Developers’ mDay 2021: Goran Kunjadić, Cyber security, cryptography and DPO expert – Cybersecurity: Hakovanje Web aplikacija
•Download as PPTX, PDF•
0 likes•94 views
Developers’ mDay 2021: Goran Kunjadić, Cyber security, cryptography and DPO expert – Cybersecurity: Hakovanje Web aplikacija
Recommended
Recommended
More Related Content
What's hot
What's hot (16)
Similar to Developers’ mDay 2021: Goran Kunjadić, Cyber security, cryptography and DPO expert – Cybersecurity: Hakovanje Web aplikacija
Similar to Developers’ mDay 2021: Goran Kunjadić, Cyber security, cryptography and DPO expert – Cybersecurity: Hakovanje Web aplikacija (20)
More from mCloud
More from mCloud (20)
Recently uploaded
Recently uploaded (20)
Developers’ mDay 2021: Goran Kunjadić, Cyber security, cryptography and DPO expert – Cybersecurity: Hakovanje Web aplikacija
- 1. HAKOVANJE WEB APLIKACIJA GORAN KUNJADIĆ EKSPERT ZA SAJBER BEZBEDNOST, KRIPTOGRAFIJU I UPRAVLJANJE OBRADOM PODATAKA O LIČNOSTI
- 2. AGENDA • KARAKTERISTIKE BEZBEDNOSTI WEB APLIKACIJA • TIPOVI NAPADA NA WEB APLIKACIJE • TESTIRANJE BEZBEDNOSTI
- 5. UZROCI RIZIKA U WEB APLIKACIJAMA • DIVELOPERI SU MALO (ILI UOPŠTE NISU) IZUČAVALI BEZBEDNOST; • STRUČNJACI ZA BEZBEDNOST SE NE BAVE RAZVOJEM APLIKACIJA; • KRATKI ROKOVI ZA RAZVOJ APLIKACIJA; • COPY/PASTE KODA SA WEB LOKACIJA; • PROGRAMSKI JEZICI KOJI SE LAKO KORISTE; • NEDOSTATAK INTERNIH STANDARDA ZA KODIRANJE.
- 6. NAJVIŠE IZLOŽENA A NAJMANJE ZAŠTIĆENA INFRASTRUKTURA
- 7. KARAKTERISTIKE RANJIVOSTI WEB APLIKACIJA • RANJIVOST POSTOJI U APLIKACIJI A NE U OPERATIVNOM SISTEMU; • JEDNOSTAVAN NAPAD JER SE ČESTO ZAHTEVA SAMO WEB BROWSER; • SSL ŠIFROVANI SAOBRAĆAJ.
- 8. OWASP • OPEN WEB APPLICATION SECURITY PROJECT (OWASP); • ONLINE ZAJEDNICA KOJA OBEZBEĐUJE SLOBODNO DOSTUPNE ČLANKE, METODOLOGIJE, DOKUMENTACIJU, ALATE I TEHNOLOGIJE U OBLASTI BEZBEDNOSTI WEB APLIKACIJA; • POŠTOVANJE OWASP PREPORUKA/STANDARDA OBEZBEĐUJE KONFIGURISANJE BEZBEDNOSTI U SKLADU SA NAJBOLJOM PRAKSOM.
- 9. ALATI ZA HAKOVANJE • KALI LINUX OS; • METASPLOIT FRAMEWORK; • EXPLOIT MODULE; • PAYLOAD MODULE; WMAP WEB SCANNER JE MODUL KOJI SE KORISTI ZA OTKRIVANJE RANJIVOSTI WEB APLIKACIJA; NAKON SKENIRANJA SE KREIRA SKRIPTA ZA NAPAD KOJA POKUŠAVA DA ISKORISTI UOČENU RANJIVOST.
- 10. TIPOVI NAPADA NA WEB APLIKACIJE
- 11. SQL INJECTION SQL INJECTION NAPAD SE IZVRŠAVA KADA SE OD KORISNIKA ZAHTEVA UNOS KAO ŠTO SU USERNAME I PASSWORD. UMESTO TRAŽENIH PARAMETARA NAPADAČ UNOSI SQL KOD KOJI ĆE SE IZVRŠITI NAD NAPADNUTOM BAZOM PODATAKA OTKRIVAJUĆI SADRŽAJ BAZE. SELECT * FROM USERS WHERE NAME = 'A’; DROP TABLE USERS; SELECT * FROM USERINFO WHERE 'T' = 'T';
- 12. CROSS-SITE SCRIPTING (XSS) • NA OVAJ NAČIN IZVODI SE OKO 40% NAPADA; • JEDNOSTAVAN NAPAD KOJI MOGU IZVRŠITI I OSOBE KOJE NEMAJU PUNO ZNANJA TAKO ŠTO ĆE KORISTITI GOTOVE SKRIPTE; • HAKOVANJE VIŠE WEB LOKACIJA CILJA KORISNIKE WEB LOKACIJE UMESTO NA SAMU WEB APLIKACIJU. NAPADAČ UBACUJE DEO KODA NA WEB LOKACIJU, KOJU ZATIM IZVRŠAVA KORISNIK WEB LOKACIJE. KOD MOŽE UGROZITI KORISNIČKE NALOGE, AKTIVIRATI MALICIOZNI SOFTVER ILI IZMENITI SADRŽAJ WEB LOKACIJE KAKO BI KORISNIKA PREVARIO I NAVEO GA DA OTKRIJE SVOJE KREDENCIJALE ILI OSETLJIVE PODATKE.
- 13. PATH (OR DIRECTORY) TRAVERSAL • PATH TRAVERSAL NAPADI CILJAJU ROOT WEB FOLDER RADI PRISTUPA NEOVLAŠĆENIM DATOTEKAMA ILI FOLDERIMA; • NAPADAČ POKUŠAVA DA IZVRŠI ESKALACIJU PRAVA KAKO BI MOGAO DA U POTPUNOSTI RASPOLAŽE FOLDERIMA; • UKOLIKO JE NAPAD USPEŠAN MOGU BITI UGROŽENI: PRISTUP WEB LOKACIJI, KONFIGURACIONI FAJLOVI, BAZE PODATAKA I DRUGE WEB LOKACIJE KOJE SE NALAZE NA ISTOM FIZIČKOM (ILI VIRTUELNOM) SERVERU.
- 15. MAN-IN-THE-MIDDLE ATTACK Brute Force Attack
- 16. BRUTE FORCE ATTACK • BRUTE FORCE ATTACK JE VRLO JEDNOSTAVAN METOD ZA PRISTUP PODACIMA ZA PRIJAVU NA WEB APLIKACIJU; • NAPADAČ POKUŠAVA DA POGODI KOMBINACIJU KORISNIČKOG IMENA I LOZINKE ZA PRISTUP KORISNIČKOM NALOGU; • VEOMA JE DUGOTRAJAN PROCES OSIM U SLUČAJU KADA SU LOZINKE JEDNOSTAVNE, ŠTO NAJČEŠĆE JESU; • NAJBOLJI NAČIN ZAŠTITE PODATAKA ZA PRIJAVU JE KREIRANJE JAKE LOZINKE ILI UPOTREBA DVOFAKTORSKE AUTENTIFIKACIJE (2FA).
- 17. PHISHING • LAŽNO PREDSTAVLJANJE JE METOD NAPADA KOJI NIJE DIREKTNO USMEREN NA WEB LOKACIJE ALI SE ČESTO KORISTI; • PRREMA IZVEŠTAJU FBI RADI SE NAJČEŠĆEM OBLIKU INTERNET KRIMINALA KOJI SE IZVODI METODOM SOCIJALNOG INŽENJERINGA; • STANDARDNI ALAT KOJI SE KORISTI U POKUŠAJIMA KRAĐE IDENTITETA JE E – MAIL; • POZNAT JE NAPAD 419 IAKO DOBRO DOKUMENTOVAN I DALJE FUNKCIONIŠE; • NAJBOLJA ODBRANA JE PODIZANJE BEZBEDNOSNE SVESTI.
- 22. HVALA NA PAŽNJI! Goran Kunjadić goran.kunjadic@gmail.com