Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka

183 views

Published on

Mateusz Olejarka

Language: Polish

Procesy biznesowe w aplikacjach WWW stanowią interesujący cel dla potencjalnego intruza. Są to kluczowe miejsca aplikacji - te, które tworzą wartość zarówno dla samego użytkownika, jak i właściciela aplikacji. W trakcie prezentacji spojrzymy na szereg przykładowych procesów z perspektywy atakującego. Zastanowimy się wspólnie, gdzie w danym procesie szukać zysku jako atakujący oraz jakie przypadki testowe warto sprawdzić. Omówimy co było nie tak z implementacją, jak ją naprawić oraz czego unikać w przyszłości.

Testowanie zabezpieczeń logiki biznesowej różni się od szukania technicznych podatności. Wymaga mniej wiedzy technicznej i lepszego zrozumienia założeń biznesowych. Prezentacja ma charakter warsztatowy i jest ukierunkowana na interakcję z uczestnikami. Prowadzący przedstawia założenia odnośnie danego procesu oraz jego kroki, pozostawiając publiczności wymyślanie w jaki sposób go zaatakować.

Published in: Software
  • Be the first to comment

  • Be the first to like this

4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka

  1. 1. Procesy biznesowe z perspektywy atakującego Mateusz Olejarka 4Developers, 20.04.2015
  2. 2. • Starszy Specjalista ds. Bezpieczeństwa IT, SecuRing • Ocena bezpieczeństwa aplikacji webowych i mobilnych • Trener • (Były) programista • OWASP Poland, członek zarządu Kto zacz?
  3. 3. • Bezpieczeństwo procesów • Przyda się • Przykłady i techniki • Pytania Agenda
  4. 4. Czemu testować bezpieczeństwo procesów? Na co ta wiedza mi? Ja zajmuję się programowaniem a nie bezpieczeństwem! ;) Bezpieczeństwo procesów?!
  5. 5. Błędy na poziomie: • Logiki procesu • Implementacji procesu Bezpieczeństwo procesów?!
  6. 6. Web developer • Pokazuje pola ukryte na formularzu • Zdejmuje ograniczenie długości pól • Uaktywnia pola zablokowane (disabled) • Zamiana pól wyboru na tekstowe Przyda się
  7. 7. HTTP proxy Przyda się Przeglądarka SerwerProxy
  8. 8. • Omówienie procesu • Jak go zaatakować? • Co było nie tak? • Techniki testowania Proces - schemat
  9. 9. • Edycja elementu danych • Przypomnienie hasła • Zmiana nr telefonu do autoryzacji SMS • Zlecenie z autoryzacją X 3 Przykłady
  10. 10. Proces • Wybór elementu danych z listy • Zmiana danych • Zapisanie zmian (+ ew. autoryzacja) Edycja elementu danych
  11. 11. Proces • Wybór elementu danych z listy • Zmiana danych • Zapisanie zmian (+ ew. autoryzacja) Identyfikator elementu danych w polu ukrytym jest kroku 1 i 2 Edycja elementu danych
  12. 12. Proces • Podanie adresu email • Podanie kodu otrzymanego na email • Zmiana hasła Przypomnienie hasła
  13. 13. Przypomnienie hasła
  14. 14. Przypomnienie hasła bob@securing.pl
  15. 15. MANIPULACJA PARAMETRAMI UKRYTYMI I ZABLOKOWANYMI DO EDYCJI Technika nr 1
  16. 16. Proces • Podanie treści kodu sms, który przyszedł na stary telefon • Podanie nowego numeru telefonu • Podanie treści kodu sms, który przyszedł na nowy telefon • Zapisanie zmiany Zmiana nr telefonu
  17. 17. WERYFIKACJAWALIDACJI WYMAGANYCH PARAMETRÓW (FORMAT IWARTOŚĆ) Technika nr 2
  18. 18. Proces • Uzupełnienie danych zlecenia • Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji Zlecenie z autoryzacją
  19. 19. Proces • Uzupełnienie danych zlecenia • Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji Podpowiedź: Proszę Państwa, to jest proste ;) Zlecenie z autoryzacją
  20. 20. POMINIĘCIE PARAMETRU I JEGO WARTOŚCI PODCZAS WYKONANIA AKCJI NA FORMULARZU Technika nr 3
  21. 21. Proces • Uzupełnienie danych zlecenia • Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji Zlecenie z autoryzacją
  22. 22. Proces • Uzupełnienie danych zlecenia • Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji Podczas wykonania autoryzacji przesyłane są dane transakcji Zlecenie z autoryzacją
  23. 23. POWTÓRZENIE OPERACJI AUTORYZACJI ZE ZMIENIONYMI DANYMI Technika nr 4
  24. 24. Proces • Uzupełnienie danych zlecenia • Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji Zlecenie z autoryzacją
  25. 25. Proces • Uzupełnienie danych zlecenia • Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji Dostępne akcje na formularzu to: • signandsend • save Zlecenie z autoryzacją
  26. 26. EKSPERYMENTUJ! Technika nr 5
  27. 27. Dziękuję, zapraszam na darmowe konsultacje ! -> www.securing.pl/konsultacje mateusz.olejarka@securing.pl

×