Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

QA Fest 2015. Катерина Овеченко. Топ 5 уязвимостей, о которых стоит знать

506 views

Published on

Сегодня безопасность является одним из трендов современного ИТ мира. Клиенты переводят свои решения в веб и облака, делая их еще более уязвимыми для внешних атак. Защитив свое приложения от нескольких самый распространенных уязвимостей позволит значительно сократить риски, связанные с безопасностью. Я расскажу про Топ 5 уязвимостей, о которых вам стоит знать, как их найти и обезвредить.

Published in: Education
  • Be the first to comment

  • Be the first to like this

QA Fest 2015. Катерина Овеченко. Топ 5 уязвимостей, о которых стоит знать

  1. 1. step up to make a difference positive and negative impact advantages of joining the team our destination
  2. 2. ПРИМЕР ВЗЛОМА ВЗЛОМ ПРАВИТЕЛЬСТВА США (ИЮЛЬ, 2015) 7% НАСЕЛЕНИЯ США ХАКЕРЫ ПОЛУЧИЛИ: ОТВЕТСТВЕННЫЙ? FINANCIAL LOSS $ ХХХ MILLION SSN, E-MAI, ИМЕНЯ, АДРЕСА ОТПЕЧАТКИ ПАЛЬЦЕВ РЕЗУЛЬТАТЫ ФИНАНСОВОЙ, КРИМИНАЛЬНОЙ И ПСИХОЛОГИЧЕСКОЙ ПРОВЕРКИ ЖЕРТВЫ АТАКИ ЧИНОВНИКИ ВОЕННОСЛУЖАЩИЕ СУДЬИ СПЕЦИАЛЬНЫЕ АГЕНТЫ РЯДОВЫЕ ГРАЖДАНЕ
  3. 3. 1)Инъекции 2)Некоректная аутентификацията управлениесессиями 3)Межсайтовоевыполнение сценариев(XSS) 4)Небезопасныепрямые ссылкинаобъекты 5)Небезопасная конфигурацияокружения 6)Утечкакритичныхданных 7)Отсутствиеконтролядоступа кфункциональномууровню 8)Подделкамежсайтовых запросов(CSRF) 9)Отказвобслуживании (DOS) 10)Использованиекомпонентов сизвестнымиуязвимостями TOP 10уязвимостей безопасности OWASP 2013
  4. 4. ПРИМЕНЕНИЕ: SQL XML XPATH HTML OS команды WEB DESKTOP MOBILE CLOUD HELLO Инъекции - это неудачи в проверке ввода от клиента или компонентов среды 104 SQL АТАКИ КАЖДЫЙ ЧАС Инъекции sql инъекция 2012 6.5 МИЛЛИОНОВ ПАРОЛЕЙ
  5. 5. ПРИМЕНЕНИЕ: АТАКИ Уязвимости в сессиях WEB DESKTOP MOBILE PEOPLE CLOUD перехват сессии фишинг подделка межсайтовых запросов (CSRF) token=32gjsfoisnfvlxcvh5 67234welh%%lskfjlskduf7 734, как это работает? Жертва Хакер Сервер 1: установить связь 2: перехватить сессию 3: работать в украденной сессии уникальный идентификатор
  6. 6. Межсайтовое выполнение сценариев (XSS) ПРИМЕНЕНИЕ: WEB MOBILE CLOUD PEOPLE <script> alert("Вас взломали!") </script>
  7. 7. НЕБЕЗОПАСНАЯ КОНФИГУРАЦИЯ ОКРУЖЕНИЯ ПРИМЕНЕНИЕ WEB DESKTOP CLOUD MOBILE операционные системы сервер базы данных сервера (веб, приложения) открытые порты сервисы фреймворки и библиотеки админ учетки
  8. 8. ОТКАЗ В ОБСЛУЖИВАНИИ (DOS) ПРИМЕНЕНИЕ: WEB DESKTOP MOBILE34% МИРОВЫХ АТАК В 2013 уровень сети уровень сервера уровень приложения
  9. 9. ОБЛАСТИ БЕЗОПАСНОСТИ
  10. 10. kateryna.ovechenko@itera.no kateryna.ovechenko КАТЕРИНА ОВЕЧЕНКО

×