Основные факторы рисков для вебсайтов. На живых примерах крупных игроков eCommerce на RU и US рынках рассмотрим уязвимости сайтов онлайн.

1. Онлайн безопасность
- фактор #1 в SEO
Юрий Титков
Директор по развитию
«Ольшанский и Партнеры»
titkov@olshansky.ua

2. Кто кого не любит в мире?
Следите за войной вместе со мной:
http://map.ipviking.com/

3. Война начинается вот так …

4. И продолжается …

5. продолжается ВСЕГДА …

6. Но сегодня о другом!

7. 5 из 10 онлайн магазинов в
RUnet уязвимы!

8. 7 из 10 онлайн магазинов в
US уязвимы!

9. Google это НЕ нравится …

10. Сначала он решил
предупредить …

11. Всех! 

12. 20 апреля будет
параллельный update…

13. забудьте о мобильной
выдаче…

14. займитесь БЕЗОПАСНОСТЬЮ!

15. а теперь о хорошем 

16. пока они решают вопросы
безопасности …

17. XSS уязвимость

18. XSS уязвимость

19. XSS уязвимость

20. XSS:инструкция
Чтобы стать чуть круче нам понадобится:
1. Simple REST Client для преобразование get/post запросов: http://goo.gl/W2Qt92
2. Список балбесов. Используйте Google inurl:search.php и различные вариации на
тему.
3. Генерируем sitemap.xml со всеми созданными нами URL
4. Добавляем sitemap.xml в webmaster tools к любому ненужному сайту. Либо в
любое другое удобное место для индексации … 
Для легкости поиска XSS скрипт автопосика на GitHub: http://goo.gl/chYktL

21. Насколько все плохо?

22. Вот на столько хорошо:

23. и это цветочки …

24. мой любимый wmmail.ru …

25. DDOS: проще не бывает
<script>
For (var i = 0; i < 300; i++) {
var img = new image();
var url = ‘ftp://localhost:80/?’ + i;
img.src = url;
}
</script>

26. маленький скрипт, а какие
большие проблемы…

27. DDOS: проще не бывает
Стоимость 1к трафика на wmmail.ru = $0.08
1 000 000 000 запросов = $80!
Как с этим бороться???
Да никак оставайтесь в Ж 

28. Трафик есть нужна фантазия
IMG SRC vulnerability:
<img src=“http://torrent/D1C16B1E2330.torrent”>
<img src=“http://www.google.com/search?q=SEMPRO+conf”>
<img src=“http://domain.URL/vote?id=4”>

29. Likejacking!

30. Likejacking: 1mln трафа
Что для этого надо?
1. Скрипт: http://goo.gl/h1t6Ql
2. Какое-то крутое видео с котиками или сиськами.
3. И крутая картинка для Facebook share с веселым текстом типа “Не ожидал
видеть себя в ЭТОМ видео! )))))”

31. Likejacking: на выходе!

32. вот только что с ним делать?

33. SSL?? Никогда!!

34. Но …

35. Спасибо Google  !!!

36. Be aware of Poodle!!
SSL 3.0 стал роковым шагом в глобальном масштабе!
Solution: http://goo.gl/qYvmRX

37. Спроси Google…
он знает все

38. Спроси Google
Google любит индексировать все что попадается под руки.
Примеры о чем спрашивать:
1. site:slivmail.com filetype:xls
2. Поиск по “index of /”

39. Спроси Google
site:slivmail.com filetype:xls

40. Спроси Google
Поиск по “index of /”
1

41. Безопасность начинается с
вас!
1. Социальные сети дают возможность найти сотрудников компании.
2. Познакомиться.
3. Нажать кнопку Restore Password (лучше это делать ночью  )
4. Узнать ответ на Secret Questions (помните фильм Иллюзия Обмана? )
5. Посмотреть какие сервисы подвязаны под Facebook account. Зайти туда …
6. Продолжить свой путь до личной почты.
7. Через личную почту мы попадаем на корпоративную. Потом на
внутренние интерфейсы.
8. …
9. …

42. Поверьте не надо быть хакером,
чтобы получить доступ в систему.
Надо уметь общаться с людьми.

43. Мы сами хотим рассказать свои
секреты…

44. come to the Dark Side!

45. Успехов вам,
и вашему
бизнесу!
Юрий Титков
Директор по развитию
«Ольшанский и Партнеры»
titkov@olshansky.ua
Информация о компании,
услугах и технологиях
www.olshansky.ua