Документ представляет лекцию по безопасности интернет-приложений, рассматривающую риски и угрозы в киберсреде. Он включает в себя краткую историю развития веб-технологий, а также модели угроз, связанные с кражей данных и вмешательством злоумышленников. В дополнение, обсуждаются аспекты киберкрайма и способы тестирования на проникновение.

1. Безопасность интернет приложений
Лекция
Риски и угрозы
Рабоволюк Ярослав

2. Программа курса
 10 лекций
 3 домашних задания
 3 семинара
 экзамен
2

3. Интернет враждебная среда
«Тот, кто еще до сражения
определяет в храме
предков, что одержит
победу, находит, что
большинство обстоятельств
в его пользу. Тот, кто
еще до сражения
определяет в храме
предков, что не одержит
победу,
находит немного
обстоятельств в свою
пользу»
Сун Цзы
3

4. Краткая история
Зарождение WWW
MySQL 3.23, jsp
1989-92
1969-70
UNIX, tcp/ip
1995-2000
1995-96
Интеграция js в браузеры
Apache, Mysql, php, asp
4

5. Краткая история
Интерес
Слава
Деньги
5

6. Краткая история
«Так, умение поднять
осенний лист не может
считаться большой
силой;
способность видеть луну
и солнце не может
считаться острым
зрением;
способность слышать
звук грома не может
считаться тонким
слухом.»
Сун Цзы
6

7. Наше время
Деньги
Деньги
Деньги
7

8. Наше время
«Если войска противника
подняты и приближаются к
нашим силам только
для того, чтобы занять
позиции и не вступать в
битву, за ними нужно
внимательно наблюдать.»
Сун Цзы
8

9. Наше время
«Применение огневых
атак зависит от
соответствующих условий.
Оснащение для огневых
атак нужно полностью
приготвить до того, как
оно потребуется.»
Сун Цзы
9

10. Наше время
«Поэтому из всех дел в
трех армиях нет более
близких, чем со
шпионами; нет наград
более щедрых, чем
даваемые шпионам; нет
дел
более секретных, чем
касающиеся шпионов.»
Сун Цзы
10

11. Наше время
11

12. Наше время
12

13. Наше время
13

14. Рынок киберкрайма
Исследования в области ИБ
программы
Тестирование на проникновение
14

15. Рынок киберкрайма
Company
profit
ZDI
~$2500+
Facebook
$500+
Google
csrf - $500, rce - $20000
PayPal
sqlinj - $3000
Bounty programs list: http://goo.gl/gEFJ4
15

16. Рынок киберкрайма
Исследования в области ИБ
программы
Разработка и продажа эксплойтов
Кража аккаунтов
Кража использование данных
Ботнет
Ифрейм траффик
Спам партнерки
Кардинг
конкурентная разведка
Кража виртуальных артефактов
16

17. Рынок киберкрайма
Dump all data, leave
Inject code, leave
site
Hide and wait
Resell access
17

18. Рынок киберкрайма
низкий уровень знаний
Избегают сложностей
Склонны доверять знакомой среде
18

19. Рынок киберкрайма
Phishing
Trojan
Social engineering
Hacked site
USER
Reused accs
Bruteforced accs
19

20. Рынок киберкрайма
20

21. Рынок киберкрайма
Социальный спам
Перс. данные
USER
Платежные данные
«виртуальная
собственность»
21

22. Модель угроз
Продажа шин
Форма заказов ввод имени телефона адреса
Возможность зарегистрироваться
Платежный инструмент наличные выставление счета
прием оплаты по карте
Статистика по заказам
22

23. Модель угроз
сервер
злоумышленник
сайт
обьекты
пользователи
заказы
Платежные
инструменты
23

24. Модель угроз
сервер
злоумышленник
сайт
обьекты
пользователи
заказы
- конкурент
- хакер
- бот
Платежные
инструменты
24

25. Модель угроз
сервер
перехват заказов
злоумышленник
сайт
обьекты
нарушение
работы
пользователи
кража денег
заказы
Платежные
инструменты
- конкурент
- хакер
- бот
получение
доступа
25

26. Модель угроз
нарушение
работы
Сайт: форма
заказов
конкурент
сервер
26

27. Модель угроз
нарушение
работы
Сайт: форма
заказов
Captcha
Ip blacklist
конкурент
сервер
Облако
провайдер
27

28. Модель угроз
кража денег
Платежные
инструменты:
счета
хакер
Платежные
инструменты:
данные карт
28

29. Модель угроз
кража денег
Платежные
инструменты:
счета
Отправка формы платежа по email
хакер
Платежные
инструменты:
данные карт
НЕ процессить карты
29

30. Модель угроз
Получение
доступа
сайт
Хакер, бот
сервер
30

31. Модель угроз
Получение
доступа
сайт
Поддержка обновлений П.О.
Security review кода
Ограничения аутентификации
waf, ips
Хакер, бот
сервер
Поддержка обновлений сервера
Не использовать shared hosting
Ограничения аутентификации
31

32. Модель угроз
Регистрации нет
Форма ввода
либо загрузки файла
Возвращает короткую ссылку на изображение и
для вставки
код
32