WebExpo Prague Presentation

1,488 views

Published on

Published in: Travel, Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,488
On SlideShare
0
From Embeds
0
Number of Embeds
197
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

WebExpo Prague Presentation

  1. 2. Skôr než začneme ... <ul><li>Nebojte sa opýtať akúkoľvek otázku! </li></ul><ul><li>Pýtajte sa! </li></ul><ul><li>Bavte sa! </li></ul>
  2. 3. Príchod Web 2.0 <ul><li>Zmeny oproti Web 1.0 </li></ul><ul><li>Počet užívateľov určuje cenu projektu </li></ul><ul><li>Reklama, služby, atď. sú smerované na užívateľa </li></ul><ul><li>Služby nahradzujú hard aplikácie (SAAS) </li></ul><ul><li>Obsah je spravovaný na webe </li></ul><ul><li>Data in the cloud (cloud computing) </li></ul><ul><li>Komunikácia služieb na pozadí </li></ul><ul><li>Užívatelia zdieľajú intímnejší obsah </li></ul>
  3. 4. Hacking 2.0 <ul><li>Vznik botnetov (malware šitý na mieru) </li></ul><ul><li>Útoky sú zamerané na úžívateľov </li></ul><ul><li>Weby sú napadnuteľné z „neobvyklých miest“ (API, Flash, atď.) </li></ul><ul><li>Cena užívateľských dát stúpa </li></ul><ul><li>Jednoduchší social engineering (väčšia dostupnosť osobných dát) </li></ul><ul><li>Väčší dosah útokov (widgety, atď.) </li></ul><ul><li>Phishing </li></ul>
  4. 5. Staro-nové formy útokov <ul><li>Cross-site Scripting (XSS) </li></ul><ul><li>- distribúcia malwaru, odcudzovanie dát </li></ul><ul><li>Cross-request Forgery (CSRF) </li></ul><ul><li>- užívateľská interakcia bez jeho vedomia </li></ul><ul><li>Masívny DDoS </li></ul><ul><li>CSS Hack </li></ul><ul><li>Clickjacking </li></ul><ul><li>- vyvolanie interackie užívateľa bez jeho vedomia </li></ul>
  5. 6. Cross-site Scripting (XSS) <ul><li>Možnosť získať užívateľove dáta </li></ul><ul><li>- Cookies, Session, Email, Kreditné karty, atď. </li></ul><ul><li>Možnosť pracovať s DOM </li></ul><ul><li>- dokonalý phishing </li></ul><ul><li>V kombinácii s CSRF </li></ul><ul><li>- možnosť zmeniť heslo, email a iné dáta </li></ul><ul><li>Obchádzať bezpečnú komunikáciu (SSL) </li></ul><ul><li>Možnosť vytvoriť Keylogger </li></ul>
  6. 7. Cross-site Request Forgery (CSRF) <ul><li>Možnosť interakcie bež užívateľovho vedomia </li></ul><ul><li>- email, registrácia, anketa, reklama, zdieľanie </li></ul><ul><li>Veľmi zlý spôsob filtrácie </li></ul><ul><li>- RFC 2616 </li></ul><ul><li>V kombinácii s XSS </li></ul><ul><li>- simulovanie správania užívateľa </li></ul><ul><li>DDoS </li></ul><ul><li>- pri veľkej návštevnosti možnosť zaútočiť na menšie weby (slashdot efekt) </li></ul>
  7. 8. Mýty o CSRF a XSS <ul><li>Non-persistant XSS je nutné posielať cez IM/mail </li></ul><ul><li>- možnosť umiestniť do iframe/src na web </li></ul><ul><li>Cez XSS je možné získať len Cookies </li></ul><ul><li>- práca s DOM, odosielanie/načítavanie dát </li></ul><ul><li>XSS cez post nie je možné vyvolať </li></ul><ul><li>- nezáleží na metóde posielania dát </li></ul><ul><li>Proti CSRF je možné bojovať kontrolou referera </li></ul><ul><li>- referer je možné posielať spoofnutý </li></ul>
  8. 9. Skutočné prípady
  9. 10. Skutočné prípady
  10. 11. Skutočné prípady
  11. 12. Skutočné prípady
  12. 13. CSS Hack <ul><li>Umožňuje zistiť, aké stránky užívateľ navštívil </li></ul><ul><li>Možnosť cieliť phishingové útoky </li></ul><ul><li>Možnosť zobrazovania cielenej reklamy </li></ul><ul><li>Možnosť zistiť či užívateľ navštevuje konkurenciu </li></ul><ul><li>Možnosť odhadnúť pohlavie užívateľa </li></ul><ul><li>Možnosť cieliť akékoľvek útoky (CSRF + XSS) </li></ul>
  13. 14. Clickjacking <ul><li>Využíva interakciu užívateľa a prenáša ju na iný web </li></ul><ul><li>využíva sa vrstvenie a skrytý iFrame </li></ul><ul><li>infikovateľný Flash, JavaScript / ochrana NoScript </li></ul><ul><li>Umožňuje zapnúť kameru a jej nahrávanie </li></ul><ul><li>Umožňuje pridať email do profilu na stránky </li></ul><ul><li>Umožňuje pracovať s akýmkoľvek webom kde je užívateľ ne/ registrovaný </li></ul>
  14. 15. Cielené útoky <ul><li>Výhodou cielených útokov je: </li></ul><ul><li>možnosť vyradiť znalých užívateľov (detekcia NoScriptu, CSS Hack, atď.) </li></ul><ul><li>možnosť pracovať s konkrétnym užívateľom a prispôsobovať sa mu </li></ul><ul><li>možnosť flexibility pri „boji“ s bezpečnostnými expertami </li></ul><ul><li>možnosť vyradiť konkurenciu </li></ul>
  15. 16. Príklad fungovania bežného webu (kód) Jadro Vstupné dáta Web Dáta od užívateľa, tretia strana Vstup neodfiltrovaných dát, spracovanie, vkladanie/výber z databázi, iné úkony Výstup neodfiltrovaných dát, zobrazenie na webe/inom rozhraní
  16. 17. Príklad fungovania bezpečného webu (kód) Jadro Vstupné dáta Web Dáta od užívateľa, tretia strana Vstup odfiltrovaných dát, spracovanie, vkladanie/výber z databázi, iné úkony Výstup odfiltrovaných dát, zobrazenie na webe/inom rozhraní Filter Filter Filtrácia škodlivého kódu (SQL Injection, dlhé reťazce (buffer overflow)) Filtrácia škodlivého kódu (XSS)
  17. 18. Najlepšie spôsoby ochrany <ul><li>Vyberať vhodné spôsoby zabezpečenia, snažiť sa nie na úkor pohodlia užívateľov </li></ul><ul><li>Postupné vzdelávanie užívateľov a pracovníkov projektu </li></ul><ul><li>Voliť bezpečnostné prvky na strane serveru, nie užívateľa </li></ul><ul><li>Dodržiavať všeobecne zaužívané bezpečnostné zásady pri tvorení kódu </li></ul><ul><li>a samozrejme ... </li></ul>
  18. 19. Ďakujem za pozornosť Za grafické spracovanie prezentácie ďakujem mushovi ( http ://musho.sk ) Rastislav Turek | Synopsi.com [email_address]

×