Презентація доповіді к.т.н. Сободянюка Олександра Васильовича. Основні підходи до класифікації відомих вразливостей веб-ресурсів, проводиться аналіз активності найбільш розповсюджених типів загроз на основі звітів компаній, що займаються моніторингом інцидентів порушення безпеки веб-ресурсів, а також розглянуто основні технології захисту від можливих реалізацій погроз. Більшість веб-сайтів та веб-сервісів характеризуються цілим рядом вразливостей, завдяки яким зловмисники мають реальні можливості проводити атаки на самі найрізноманітніші сайти із використанням досить широкого інструментарію.Дані вразливості викликані як ненавмисно допущеними помилками розробниками на стадії проектування так і недосконалістю технологій, що були використані при створенні ресурсу.

1. БЕЗПЕКА ІНТЕРНЕТ РЕСУРСІВ:
АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ
ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
Доповідач:
Слободянюк Олександр
Секція: Кібербезпека та захист інформації в інфокомунікаціях

2. Перша
кібератака?

3. 2017 рік: кібербезпека
у розрізі
• WannaCry Ransomware
• NonPetya
• Apache Struts
• Yahoo Implodes
• Cloud Security

4. Моніторинг ризиків
• Open Web Application Security
Project, OWASP
• Web Application Security Consortium,
WASC
• National Cybersecurity Center of
Excellence’s, NCCoE’s
• Computer Emergency Response Team
Coordination Center, CERT/CC
• Common Weakness Enumeratio, CWE
• Computer Security Resource Center

5. OWASP Top10

6. 1. Вставка
ін`єкцій
(A1:2017 –
Injection).
Злам типу «Вставка
інструкцій», наприклад
вставка інструкцій SQL, ОС
та LDAP, відбувається, коли
ненадійні дані
відправляються на
інтерпретатор даних як
частина команди або
запиту. Ворожі дані
зловмисника можуть
призвести до того, що
інтерпретатор почне
виконувати довільні
команди, або зловмисник
отримає доступ до даних
без належної авторизації.
String query = "SELECT * FROM accounts
WHERE custID='" +
request.getParameter("id") + "'";

7. 2. Некоректна
аутентифікація та
управління
сеансами
(A2:2017 –
Broken
Authentication)
Функції додатка, пов'язані з
аутентифікацією та
управлінням сеансами,
часто некоректно
впроваджені, що дозволяє
зловмисникам обходити
паролі, ключі або сеансові
ідентифікатори, або
використовувати інші типи
зламів для отримання інших
ідентифікаторів
користувачів.
Тайм-аут сеансів програми не встановлено
належним чином. Користувач використовує
публічний комп'ютер для доступу до програми.
Замість того, щоб вибирати "вихід", користувач
просто закриває вкладку браузера та виходить.
Через годину атака використовує той самий
браузер, і користувач все ще автентифікується.

8. 3. Витік
критичних
даних
(A3:2017 –
Sensitive Data
Exposure)
Багато веб-додатків
неналежним чином
захищають такі критичні дані
як дані кредитних карток,
індивідуальні податкові
номери та облікові дані для
перевірки автентичності.
Зловмисники можуть вкрасти
або змінити такі слабо
захищені дані та здійснити
шахрайські операції з
кредитними картками,
вкрасти особисті дані або
вчинити інші кримінальні
правопорушення. Критичні
дані слід додатково захищати
шляхом шифрування під час
збереження або передачі, а
також необхідно
дотримуватися певних
застережень під час обміну
такими даними з браузером.
Сайт просто не використовує SSL для всіх
аутентифікованих сторінок. Зловмисник просто
відслідковує трафік мережі (наприклад, відкритої
бездротової мережі) та краде фрагменти даних (кукіз)
сеансу користувача. Потім, зловмисник відтворює ці
фрагменти даних та перехоплює сеанс користувача,
отримуючи доступ до його особистих даних.

9. 4. Вставка XML
інструкцій
(A4:2017 – XML
External Entities
(XXE).
Багато старих або погано
налаштованих XML-
процесорів оцінюють
зовнішні посилання на
об'єкт у XML-документах.
Зовнішні об'єкти можуть
бути використані для
розкриття внутрішніх файлів
за допомогою файлу URI
обробника, внутрішнього
обміну файлами,
внутрішнього сканування
портів, віддаленого
виконання коду і атак
відмови в обслуговуванні.
Зловмисник намагається провести DoS
атаку, включивши потенційно нескінченний
файл:
<!ENTITY xxeSYSTEM
"file:///dev/random" >]>

10. 5. Порушений
контроль доступу
(A5:2017 –
Broken Access
Control).
Обмеження на те, що
автентифіковании
користувачам дозволено
робити, часто не належним
чином застосовуються.
Зловмисники можуть
використовувати ці
недоліки для доступу до
неавторизованих
функціональних
можливостей та/або даних,
таких як доступ до
облікових записів інших
користувачів, перегляд
важливих файлів, зміна
даних інших користувачів,
зміна прав доступу тощо.
Зловмисник просто змушує переглядати цільові URL-адреси.
Права адміністратора потрібні для доступу до сторінки
адміністратора.
http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo
Якщо неаутентифікований користувач може отримати доступ
до будь-якої сторінки, це є недоліком. Якщо не адміністратор
може отримати доступ до адміністрування, це недолік.

11. 7. Міжсайтове виконання сценаріїв
(A7:2017 – Cross-Site Scripting (XSS).
9. Використання компонентів з
відомими вразливостями (A9:2017 –
Using Components with Known
Vulnerabilities).
10. Недостатнє журналювання та
моніторинг (A10:2017 – Insufficient
Logging&Monitoring)
6. Неправильна конфігурація безпеки (A6:2017
– Security Misconfiguration).
8. Небезпечна десеріалізація (A8:2017 –
Insecure Deserialization).

12. WASC
1. Аутентифікація
(Authentication)
2. Авторизація
(Authorization)
3. Атаки на
клієнтів (Client-
side Attacks)
4. Виконання коду
(Command
Execution)
5. Розголошення
інформації
(Information
Disclosure)
6. Логічні атаки
(Logical Attacks)

13. Доля вразливостей різної степені ризику
*За даними Positive Technologies

14. Доля сайтів із вразливостями різного ступеня ризику.

15. Технології захисту

16. Проведення аудиту
Метод «білої
скриньки» або
аудит коду
Метод «чорної
скриньки».
Використання
інструментарію.

17. WAF
Imperva
F5 Networks
Barracuda Networks
Citrix
Positive Technologies

18. Bug Bounty
Platforms
• hackerOne,
• BugCrowd,
• Synack,
• Zerocopter,
• Cobalt,
• Integrity,
• HackenProof