SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 14 day free trial to unlock unlimited reading.
QA Fest 2015. Катерина Овеченко. Топ 5 уязвимостей, о которых стоит знать
Сегодня безопасность является одним из трендов современного ИТ мира. Клиенты переводят свои решения в веб и облака, делая их еще более уязвимыми для внешних атак. Защитив свое приложения от нескольких самый распространенных уязвимостей позволит значительно сократить риски, связанные с безопасностью. Я расскажу про Топ 5 уязвимостей, о которых вам стоит знать, как их найти и обезвредить.
Сегодня безопасность является одним из трендов современного ИТ мира. Клиенты переводят свои решения в веб и облака, делая их еще более уязвимыми для внешних атак. Защитив свое приложения от нескольких самый распространенных уязвимостей позволит значительно сократить риски, связанные с безопасностью. Я расскажу про Топ 5 уязвимостей, о которых вам стоит знать, как их найти и обезвредить.
QA Fest 2015. Катерина Овеченко. Топ 5 уязвимостей, о которых стоит знать
1.
step up to make
a difference
positive and negative impact
advantages of joining the team
our destination
2.
ПРИМЕР ВЗЛОМА
ВЗЛОМ ПРАВИТЕЛЬСТВА США (ИЮЛЬ, 2015)
7%
НАСЕЛЕНИЯ США
ХАКЕРЫ ПОЛУЧИЛИ: ОТВЕТСТВЕННЫЙ?
FINANCIAL LOSS
$ ХХХ
MILLION
SSN, E-MAI, ИМЕНЯ, АДРЕСА
ОТПЕЧАТКИ ПАЛЬЦЕВ
РЕЗУЛЬТАТЫ ФИНАНСОВОЙ,
КРИМИНАЛЬНОЙ И
ПСИХОЛОГИЧЕСКОЙ ПРОВЕРКИ
ЖЕРТВЫ АТАКИ
ЧИНОВНИКИ
ВОЕННОСЛУЖАЩИЕ
СУДЬИ
СПЕЦИАЛЬНЫЕ АГЕНТЫ
РЯДОВЫЕ
ГРАЖДАНЕ
4.
ПРИМЕНЕНИЕ:
SQL
XML
XPATH
HTML
OS
команды
WEB
DESKTOP
MOBILE
CLOUD
HELLO
Инъекции - это
неудачи в проверке
ввода от клиента
или компонентов
среды
104 SQL АТАКИ
КАЖДЫЙ ЧАС
Инъекции sql
инъекция
2012
6.5
МИЛЛИОНОВ ПАРОЛЕЙ
5.
ПРИМЕНЕНИЕ:
АТАКИ
Уязвимости в сессиях
WEB
DESKTOP
MOBILE
PEOPLE
CLOUD
перехват сессии
фишинг
подделка межсайтовых запросов (CSRF)
token=32gjsfoisnfvlxcvh5
67234welh%%lskfjlskduf7
734,
как это работает?
Жертва
Хакер
Сервер
1: установить связь
2: перехватить сессию
3: работать в
украденной сессии
уникальный
идентификатор
6.
Межсайтовое выполнение
сценариев (XSS)
ПРИМЕНЕНИЕ:
WEB
MOBILE
CLOUD
PEOPLE
<script> alert("Вас взломали!") </script>
7.
НЕБЕЗОПАСНАЯ КОНФИГУРАЦИЯ ОКРУЖЕНИЯ
ПРИМЕНЕНИЕ
WEB
DESKTOP
CLOUD
MOBILE
операционные системы
сервер базы
данных
сервера (веб,
приложения)
открытые порты
сервисы
фреймворки и
библиотеки
админ
учетки
8.
ОТКАЗ В ОБСЛУЖИВАНИИ (DOS)
ПРИМЕНЕНИЕ:
WEB
DESKTOP
MOBILE34%
МИРОВЫХ АТАК
В 2013
уровень сети
уровень сервера
уровень приложения