Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci.
Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit.
Další materiály se objeví na http://edu.lynt.cz
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
API a microservices se často setkávají a ne vždy se hodí pro tvorbu rozhraní microservice použít REST. V této přednášce se podíváme na některé méně tradiční formy přístupu k API, jako třeba event sourcing nebo m-n komunikace a ukážeme si zajímavé možnosti, které nám tyto formy přinášejí. A jak už to ve správném obludáriu musí být, některé exempláře budou opravdu strašidelné.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování.
Prezentace z WordPress konference 25.6.2016.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci.
Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit.
Další materiály se objeví na http://edu.lynt.cz
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
API a microservices se často setkávají a ne vždy se hodí pro tvorbu rozhraní microservice použít REST. V této přednášce se podíváme na některé méně tradiční formy přístupu k API, jako třeba event sourcing nebo m-n komunikace a ukážeme si zajímavé možnosti, které nám tyto formy přinášejí. A jak už to ve správném obludáriu musí být, některé exempláře budou opravdu strašidelné.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování.
Prezentace z WordPress konference 25.6.2016.
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
Další náhled z mé připravované prezentace na Wordcamp Praha. Tyto slidy jsou vlastně takovou osnovou hlavní části přednášky. Jednotlivá témata budeme probírat více či méně podrobně. Vzhledem k tomu, že je přednáška v uživatelské sekci, bude prostor věnován hlavně bezpečnostním pluginům pro Wordpress.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
Proč by na HTTPS měly běžet i weby, ke kterým se nepřihlašujete? Co znamenají chyby nalezené v SSL/TLS za poslední rok? V čem se můžeme poučit z kauzy Hacking Team? Jak se s přechodem na HTTPS vypořádávají vyhledávače? Jak si nerozbít web při honbě za A+ ratingem u SSL Labs? Co přináší nový HTTP/2 protokol? A proč má být na webhostingu HTTPS k dispozici zdarma a všem?
Proces tvorby webu a WordPress (Martin Adamko)wcsk
Martin Adamko discusses the process of web design and development. He talks about the tools he uses for wireframing including Balsamiq, Omnigraffle, Photoshop, HTML/CSS frameworks, and pen and paper. He finds HTML and CSS works well for wireframing as it allows him to test functionality and reduces the risk of confusion with the final design. The document also discusses using InDesign for web page layouts due to its grid-based structure and building websites using a progressive enhancement approach.
6. Kdo jsme?
- Website Security Company
- Celosvětová působnost
- Všechny webové platformy
- Scanování přes 1M unikátních domén / měsíc
- Zablokování přes 1M webových útoků / měsíc
- čištění cca 300 - 500 web stránek / den
- detekce založená na signaturách / heuristice
- operace 24/7
10. O čem to celé je?
- počet napadených linků / stránek stoupá
85% infikovaných stránek
je hostováno u legitimních (a
oblíbených) provozovatelů
web hostingu
Malware, nebo alespoň něco
jako malware je všude kolem
20. Automatizované hackování
- Exploze v Malware as a Service (MaaS) obchodu
- zaplaťte si vlastního hackera
- Různé automatické nástroje na hackování a generování payloadu
- “script kiddies” vs. profesionální teamy
- Blesková infekce
- jeden moment je vše OK, za chvilku.. je to plné hvězd malware
- Blackhole Exploit Kit
- Leader v poskytování MaaS
21. Co to všechno znamená?
- Poškození značky
- Právní problémy
- Dopad na prodeje
- Blacklistování ve vyhledávacích enginech
- Blacklistování u platebních služeb
- Nejhorší den života...
25. Všechno je to o přístupu...
“ It’s about risk reduction… risk will never be zero… ”
- všichni to ví, (téměř) nikdo to nedodržuje
- bezpečná heslo, brute-force vs. slovníkový útok
- jméno vašho zvířecího mazlíčka není bezpečné heslo
- pravidelná změna hesla, silné heslo není všechno
- spolehlivý password manager? Dobrá volba!
- nevěřte nikomu :)
- sledujte kdo přistupuje na váš server
- SFTP / SSH místo FTP
33. Logy
Bylo nezbytné zjistit co všechno útočník provedl, takže jsme začali u auditovací funkce v Sucuri
pluginu. Hledali jsme a našli...
34. Potvrzení známých skutečností
Ano. Konání našeho hackera je dobře viditelné v auditu a samozřejmě i v “syrovém” server access
logu. To důležité v server logu najdeme jednoduše korelováním těchto dvou logů.
35. Hax0r má problémy
Jeho dalším krokem bylo ověřit si, jestli byl úspěšný, takže se pokusil navštívit stránku 404. Nejdřív přímo v
umístění témy, následně v rootu.
Je dobré si všimnout dvou různých chybových kódů po tomto pokusu: 403 a 404. První, 403 říká, že Přístup byl
odmítnut. Druhý, 404, říká, že Soubor nebyl nalezen.
403-ka je způsobena naším “zpevněním” v .htaccess uvnitř wp-content, které zabraňuje zpouštění PHP:
404-ka se objevila, protože napadená táma nebyla aktivní. Vzpomínáte? Později změnili tému. Stejně to
nevysvětluje, proč nepracovali přímo s aktivní témou. Hackeři se někdy chovají podivně..
36. Úspěch
Tak se jim to povedlo a oni si to ověřili. Byli uvnitř...
[01/Nov/2013:13:23:48 -0700] "GET /wp-admin/theme-editor.php?file=404.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66718
[01/Nov/2013:13:24:04 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen HTTP/1.1" 200 7810
[01/Nov/2013:13:24:14 -0700] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 486
[01/Nov/2013:13:24:20 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66725
After switching theme, they needed to verify:
[01/Nov/2013:13:24:27 -0700] "GET / HTTP/1.1" 200 3001 "-"
Yes, they’ve got the 200 result.
37. Kde je zakopaný pes malware
Útočníci zneužili jinak poměrně užitečnou vlastnost. Abyste pochopili co dělají, musíte pochopit jak WordPress a
taky mnoho jiných CMS pracuje.
Mají hierarchii načítání která zpustí PHP soubory patřící k aktivní témě a pluginům. V tomto případě náš útočník
vložil infikovaný kód do souborů 404.php a index.php témy z které nasledně udělal aktivní, takže malware kód se
načetl. No a jelikož infikovali i (témový) index.php, mohli si otestovat funkčnost načtením přímo rootu stránky “/” - to
je to co jste viděli na předchozím slidu.
No a jelikož byli úspěšní, mohli začít pracovat se svým backdoorem posíláním příkazů. Každý z nich nám způsobil
jinou obtíž, ale bylo hezké to sledovat. Konec konců, my jsme chtěli být napadeni..
39. Nové ohlédnutí do logů
Následně útočníci používají další backdoor funkci:
Nyní už víme co dělají. Ale proč .root soubory a jak to funguje? Odpověď je v
modifikovaném .htaccess souboru:
[01/Nov/2013:13:24:59 -0700] “GET /?webr00t=config HTTP/1.1″ 200 2828 “http://www.[honeypot].com/?webr00t=telnet”
40. Ještě to nestačilo?
Jeden z příkazů backdooru byl “config”. Co dělá?
Nyní již máme kompletně napadenou stránku, navíc se symlinkama všude možně, takže
útočník má přístup v podstatě k čemukoliv na servru. Není to hezké? A už to stačilo?
V tomto momentu můžou útočníci dělat cokoliv. Krást data, uploadovat další soubory / skripty a
užívat server k dalším akcím. Co bylo dál?
41. Velké finále
Po detailní analýze jsme zjistili, že útočníci stáhli další data ze sdíleného servru. Věci jako /etc/passwd
a další soubory. Každá z funkcí backdooru byla naprogramována tak aby provedla automatizovanou a
kompletníútočnou sekvenci, takže poměrně složitý útok byla jenom otázka pár “kliků”. Když skončili,
zanechali nám malý dárek - zlikvidovanou stránku, což je celkem neobvyklé:
42. Proč?
Jednoduše proto, že mohli. Podle všeho se chtěli jenom ukázat. Název našeho honeypotu byl nejspíš také poněkud
vybízející takže nám zkrátka zanechali jedno velké virtuální LOL. Další možností je, že jim to prostě bylo jedno...
Na základě analýzy jejich akcí a web-shellu samotného to vypadá, že se zaměřili na servrová data. Věci jako existující
uživatelské účy a podobně. Zničení stránky nebylo nic víc než jedno velké FU na konci jejich pracovního dne. V
každém případě, sledování takovýchto incidentů je vždy zábava, ale také se neustále učíme. Útočníci jsou téměř vždy
o krok napřed.
A jak nám zničili stránku?
Nejdříve prostě smazali wp-includes a wp-admin,
následně navíc přidali nový .htaccess do rootu který
znemožní spuštění jakéhokoliv PHP kódu.
A to je všechno...