Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Application security? Firewall it!

398 views

Published on

Ведущий: Эльдар Бейбутов

Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.

Published in: Technology
  • Be the first to comment

Application security? Firewall it!

  1. 1. Application Security? Firewall it. БЕЙБУТОВ ЭЛЬДАР eldar.beybutov@gmail.com SecurityTrace.ru
  2. 2. Статистика по защите веб-приложений Очень низкая Низкая Средняя Высокая Не удалось в заданных границах
  3. 3. Классификация угроз WASC
  4. 4. Программная реализация подпроцессов. Последовательность подпроцессов функции. Конкретный функционал приложения. Построение функциальности приложения Выдача данных Перевод средств Обратная связь Создание и обработка форм Выполнение запросов к БД Манипуляция данными .NET / JAVA … Python / Perl …. SQL / LDAP / SSI … Бизнес функция Процессная логика Исполняемая логика
  5. 5. Бизнес функция Процессная логика Исполняемая логика Перевод средств между пользователями. Аутентификация пользователя. query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; Создание сессии. session_start(); $_SESSION[‘username’] = $user; Формирование форм пользователя. echo “<html><form method=“GET”>"; print_r($_SESSION); echo "</html></form>"; Обработка формы перевода средств. Списание средств по реквизитам. Начисление средств по реквизитам. $sender = $_SESSION[ ‘username’ ] $amount = $_POST[ ‘amount’ ]; $receiver = $_POST[ ‘receiver’ ]; transaction($sender, $receiver, $amount); Пример выстроенной функциональности
  6. 6. $query = "SELECT * FROM `users` WHERE user = '$_GET[ 'username' ]' AND password = ' $_GET[ ‘Password' ] ';"; $query = "SELECT * FROM `users` WHERE user = 'admin’ OR 1=1 #' AND password = '$pass';"; Атака на исполняемую логику После внедрения данных пользователя меняется структура / смысл запроса.
  7. 7. Угрозы исполняемой логики Инъекции: SQL, XPATH, LDAP, SSI. Удаленное выполнение кода Переполнение буфера Межсайтовое выполнение сценариев Атака на функции форматирования строк Расщепление HTTP-запроса Получаемые данные логику исполнения кода. Получаемые данные попадают в исполняемую область программы. Используются слабые математические преобразования. Угрозы исполняемой логики
  8. 8. Атака на процессную логику На основе результата аутентификации прикрепляется cookie. По cookie создается форма перевода средств. Ожидается прием заполненной формы. При обработке не проверяется аутентичность отправителя и авторизация доступа. Прямое обращение к процессу обработки формы перевода средств является несанкционированным доступом, при этом Нарушение исполняемой логики не происходит, однако угроза реализована. Прямой доступ
  9. 9. Угрозы процессной логики Логические атаки, недостаточная валидация процесса. Недостаточная аутентификация. Недостаточная авторизация. Прямое обращение к ресурсам. Небезопасное восстановление пароля. Фиксация сессий. Перебор идентификаторов доступа. Небезопасные идентификаторы сессий. Нет разграничения доступа. Можно нарушить последовательность выполнения подпроцессов. Недостаточная проверка данных от процессов других функций. Угрозы процессной логики
  10. 10. Атака на бизнес функцию Злоумышленник заражает пользователя приложения по неконтролируемому каналу данных, крадет учетную запись и от его имени выполняет операции по переводу средств. При этом Нарушение процессной и исполняемой логики не происходит, однако ущерб нанесен.
  11. 11. Угрозы бизнес функции Человек по середине, человек в браузере. Вирусное заражение пользователя Недостаточное противодействие автоматизации Злоупотребление функциональными возможностями Кража учетных данных Отказ в обслуживании Доступ был скомпрометирован на стороне и похищен злоумышленником. Интенсивность использования бизнес функции наносит вред бизнесу. Взаимодействие выполняется не человеком, а автоматизировано машиной. Угрозы бизнес функций
  12. 12. Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение Необходимо срочно повышать защищенность исполняемой и процессной логики.
  13. 13. Безопасность с помощью Web Application Firewall Машинное обучение Эвристический анализ Корреляции Усиление прикладного уровня • Доступ по модели белых списков • Защита от неизвестных уязвимостей • Определение скрытых попыток взлома • Независимость от сигнатур • Высокая эффективность • Определение опасных функций сайта • Проверка по RFC • Внедрение защищающих HTTP заголовков • Нормализация • Защита процессной логики (CSRF, Cookie protection, URL protection) • Определение цепочек атак • SIEM корреляции на уровне приложения • Заложенные правила выявления атак • Верификация атак встроенным сканером HTTP
  14. 14. Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение защищенное Web Application Firewall. Защищенность исполняемой и процессной логики существенно возросла. Но теперь самое слабое звено, это защищенность бизнес функций, и злоумышленники будут прикладывать усилия для совершения мошеннических операций с целью нанести ущерб и извлечь из этого выгоду.
  15. 15. Технология позволяющая защитить веб-приложение от вредоносной активности, используя машинное изучение поведения, технологическую разведку и продвинутую корреляцию. Интеллектуальный поведенческий анализ 219 Краулинг Отказ в обслуживании АвтоматизацияКража учетки Вирусное заражение Эксплуатация функциональности Машинное изучение поведения • Уникальность запросов • Статистика кодов ответа • Связанные события безопасности • Используемые методы • Время ответа • Временные рамки взаимодействия • Переходы по приложению Технологическая разведка • Отслеживание мыши • Сканирование устройства • Сканирование браузерного окружения • Доступ к скрытому от глаз функционалу • Попытка эксплуатации симулируемых уязви • Использование репарационных баз
  16. 16. Защищенность бизнес функции Защищенность процессной логики Защищенность исполняемой логики Как хакер видит веб-приложение защищенное WAF с интеллектуальным поведенческим анализом.
  17. 17. Спасибо! eldar.beybutov@gmail.com SecurityTrace.ru

×