 10 лекций
 3 домашних задания

 3 семинара
 экзамен

2
«Тот, кто еще до сражения
определяет в храме предков,
что одержит
победу, находит, что
большинство обстоятельств в
его пол...
Зарождение WWW

1990-92

1969-70
UNIX, tcp/ip

Появление PHP

1997

MySQL 3.23

1995-2000

1995-96
Интеграция js в браузер...
5
«Так, умение поднять
осенний лист не может
считаться большой силой;
способность видеть луну и
солнце не может считаться
ос...
7
«Если войска противника
подняты и приближаются к
нашим силам только
для того, чтобы занять
позиции и не вступать в
битву, ...
«Применение огневых атак
зависит от соответствующих
условий.
Оснащение для огневых атак
нужно полностью приготвить
до того...
«Поэтому из всех дел в трех
армиях нет более близких,
чем со
шпионами; нет наград более
щедрых, чем даваемые
шпионам; нет ...
11
12
13
14
Company

profit

ZDI

~$2500+

Facebook

$500+

Google

csrf - $500, rce - $20000

PayPal

sqlinj - $3000

Bounty programs...
16
Dump all data, leave

Inject code, leave
site
Hide and wait

Resell access

17
18
Phishing

Trojan

Social engineering

Hacked site

USER

Reused accs

Bruteforced accs
19
20
Социальный спам

Перс. данные
USER
Платежные данные
«виртуальная
собственность»
21
22
23
сервер
злоумышленник
сайт
обьекты

пользователи

заказы
Платежные
инструменты
24
сервер
злоумышленник
сайт
обьекты

пользователи

заказы

- конкурент
- хакер
- бот

Платежные
инструменты
25
сервер

перехват заказов
злоумышленник

сайт
обьекты

нарушение
работы

пользователи
кража денег
заказы
Платежные
инструме...
нарушение
работы

Сайт: форма
заказов

конкурент

сервер

27
нарушение
работы

Сайт: форма
заказов

Captcha
Ip blacklist

конкурент

сервер

Облако
провайдер
28
кража денег

Платежные
инструменты:
счета

хакер

Платежные
инструменты:
данные карт

29
кража денег

Платежные
инструменты:
счета

Отправка формы платежа по email

хакер

Платежные
инструменты:
данные карт

НЕ ...
Получение
доступа

сайт

Хакер, бот

сервер

31
Получение
доступа

сайт

Поддержка обновлений П.О.
Security review кода
Ограничения аутентификации
waf, ips

Хакер, бот

с...
33
Безопасность интернет-приложений осень 2013 лекция 1
Upcoming SlideShare
Loading in …5
×

Безопасность интернет-приложений осень 2013 лекция 1

349 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
349
On SlideShare
0
From Embeds
0
Number of Embeds
75
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Безопасность интернет-приложений осень 2013 лекция 1

  1. 1.  10 лекций  3 домашних задания  3 семинара  экзамен 2
  2. 2. «Тот, кто еще до сражения определяет в храме предков, что одержит победу, находит, что большинство обстоятельств в его пользу. Тот, кто еще до сражения определяет в храме предков, что не одержит победу, находит немного обстоятельств в свою пользу» 3
  3. 3. Зарождение WWW 1990-92 1969-70 UNIX, tcp/ip Появление PHP 1997 MySQL 3.23 1995-2000 1995-96 Интеграция js в браузеры 4
  4. 4. 5
  5. 5. «Так, умение поднять осенний лист не может считаться большой силой; способность видеть луну и солнце не может считаться острым зрением; способность слышать звук грома не может считаться тонким слухом.» 6
  6. 6. 7
  7. 7. «Если войска противника подняты и приближаются к нашим силам только для того, чтобы занять позиции и не вступать в битву, за ними нужно внимательно наблюдать.» 8
  8. 8. «Применение огневых атак зависит от соответствующих условий. Оснащение для огневых атак нужно полностью приготвить до того, как оно потребуется.» 9
  9. 9. «Поэтому из всех дел в трех армиях нет более близких, чем со шпионами; нет наград более щедрых, чем даваемые шпионам; нет дел более секретных, чем касающиеся шпионов.» 10
  10. 10. 11
  11. 11. 12
  12. 12. 13
  13. 13. 14
  14. 14. Company profit ZDI ~$2500+ Facebook $500+ Google csrf - $500, rce - $20000 PayPal sqlinj - $3000 Bounty programs list: http://goo.gl/gEFJ4 15
  15. 15. 16
  16. 16. Dump all data, leave Inject code, leave site Hide and wait Resell access 17
  17. 17. 18
  18. 18. Phishing Trojan Social engineering Hacked site USER Reused accs Bruteforced accs 19
  19. 19. 20
  20. 20. Социальный спам Перс. данные USER Платежные данные «виртуальная собственность» 21
  21. 21. 22
  22. 22. 23
  23. 23. сервер злоумышленник сайт обьекты пользователи заказы Платежные инструменты 24
  24. 24. сервер злоумышленник сайт обьекты пользователи заказы - конкурент - хакер - бот Платежные инструменты 25
  25. 25. сервер перехват заказов злоумышленник сайт обьекты нарушение работы пользователи кража денег заказы Платежные инструменты - конкурент - хакер - бот получение доступа 26
  26. 26. нарушение работы Сайт: форма заказов конкурент сервер 27
  27. 27. нарушение работы Сайт: форма заказов Captcha Ip blacklist конкурент сервер Облако провайдер 28
  28. 28. кража денег Платежные инструменты: счета хакер Платежные инструменты: данные карт 29
  29. 29. кража денег Платежные инструменты: счета Отправка формы платежа по email хакер Платежные инструменты: данные карт НЕ процессить карты 30
  30. 30. Получение доступа сайт Хакер, бот сервер 31
  31. 31. Получение доступа сайт Поддержка обновлений П.О. Security review кода Ограничения аутентификации waf, ips Хакер, бот сервер Поддержка обновлений сервера Не использовать shared hosting Ограничения аутентификации 32
  32. 32. 33

×