SlideShare a Scribd company logo
Безопасность сессий в веб-
приложении: практическое применение
Катерина Овеченко. Itera Consulting
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014 / 2
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014 / 4
Что такое веб-сессия?
“HTTP - это протокол без состояний. Сессии решают эту проблему.”
Веб-сессия – это структура данных конкретного пользователя, которую
приложение использует для хранения временных данных, полезных
только в течение того времени, которое пользователь взаимодействует с
приложением.
4/20/2014 / 5
Атрибуты сессии
• ID сессии – это уникальный ID, используемый для идентификации
пользователя при обмене запросами между клиентом и сервером.
Например: PHPSESSID=a2pdlk7jreml0u1m3bccd12551;
• Время действия (Expiry date) – это время окончания сессии.
Может иметь такие параметры:
 Фиксированное время после авторизации
 Фиксированное время после каждого нового запроса
 Закрытие браузера
 Выход из приложения (logout)
 Никогда
 Дополнительная авторизация на какое-то действие
Например: EXPIRES 18.03.2014 16:52:22
4/20/2014 / 6
Передача ID сессии
4/20/2014 / 7
• http://www.example.com/index.php?PHPSESSID=a2pdlk7jre
ml0u1m3bccd12551
• http://www.example.com/s(lit3py55t21z5v55vlm
25s55)/orderform.aspx
В URL адресе
• Session-token: SID=lit3py55t21z5v55vlm25s55
• Cookies: PHPSESSID=a2pdlk7jreml0u13bccd12551
В поле
заголовка
запроса (header)
• Login=Username&password=Password&
SessionID=12345678
В теле POST
запроса
Хранение ID сессии
4/20/2014 / 8
В cookies
браузера
Скрытое поле
(HTML код)
• ID сессии может храниться в исходном коде самого
приложения на клиентской стороне во время работы
пользователя с приложением.
В самом
приложении
<form method="post" action="url">
<input type="hidden" name="sessionid" value="1111">
...
<input type="submit">
</form>
Немного статистики…
• "64% разработчиков не уверены в безопасности приложений, которые
они создают“. (Microsoft Developer Research)
• "60% всех атак в Интернете направлены на взлом веб-приложений“.
(Gartner)
• "Атаки на сессии пользователей и обход системы аутентификации
занимают 2ое место в TOP-10 уязвимостей." (OWASP)
4/20/2014 / 9
Когда тестировать сессии?
Приложение с веб доступом
Приложение используется большим количеством
пользователей (внутренних и/или внешних)
Приложение содержит важные персональные данные
пользователей
Пользователи в приложении имеет разные уровни доступа
Приложение интегрируется с системой, которая содержит
критические данные
4/20/2014/ 10
Последствия
Последствия удачной атаки напрямую зависят от того уровня доступа и
данных, которыми обладает жертва в веб-приложении.
4/20/2014/ 11
Финансовые убытки
Нарушение конфиденциальности
Разрушение репутации
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014/ 12
Session Hijacking
Есть несколько способов получения уникального идентификатора
сессии:
• Предсказание идентификатора
• Сниффинг (Sniffing);
• Атака клиентской части (XSS, вредоносный JavaScript код, трояны, etc);
4/20/2014/ 13
Предсказуемые токены
Анализ ID сессии на предсказуемость можно делать вручную или с
помощью специальных инструментов.
На что обратить внимание:
• Имя пользователя / логин
• Пароль
• IP адрес
• Время авторизации
4/20/2014/ 14
Инструменты анализа
Инструменты анализа ID сессии:
• Burp Sequencer анализирует распредление ID сесиий для определния
уровня случайности.
• SessionID Analysis - модуль WebScarab, позволяющий определить
уровень случайности сгенерированных ID сессий.
• Crowbar - инструмент для брут-форса ID сессий.
4/20/2014/ 15
Предсказуемые токены. Пример
4/20/2014/ 16
Логин Пароль ID сессии - время
Webgoat Test123 65432ubphcfx
10/7/2005-10:10
65432ubphcfx
10/7/2005-10:11
Aspect 987654qwerty 65432udfqtb
10/7/2005-10:12
65432udfqtb
10/7/2005-10:13
alice Alice ????
Предсказуемые токены. Пример
4/20/2014/ 17
Логин Пароль ID сессии - время
Webgoat Test123 65432ubphcfx
10/7/2005-10:10
65432ubphcfx
10/7/2005-10:11
Aspect 987654qwerty 65432udfqtb
10/7/2005-10:12
65432udfqtb
10/7/2005-10:13
alice Alice ????
Предсказуемые токены. Пример
4/20/2014/ 18
Логин Пароль ID сессии - время
Webgoat Test123 65432ubphcfx
Aspect 987654qwerty 65432udfqtb
alice Alice ????
Предсказуемые токены. Пример
4/20/2014/ 19
Логин Пароль ID сессии - время
Webgoat Test123 65432ubphcfx
Aspect 987654qwerty 65432udfqtb
alice Alice ????
W – x e – f b – с g – h o – p a – b t – u = xfchpbu
A – b s – t p – q e – f с – d t – u = btqfdu
Предсказуемые токены. Пример
4/20/2014/ 20
Логин Пароль ID сессии - время
Webgoat Test123 65432ubphcfx
Aspect 987654qwerty 65432udfqtb
alice Alice
A – b l – m i – j c – d e – f = bmjdf
65432fdjmb
Предсказуемые токены. Пример
4/20/2014/ 21
Предсказуемые токены. Пример
4/20/2014/ 22
Burp - Sequencer
OWASP WebScarab
SessionID Analyser
Сниффинг
Сниффинг – это атака направленная на перехват сетевых пакетов в сети
используя сниффинг инструменты, снифферы. При этом злоумышленник
и жертва должны находиться в одной подсети.
Как только пакет перехвачен, его содержимое может быть
проанализировано. Таким образом, возможно перехватить ID сессий,
передаваемые в URL или заголовке запроса.
4/20/2014/ 23
Сниффинг
Инструменты для перехвата сетевого трафика:
• Wireshark
• Microsoft Network Monitor
• CommView for WiFi
4/20/2014/ 24
Wireshark
Атака клиентской части
Злоумышленник может получить ID сессии используя вредоносный код
или программу, которая будет выполнятся на стороне пользователя
(жертвы).
Самый распространенный пример – Cross-Site Scripting (XSS) атака.
4/20/2014/ 25
Пример:
<SCRIPT>alert(document.cookie);</SCRIPT>
Session Hijacking. Примеры
4/20/2014/ 26
Session Hijacking. Контрмеры
• Завершение сеанса (logout) и закрытие браузера должны закрывать
сессию.
• Дополнительный токен: отпечаток браузера (хэшированный User-agent)
или другой уникальный токен
• Дополнительный токен должен передаваться другим способом, чем ID
сессии.
• Запретить одновременную работу под одной сессией с нескольких
агентов
• Шифрование данных передаваемых по сети (https протокол).
• Генерировать ID сессий сложно предсказуемыми
4/20/2014/ 27
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014/ 28
Session Fixation
Вместо того, чтобы воровать ID сессии
пользователя, злоумышленник может
зафиксировать ID сессии известный
ему и передать его пользователю.
Этот тип атаки называется
фиксирование сессии.
4/20/2014/ 29
Инструменты для
перехвата запросов:
• OWASP WebScarab
• Fiddler
Session Fixation. Примеры
4/20/2014/ 30
Session Fixation. Контрмеры
• Присваивать новый ID сессии после авторизации
• Проверять дополнительные параметры при авторизации пользователя,
например IP или User-Agent
• Реализовать в приложении механизм Анти-фиксации сессии
• Запретить одновременную работу под одной сессией с нескольких
агентов
• Запрашивать авторизацию при изменении уровня доступа
пользователя
4/20/2014/ 31
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых
запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014/ 32
Cross-Site Request Forgery
Подделка межсайтовых
запросов (Cross-Site
Request Forgery) занимает
8ое место среди TOP-10
уязвимостей по версии
Open Web-Application
Security Project (OWASP).
Атака является
успешной, если жертва
авторизована в приложении.
4/20/2014/ 33
CSRF. Примеры
4/20/2014/ 34
Добавление видео в watch-later список
https://player.vimeo.com/watch_later/ID?callback=cb&
status=1
Выставлять рейтинги фильмам
http://www.kinopoisk.ru/vote.php?film=FILM_ID&film_
vote=VOTE_VALUE
Удаление презентации через GET запрос
http://www.slideshare.net/main/delete/PRESENTATION
ID?ajax=false&redirect=mypage
Добавлять дополнительный e-mail в Facebook
document.submit('<form method="post" action= "http://m.face-
book.com/a/settings.php?refid=31&__ajax__&__m_async_page_
_"> <input type="hidden" name="email"
value="test@example.com"/></form>')
CSRF. Контрмеры
Разработчикам:
• Использовать анти-CSRF токен
• Хранить и передавать анти-CSRF токен другим способом, чем ID
сессии (скрытое поле формы, в теле POST запроса)
4/20/2014/ 35
POST https://www.facebook.com:443/ajax/timeline/nav_dropdown_menu/?profileid=100001537070731
HTTP/1.1
Host: www.facebook.com
…
Cookie: datr=xL8hU29G1O2TCE2-E90mpjIO; lu=SgppRetPNnE8PasL9k-pF62A;
fr=0adgb9NSy3JmTXAGc.AWWijC40TCnAprMHFxmeUZIW1DA.BTIb_Q.EK.FMh.AWUHMOUT; locale=en_US;
c_user=100001537070731;
__user=100001537070731&__dyn=7n8a9EAMCBCFUSt2ugByVbGAFpaGEVF4WpUpBw&fb_dtsg=AQDrRHrN&tt
stamp=2658168114827211478&__rev=1162685
CSRF. Контрмеры (cont.)
Разработчикам:
• Передавать команды (actions) и параметры для них через POST
запрос, вместо GET запроса.
• Запрашивать дополнительную авторизацию / подтверждение или
использовать CAPTCHA при выполнении важных действий.
4/20/2014/ 36
Confluence Wiki
http://wiki.itera.no/pages/
removepage.action?page
Id=41779352
CSRF. Контрмеры (cont.)
Пользователям:
• Выходить из системы (logout) после
окончания работы
• Не разрешать браузеру сохранять
логин/пароль (функция «remember me»)
• Не использовать один и тот же браузер для
доступа к рабочей системе и личным сайтам
4/20/2014/ 37
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014/ 38
Phishing
4/20/2014/ 39
Phishing - это способ получения личной информации пользователя, такой
как логин, пароль, номер кредитной карты и т.д., когда злоумышленник
выдает себя за изначальный ресурс (веб-приложение, сайт и т.д.).
Залогом успешной фишинг атаки всегда будет неосторожный
пользователь.
Инструменты:
• OWASP Xenotix – инструмент
автоматически создает дубликат
страницы указанного веб-сайта.
• SpearPhisher – инструмент для
генерации e-mail сообщений
Phishing. Контрмеры
• Персональное фото или личное сообщение на странице с важной
транзакцией.
• Использование механизма двойной аутентификации со случайно
сгенерированным одноразовым паролем.
4/20/2014/ 40
Phishing. Контрмеры (cont.)
• Логирование сайтов, с которых пользователь перешел на текущий сайт
(Referer website).
• Использование Google Safe Browsing API для проверки является ли
заданный сайт безопасным или нет.
• Иcпользование плагинов браузеров для определения фишинг сайтов.
4/20/2014/ 41
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014/ 42
Инструменты
Перечень инструментов, которые могут понадобиться при тестировании
веб-сессий:
• Плагины в браузерах для работы с cookies
– CookiesManager+ (FireFox)
– Cookie Manager (Chrome)
• Перехватчики
– OWASP WebScarab, Burp Suite
– Fiddler
– Wireshark, CommView for WiFi
• Анализаторы session tokens
– Burp
– OWASP WebScarab – Session ID Analysis module
• Анти-фишинг инструменты
– Netcraft Toolbar / Netcraft Extension (Firefox / Chrome)
– FB Phishing Protector (Firefox) – проверяет только Facebook
– Anti-Phishing & Authenticity Checker (Chrome) – проверяет Facebook, Twitter, Youtube
and Google
4/20/2014/ 43
Содержание
1. Теория веб-сессий
2. Session Hijacking (Перехват сессии)
3. Session Fixation (Фиксирование сессии)
4. Cross-Site Request Forgery (Подделка межсайтовых запросов)
5. Phishing (Фишинг)
6. Инструменты
7. Что дальше?
4/20/2014/ 44
Что дальше?
4/20/2014/ 45
Книги
Open Web Application Security Testing Guide
• Web Security Testing Cookbook
Интернет ресурсы:
• OWASP сообщество
• Mozilla security check-list
Интерактивные учебные курсы:
• OWASP WebGoat
• OWASP Hackademic Challenge
Сертификаты:
• ISTQB Security Testing – Expert level (анонсирован на 2015 год)
• Certified Information Systems Professional (CISSP)
• Certified Ethical Hacker (CEH)
Контакты
kateryna.ovechenko@iteraconsulting.com
4/20/2014/ 46
kateryna.ovechenko
Ekaterina Ovechenko
kateryna.ovechenko@owasp.org

More Related Content

What's hot

Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
Aleksey Lukatskiy
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
Avivi Academy
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
Dmitry Evteev
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Denis Batrankov, CISSP
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
Aleksey Lukatskiy
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
Positive Hack Days
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
Dmitry Evteev
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Expolink
 

What's hot (20)

Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
 

Viewers also liked

FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?
FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?
FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?
FrontDays
 
Обеспечение качества: Практические советы
Обеспечение качества: Практические советыОбеспечение качества: Практические советы
Обеспечение качества: Практические советы
SQALab
 
Практически о виртуализации сервисов
Практически о виртуализации сервисовПрактически о виртуализации сервисов
Практически о виртуализации сервисов
SQALab
 
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
SQALab
 
Подход доктора Хауса в тестировании оптимизации запросов (5 серия)
Подход доктора Хауса в тестировании оптимизации запросов (5 серия)Подход доктора Хауса в тестировании оптимизации запросов (5 серия)
Подход доктора Хауса в тестировании оптимизации запросов (5 серия)
SQALab
 
Тест-дизайн: проще читать или проще писать
Тест-дизайн: проще читать или проще писатьТест-дизайн: проще читать или проще писать
Тест-дизайн: проще читать или проще писать
SQALab
 
Успешный тестировщик. Путь профессионала
Успешный тестировщик. Путь профессионалаУспешный тестировщик. Путь профессионала
Успешный тестировщик. Путь профессионала
SQALab
 
Моделирование угроз для приложений
Моделирование угроз для приложенийМоделирование угроз для приложений
Моделирование угроз для приложений
SQALab
 
Как общаться с коллегами удалённо, чтобы не было мучительно больно?
Как общаться с коллегами удалённо, чтобы не было мучительно больно?Как общаться с коллегами удалённо, чтобы не было мучительно больно?
Как общаться с коллегами удалённо, чтобы не было мучительно больно?
SQALab
 
Практические аспекты организации процесса тестирования в государственных учре...
Практические аспекты организации процесса тестирования в государственных учре...Практические аспекты организации процесса тестирования в государственных учре...
Практические аспекты организации процесса тестирования в государственных учре...
SQALab
 
Тестирование в опенсорс
Тестирование в опенсорсТестирование в опенсорс
Тестирование в опенсорс
SQALab
 
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
SQALab
 
Тестовая инфраструктура в облаке
Тестовая инфраструктура в облакеТестовая инфраструктура в облаке
Тестовая инфраструктура в облаке
SQALab
 
Теория и практика сокращения релизного цикла
Теория и практика сокращения релизного циклаТеория и практика сокращения релизного цикла
Теория и практика сокращения релизного цикла
SQALab
 
Инструменты тестирования, или хочешь сделать хорошо - сделай это сам
Инструменты тестирования, или хочешь сделать хорошо - сделай это самИнструменты тестирования, или хочешь сделать хорошо - сделай это сам
Инструменты тестирования, или хочешь сделать хорошо - сделай это сам
SQALab
 
VIQA - Тестирование UI с помощью Виртуального интеллекта
VIQA - Тестирование UI с помощью Виртуального интеллектаVIQA - Тестирование UI с помощью Виртуального интеллекта
VIQA - Тестирование UI с помощью Виртуального интеллекта
SQALab
 
Автоматизированное тестирование не-тестировщиками
Автоматизированное тестирование не-тестировщикамиАвтоматизированное тестирование не-тестировщиками
Автоматизированное тестирование не-тестировщиками
SQALab
 
Особенности тестирования облачных сервисов
Особенности тестирования облачных сервисовОсобенности тестирования облачных сервисов
Особенности тестирования облачных сервисов
SQALab
 
Миссия тест-менеджера
Миссия тест-менеджераМиссия тест-менеджера
Миссия тест-менеджера
SQALab
 
Организация времени в тестировании
Организация времени в тестированииОрганизация времени в тестировании
Организация времени в тестировании
SQALab
 

Viewers also liked (20)

FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?
FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?
FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?
 
Обеспечение качества: Практические советы
Обеспечение качества: Практические советыОбеспечение качества: Практические советы
Обеспечение качества: Практические советы
 
Практически о виртуализации сервисов
Практически о виртуализации сервисовПрактически о виртуализации сервисов
Практически о виртуализации сервисов
 
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
Невыносимая переносимость кроссплатформенных приложений на примере десктопных...
 
Подход доктора Хауса в тестировании оптимизации запросов (5 серия)
Подход доктора Хауса в тестировании оптимизации запросов (5 серия)Подход доктора Хауса в тестировании оптимизации запросов (5 серия)
Подход доктора Хауса в тестировании оптимизации запросов (5 серия)
 
Тест-дизайн: проще читать или проще писать
Тест-дизайн: проще читать или проще писатьТест-дизайн: проще читать или проще писать
Тест-дизайн: проще читать или проще писать
 
Успешный тестировщик. Путь профессионала
Успешный тестировщик. Путь профессионалаУспешный тестировщик. Путь профессионала
Успешный тестировщик. Путь профессионала
 
Моделирование угроз для приложений
Моделирование угроз для приложенийМоделирование угроз для приложений
Моделирование угроз для приложений
 
Как общаться с коллегами удалённо, чтобы не было мучительно больно?
Как общаться с коллегами удалённо, чтобы не было мучительно больно?Как общаться с коллегами удалённо, чтобы не было мучительно больно?
Как общаться с коллегами удалённо, чтобы не было мучительно больно?
 
Практические аспекты организации процесса тестирования в государственных учре...
Практические аспекты организации процесса тестирования в государственных учре...Практические аспекты организации процесса тестирования в государственных учре...
Практические аспекты организации процесса тестирования в государственных учре...
 
Тестирование в опенсорс
Тестирование в опенсорсТестирование в опенсорс
Тестирование в опенсорс
 
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
 
Тестовая инфраструктура в облаке
Тестовая инфраструктура в облакеТестовая инфраструктура в облаке
Тестовая инфраструктура в облаке
 
Теория и практика сокращения релизного цикла
Теория и практика сокращения релизного циклаТеория и практика сокращения релизного цикла
Теория и практика сокращения релизного цикла
 
Инструменты тестирования, или хочешь сделать хорошо - сделай это сам
Инструменты тестирования, или хочешь сделать хорошо - сделай это самИнструменты тестирования, или хочешь сделать хорошо - сделай это сам
Инструменты тестирования, или хочешь сделать хорошо - сделай это сам
 
VIQA - Тестирование UI с помощью Виртуального интеллекта
VIQA - Тестирование UI с помощью Виртуального интеллектаVIQA - Тестирование UI с помощью Виртуального интеллекта
VIQA - Тестирование UI с помощью Виртуального интеллекта
 
Автоматизированное тестирование не-тестировщиками
Автоматизированное тестирование не-тестировщикамиАвтоматизированное тестирование не-тестировщиками
Автоматизированное тестирование не-тестировщиками
 
Особенности тестирования облачных сервисов
Особенности тестирования облачных сервисовОсобенности тестирования облачных сервисов
Особенности тестирования облачных сервисов
 
Миссия тест-менеджера
Миссия тест-менеджераМиссия тест-менеджера
Миссия тест-менеджера
 
Организация времени в тестировании
Организация времени в тестированииОрганизация времени в тестировании
Организация времени в тестировании
 

Similar to Безопасность сессий в веб-приложениях: практическое применение

QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QAFest
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
Информационная безопасность в аспекте веб-разработки
Информационная безопасность в аспекте веб-разработкиИнформационная безопасность в аспекте веб-разработки
Информационная безопасность в аспекте веб-разработки
E-Journal ICT4D
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
DialogueScience
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
karina krew
 
Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMP
Cisco Russia
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco Russia
 

Similar to Безопасность сессий в веб-приложениях: практическое применение (20)

QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Информационная безопасность в аспекте веб-разработки
Информационная безопасность в аспекте веб-разработкиИнформационная безопасность в аспекте веб-разработки
Информационная безопасность в аспекте веб-разработки
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
 
PT MIFI Labxss
PT  MIFI LabxssPT  MIFI Labxss
PT MIFI Labxss
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMP
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
 

More from SQALab

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
SQALab
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
SQALab
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
SQALab
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
SQALab
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
SQALab
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
SQALab
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
SQALab
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
SQALab
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
SQALab
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
SQALab
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
SQALab
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
SQALab
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
SQALab
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
SQALab
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
SQALab
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
SQALab
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
SQALab
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
SQALab
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
SQALab
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
SQALab
 

More from SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Безопасность сессий в веб-приложениях: практическое применение

  • 1. Безопасность сессий в веб- приложении: практическое применение Катерина Овеченко. Itera Consulting
  • 2. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014 / 2
  • 3. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014 / 4
  • 4. Что такое веб-сессия? “HTTP - это протокол без состояний. Сессии решают эту проблему.” Веб-сессия – это структура данных конкретного пользователя, которую приложение использует для хранения временных данных, полезных только в течение того времени, которое пользователь взаимодействует с приложением. 4/20/2014 / 5
  • 5. Атрибуты сессии • ID сессии – это уникальный ID, используемый для идентификации пользователя при обмене запросами между клиентом и сервером. Например: PHPSESSID=a2pdlk7jreml0u1m3bccd12551; • Время действия (Expiry date) – это время окончания сессии. Может иметь такие параметры:  Фиксированное время после авторизации  Фиксированное время после каждого нового запроса  Закрытие браузера  Выход из приложения (logout)  Никогда  Дополнительная авторизация на какое-то действие Например: EXPIRES 18.03.2014 16:52:22 4/20/2014 / 6
  • 6. Передача ID сессии 4/20/2014 / 7 • http://www.example.com/index.php?PHPSESSID=a2pdlk7jre ml0u1m3bccd12551 • http://www.example.com/s(lit3py55t21z5v55vlm 25s55)/orderform.aspx В URL адресе • Session-token: SID=lit3py55t21z5v55vlm25s55 • Cookies: PHPSESSID=a2pdlk7jreml0u13bccd12551 В поле заголовка запроса (header) • Login=Username&password=Password& SessionID=12345678 В теле POST запроса
  • 7. Хранение ID сессии 4/20/2014 / 8 В cookies браузера Скрытое поле (HTML код) • ID сессии может храниться в исходном коде самого приложения на клиентской стороне во время работы пользователя с приложением. В самом приложении <form method="post" action="url"> <input type="hidden" name="sessionid" value="1111"> ... <input type="submit"> </form>
  • 8. Немного статистики… • "64% разработчиков не уверены в безопасности приложений, которые они создают“. (Microsoft Developer Research) • "60% всех атак в Интернете направлены на взлом веб-приложений“. (Gartner) • "Атаки на сессии пользователей и обход системы аутентификации занимают 2ое место в TOP-10 уязвимостей." (OWASP) 4/20/2014 / 9
  • 9. Когда тестировать сессии? Приложение с веб доступом Приложение используется большим количеством пользователей (внутренних и/или внешних) Приложение содержит важные персональные данные пользователей Пользователи в приложении имеет разные уровни доступа Приложение интегрируется с системой, которая содержит критические данные 4/20/2014/ 10
  • 10. Последствия Последствия удачной атаки напрямую зависят от того уровня доступа и данных, которыми обладает жертва в веб-приложении. 4/20/2014/ 11 Финансовые убытки Нарушение конфиденциальности Разрушение репутации
  • 11. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014/ 12
  • 12. Session Hijacking Есть несколько способов получения уникального идентификатора сессии: • Предсказание идентификатора • Сниффинг (Sniffing); • Атака клиентской части (XSS, вредоносный JavaScript код, трояны, etc); 4/20/2014/ 13
  • 13. Предсказуемые токены Анализ ID сессии на предсказуемость можно делать вручную или с помощью специальных инструментов. На что обратить внимание: • Имя пользователя / логин • Пароль • IP адрес • Время авторизации 4/20/2014/ 14
  • 14. Инструменты анализа Инструменты анализа ID сессии: • Burp Sequencer анализирует распредление ID сесиий для определния уровня случайности. • SessionID Analysis - модуль WebScarab, позволяющий определить уровень случайности сгенерированных ID сессий. • Crowbar - инструмент для брут-форса ID сессий. 4/20/2014/ 15
  • 15. Предсказуемые токены. Пример 4/20/2014/ 16 Логин Пароль ID сессии - время Webgoat Test123 65432ubphcfx 10/7/2005-10:10 65432ubphcfx 10/7/2005-10:11 Aspect 987654qwerty 65432udfqtb 10/7/2005-10:12 65432udfqtb 10/7/2005-10:13 alice Alice ????
  • 16. Предсказуемые токены. Пример 4/20/2014/ 17 Логин Пароль ID сессии - время Webgoat Test123 65432ubphcfx 10/7/2005-10:10 65432ubphcfx 10/7/2005-10:11 Aspect 987654qwerty 65432udfqtb 10/7/2005-10:12 65432udfqtb 10/7/2005-10:13 alice Alice ????
  • 17. Предсказуемые токены. Пример 4/20/2014/ 18 Логин Пароль ID сессии - время Webgoat Test123 65432ubphcfx Aspect 987654qwerty 65432udfqtb alice Alice ????
  • 18. Предсказуемые токены. Пример 4/20/2014/ 19 Логин Пароль ID сессии - время Webgoat Test123 65432ubphcfx Aspect 987654qwerty 65432udfqtb alice Alice ???? W – x e – f b – с g – h o – p a – b t – u = xfchpbu A – b s – t p – q e – f с – d t – u = btqfdu
  • 19. Предсказуемые токены. Пример 4/20/2014/ 20 Логин Пароль ID сессии - время Webgoat Test123 65432ubphcfx Aspect 987654qwerty 65432udfqtb alice Alice A – b l – m i – j c – d e – f = bmjdf 65432fdjmb
  • 21. Предсказуемые токены. Пример 4/20/2014/ 22 Burp - Sequencer OWASP WebScarab SessionID Analyser
  • 22. Сниффинг Сниффинг – это атака направленная на перехват сетевых пакетов в сети используя сниффинг инструменты, снифферы. При этом злоумышленник и жертва должны находиться в одной подсети. Как только пакет перехвачен, его содержимое может быть проанализировано. Таким образом, возможно перехватить ID сессий, передаваемые в URL или заголовке запроса. 4/20/2014/ 23
  • 23. Сниффинг Инструменты для перехвата сетевого трафика: • Wireshark • Microsoft Network Monitor • CommView for WiFi 4/20/2014/ 24 Wireshark
  • 24. Атака клиентской части Злоумышленник может получить ID сессии используя вредоносный код или программу, которая будет выполнятся на стороне пользователя (жертвы). Самый распространенный пример – Cross-Site Scripting (XSS) атака. 4/20/2014/ 25 Пример: <SCRIPT>alert(document.cookie);</SCRIPT>
  • 26. Session Hijacking. Контрмеры • Завершение сеанса (logout) и закрытие браузера должны закрывать сессию. • Дополнительный токен: отпечаток браузера (хэшированный User-agent) или другой уникальный токен • Дополнительный токен должен передаваться другим способом, чем ID сессии. • Запретить одновременную работу под одной сессией с нескольких агентов • Шифрование данных передаваемых по сети (https протокол). • Генерировать ID сессий сложно предсказуемыми 4/20/2014/ 27
  • 27. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014/ 28
  • 28. Session Fixation Вместо того, чтобы воровать ID сессии пользователя, злоумышленник может зафиксировать ID сессии известный ему и передать его пользователю. Этот тип атаки называется фиксирование сессии. 4/20/2014/ 29 Инструменты для перехвата запросов: • OWASP WebScarab • Fiddler
  • 30. Session Fixation. Контрмеры • Присваивать новый ID сессии после авторизации • Проверять дополнительные параметры при авторизации пользователя, например IP или User-Agent • Реализовать в приложении механизм Анти-фиксации сессии • Запретить одновременную работу под одной сессией с нескольких агентов • Запрашивать авторизацию при изменении уровня доступа пользователя 4/20/2014/ 31
  • 31. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014/ 32
  • 32. Cross-Site Request Forgery Подделка межсайтовых запросов (Cross-Site Request Forgery) занимает 8ое место среди TOP-10 уязвимостей по версии Open Web-Application Security Project (OWASP). Атака является успешной, если жертва авторизована в приложении. 4/20/2014/ 33
  • 33. CSRF. Примеры 4/20/2014/ 34 Добавление видео в watch-later список https://player.vimeo.com/watch_later/ID?callback=cb& status=1 Выставлять рейтинги фильмам http://www.kinopoisk.ru/vote.php?film=FILM_ID&film_ vote=VOTE_VALUE Удаление презентации через GET запрос http://www.slideshare.net/main/delete/PRESENTATION ID?ajax=false&redirect=mypage Добавлять дополнительный e-mail в Facebook document.submit('<form method="post" action= "http://m.face- book.com/a/settings.php?refid=31&__ajax__&__m_async_page_ _"> <input type="hidden" name="email" value="test@example.com"/></form>')
  • 34. CSRF. Контрмеры Разработчикам: • Использовать анти-CSRF токен • Хранить и передавать анти-CSRF токен другим способом, чем ID сессии (скрытое поле формы, в теле POST запроса) 4/20/2014/ 35 POST https://www.facebook.com:443/ajax/timeline/nav_dropdown_menu/?profileid=100001537070731 HTTP/1.1 Host: www.facebook.com … Cookie: datr=xL8hU29G1O2TCE2-E90mpjIO; lu=SgppRetPNnE8PasL9k-pF62A; fr=0adgb9NSy3JmTXAGc.AWWijC40TCnAprMHFxmeUZIW1DA.BTIb_Q.EK.FMh.AWUHMOUT; locale=en_US; c_user=100001537070731; __user=100001537070731&__dyn=7n8a9EAMCBCFUSt2ugByVbGAFpaGEVF4WpUpBw&fb_dtsg=AQDrRHrN&tt stamp=2658168114827211478&__rev=1162685
  • 35. CSRF. Контрмеры (cont.) Разработчикам: • Передавать команды (actions) и параметры для них через POST запрос, вместо GET запроса. • Запрашивать дополнительную авторизацию / подтверждение или использовать CAPTCHA при выполнении важных действий. 4/20/2014/ 36 Confluence Wiki http://wiki.itera.no/pages/ removepage.action?page Id=41779352
  • 36. CSRF. Контрмеры (cont.) Пользователям: • Выходить из системы (logout) после окончания работы • Не разрешать браузеру сохранять логин/пароль (функция «remember me») • Не использовать один и тот же браузер для доступа к рабочей системе и личным сайтам 4/20/2014/ 37
  • 37. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014/ 38
  • 38. Phishing 4/20/2014/ 39 Phishing - это способ получения личной информации пользователя, такой как логин, пароль, номер кредитной карты и т.д., когда злоумышленник выдает себя за изначальный ресурс (веб-приложение, сайт и т.д.). Залогом успешной фишинг атаки всегда будет неосторожный пользователь. Инструменты: • OWASP Xenotix – инструмент автоматически создает дубликат страницы указанного веб-сайта. • SpearPhisher – инструмент для генерации e-mail сообщений
  • 39. Phishing. Контрмеры • Персональное фото или личное сообщение на странице с важной транзакцией. • Использование механизма двойной аутентификации со случайно сгенерированным одноразовым паролем. 4/20/2014/ 40
  • 40. Phishing. Контрмеры (cont.) • Логирование сайтов, с которых пользователь перешел на текущий сайт (Referer website). • Использование Google Safe Browsing API для проверки является ли заданный сайт безопасным или нет. • Иcпользование плагинов браузеров для определения фишинг сайтов. 4/20/2014/ 41
  • 41. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014/ 42
  • 42. Инструменты Перечень инструментов, которые могут понадобиться при тестировании веб-сессий: • Плагины в браузерах для работы с cookies – CookiesManager+ (FireFox) – Cookie Manager (Chrome) • Перехватчики – OWASP WebScarab, Burp Suite – Fiddler – Wireshark, CommView for WiFi • Анализаторы session tokens – Burp – OWASP WebScarab – Session ID Analysis module • Анти-фишинг инструменты – Netcraft Toolbar / Netcraft Extension (Firefox / Chrome) – FB Phishing Protector (Firefox) – проверяет только Facebook – Anti-Phishing & Authenticity Checker (Chrome) – проверяет Facebook, Twitter, Youtube and Google 4/20/2014/ 43
  • 43. Содержание 1. Теория веб-сессий 2. Session Hijacking (Перехват сессии) 3. Session Fixation (Фиксирование сессии) 4. Cross-Site Request Forgery (Подделка межсайтовых запросов) 5. Phishing (Фишинг) 6. Инструменты 7. Что дальше? 4/20/2014/ 44
  • 44. Что дальше? 4/20/2014/ 45 Книги Open Web Application Security Testing Guide • Web Security Testing Cookbook Интернет ресурсы: • OWASP сообщество • Mozilla security check-list Интерактивные учебные курсы: • OWASP WebGoat • OWASP Hackademic Challenge Сертификаты: • ISTQB Security Testing – Expert level (анонсирован на 2015 год) • Certified Information Systems Professional (CISSP) • Certified Ethical Hacker (CEH)

Editor's Notes

  1. All now are fixed