Web aplikāciju drošība

  Juris Pūce
  juris.puce@checkit.lv
  CISA ...
Kas tad ir web aplikācijas

• Plašāka pāreja uz web aplikācijām
  – Bankas, sociālie tīkli, portāli, utml
• WEB 2.0
  – AJ...
Klasiskie drošības mehānismi

• Perimetra drošības nodrošināšana
• Jauninājumu instalēšana

• Web aplikāciju gadījumā ar t...
Kā tad nodrošināt drošību

• Tehnoloģiskā drošība
  –   Operētājsistēma
  –   Ar lapas apkalpošanu saistītie servisi
  –  ...
Tehnoloģiju daļa web lapu
drošībā
• SQL injection (un citi injection tipi
   – Piekļuve datu bāžu saturam
• XSS Cross Site...
Procesu daļa drošības
nodrošināšanā
• Izstrādes daļa
   – Secure Development
   – Testēšana pēc ieviešanas


• Pastāvīga u...
Kādi ir rezultāti

•   Defacement
•   Datu iegūšana
•   Šantāža
•   Izklaide...
Rezultāti
Kādi ir “top” gadījumi
• Latvija
   – Valsts Policijas mājas lapa = 2007.07
   – Iekšlietu ministrijas mājas lapa = 2007.1...
OWASP
• Open Web Application Security Project
• Projekti
   – PROTECT
       •   Development guide
       •   Sammy
      ...
Kur gūt papildus informāciju

•   Google
•   OWASP.org
•   http://ha.ckers.org
•   www.zone-h.org
Upcoming SlideShare
Loading in …5
×

Web Aplikāciju Drošība

932 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
932
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Web Aplikāciju Drošība

  1. 1. Web aplikāciju drošība Juris Pūce juris.puce@checkit.lv CISA ...
  2. 2. Kas tad ir web aplikācijas • Plašāka pāreja uz web aplikācijām – Bankas, sociālie tīkli, portāli, utml • WEB 2.0 – AJAX – Drošība vs. Lietojamība
  3. 3. Klasiskie drošības mehānismi • Perimetra drošības nodrošināšana • Jauninājumu instalēšana • Web aplikāciju gadījumā ar to nav gana...
  4. 4. Kā tad nodrošināt drošību • Tehnoloģiskā drošība – Operētājsistēma – Ar lapas apkalpošanu saistītie servisi – Tīkla infrastruktūra – Web aplikācijas saturs • Procedūras un procesi – Izstrāde ar fokusu uz drošību – Uzraudzība un kontrole • Auditācijas pieraksti • Pro-aktīva drošības testēšana
  5. 5. Tehnoloģiju daļa web lapu drošībā • SQL injection (un citi injection tipi – Piekļuve datu bāžu saturam • XSS Cross Site Scripting – Pārvirzīšana, sesiju nolaupīšana, lapas izskats (jebkura JavaScript funkcija) • Mainīgo minēšana – ?pass=xas2312 • Paroļu minēšana • Cookie izmantošana • Un citi...
  6. 6. Procesu daļa drošības nodrošināšanā • Izstrādes daļa – Secure Development – Testēšana pēc ieviešanas • Pastāvīga uzraudzība un kontrole – Auditācijas pieraksti • Proaktīvās darbības – Drošības pārbaudes • Vulnerability management process • Drošības incidentu izmeklēšana – Informācijas ievākšana
  7. 7. Kādi ir rezultāti • Defacement • Datu iegūšana • Šantāža • Izklaide...
  8. 8. Rezultāti
  9. 9. Kādi ir “top” gadījumi • Latvija – Valsts Policijas mājas lapa = 2007.07 – Iekšlietu ministrijas mājas lapa = 2007.10 – Kopumā katru mēnesi ~20 lapām • Pasaule – RIAA (ASV ierakstu industrija) 2008.04 • SQL injection – Twitter kontu laušana (t.sk. Baraka Obamas konts) 2009.02 • Brute force – Orkut, Myspace un citu sociālo tīklu problēmas ar XSS (2007/2008/2009) • Worm tipa aplikācijas
  10. 10. OWASP • Open Web Application Security Project • Projekti – PROTECT • Development guide • Sammy • Enterprise Security • Ruby on Rails – DETECT • WebScarab • LiveCD • Code Review & Testing • Top Ten (Qualys) – LIFE CYCLE • WebGoat • Legal • Latvian chapter
  11. 11. Kur gūt papildus informāciju • Google • OWASP.org • http://ha.ckers.org • www.zone-h.org

×