niemu osiągnąć? Czy rzeczywiście skróci to czas projektowania i pozwoli się skupić na tym, co tygryski lubią najbardziej, czyli na testowaniu? Na te pytania Arnika odpowiedziała w swojej prezentacji, prowadząc uczestników przez proces – od pomysłu na model do przypadku testowego.

[QE 2018] Arnika Hryszko – Testy, które tworzą się same (prawie)

Future Processing

Podejście Quality Assistance znacząco ogranicza konflikty, poprawia jakość wytwarzanego oprogramowania oraz zwiększa tempo dostarczania nowych funkcjonalności. W czasie prezentacji Przemek opowiedział słuchaczom, jak to się robi na Antypodach. Wspólnie szukali odpowiedzi na kilka kluczowych pytań: czym jest jakość, dlaczego jest ważna oraz na czym polega różnica między Assurance i Assistance? Przedstawił także strukturę zespołu zbudowanego w oparciu o model Assistance, wliczając DevOps. Pamiętając, że srebrna kula nie istnieje, Przemek opowiedział również o wymaganiach, jakie należy spełnić, przed wdrożeniem tego modelu.

[QE 2018] Przemysław Sech – Software Quality Assistance w 40 minut

Future Processing

Testowanie dostępności stron internetowych jest dla wielu osób obszarem niezbadanym. Nie wszyscy wiedzą, od czego zacząć i nie rozumieją trudności, z jakimi spotykają się użytkownicy z niepełnosprawnością. Nie pomaga też fakt, że wielu klientów oszczędza na testach dostępności. Joanna podczas swojego wystąpienia przybliżyła podstawowe założenia normy WCAG, która z powodzeniem może służyć za punkt wyjścia do testów dostępności. Zaprezentowała także rozwiązania, które nie wymagają dużych nakładów finansowych, ponieważ wiele z nich to kwestia wyobraźni i czujnej obserwacji.

[QE 2018] Joanna Falkowska – Uniwersal Design – wprowadzenie do tematu dostęp...

Future Processing

Tabnabbing pozwala skutecznie atakować użytkowników większości publicznych stron. Wykorzystuje funkcjonalność przeglądarek, która jest dostępna już od kilkunastu lat. Dzięki przekierowaniu na wybraną przez siebie stronę, atakujący zyskuje możliwość przeprowadzenia całego spektrum innych ataków. Mimo, że zapobieganie atakowi przez Tabnabbing jest trywialne, większość producentów aplikacji lekceważy zagrożenie i nie wprowadza odpowiednich zabezpieczeń. W czasie prelekcji Michał i Dominik opowiedzieli na czym polega Tabnabbing, jak zabezpieczyć swoje aplikacje oraz przedstawili prosty scenariusz ataku.

[Quality Meetup] M. Witas, D. Młynek – Tabnabbing – bug czy feature twojej pr...

Future Processing

Zmieniające się standardy tworzenia systemów IT stawiają coraz większe wymagania dotyczące ich bezpieczeństwa. Privacy-by-design czy security-in-depth przestają być domeną ludzi zajmujących się bezpieczeństwem, a stają się obowiązkowym elementem pracy każdego członka zespołu developerskiego. Duża liczba narzędzi dostępnych na rynku pozwala wprowadzić do projektów automatyczne testy bezpieczeństwa – zarówno statyczne jak i dynamiczne, które raz skonfigurowane pozwolą na uniknięcie najpopularniejszych błędów związanych z bezpieczeństwem webaplikacji. W trakcie prezentacji Jacek pokazał, jak przy pomocy darmowych i ogólnodostępnych narzędzi można było uniknąć popularnych błędów w prezentowanej przez niego aplikacji internetowej ASP.NET.

[Quality Meetup] Jacek Sowiński – SecDevOps – w codziennej pracy każdego deve...

Future Processing

W ciągu kilku lat pracy z BDD nastawienie Przemka do tego procesu ulegało zmianom — od początkowego zachwytu, poprzez zniechęcenie i podawanie w wątpliwość jego sensowności, aż do ponownego entuzjazmu. Przyczyną tego było wpadanie w kolejne pułapki i ślepe uliczki BDD, z których wiele wynikało z błędnego traktowania scenariuszy jako testów. W czasie wykładu prelegent podzielił się ze słuchaczami swoimi przemyśleniami na temat Behavior-Driven Development. Wyjaśnił także dlaczego, według niego, podczas pisania scenariuszy BDD, nie należy myśleć o ich implementacji w formie testów. Przedstawił również kilka wskazówek dla osób borykających się z problemami zarówno pisania samych scenariuszy, jak i ich późniejszej implementacji.

[Quality Meetup] Przemek Podsiadlik - Scenariusze BDD != testy automatyczne

Future Processing

Oprogramowanie może być wytwarzane w oparciu o różne pomysły. Czasem napędzane jest przez powstającą dokumentację, czasem przez testy, a innym razem przez zachowanie samego systemu. Wśród software house’ów popularne stało się stosowanie BDD, ponieważ, przy budowaniu produktu, skupia się ono bardziej na potrzebach biznesowych niż na technicznych aspektach. Często stosowane jest także jako dodatkowa warstwa przy automatyzacji testów, gdyż wyniki ich wykonania są dzięki temu prezentowane w bardziej zrozumiały dla biznesu sposób. Skuteczne używanie BDD wymaga jednak dobrego przygotowania i czasu na wdrożenie tej techniki — w związku z tym istnieje duża przestrzeń do pomyłek i potknięć. W czasie prelekcji Łukasz odpowiadał na pytanie czym jest BDD i jak go dobrze używać — opowiedział, czego nauczyły go dotychczasowe doświadczenia projektowe w tym temacie.

[Quality Meetup] Łukasz Pietrucha - Pułapki automatyzacji przy użyciu BDD

Future Processing

[DPTO] Michał Pogorzelski - Testy jednostkowe – narzędzie, które pozwala prac...

Future Processing

More from Future Processing (20)