Successfully reported this slideshow.
Your SlideShare is downloading. ×

Webmeetup #3

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
WP Weekend 2018
WP Weekend 2018
Loading in …3
×

Check these out next

1 of 29 Ad

Webmeetup #3

Download to read offline

Spustit web není dnes nic složitého. Zajistit, aby běžel spolehlivě, rychle a bezpečně, může však být oříšek. V přednášce si projdeme nejčastější technické problémy moderních webů z pohledu bezpečnosti, rychlosti i použitelnosti.
Ukážeme si šikovné nástroje, které pomohou problémy odhalit, a nastíníme různé možnosti řešení. Přednáška bude moci sloužit i jako checklist toho, na co byste při provozu webu neměli zapomenout.

Spustit web není dnes nic složitého. Zajistit, aby běžel spolehlivě, rychle a bezpečně, může však být oříšek. V přednášce si projdeme nejčastější technické problémy moderních webů z pohledu bezpečnosti, rychlosti i použitelnosti.
Ukážeme si šikovné nástroje, které pomohou problémy odhalit, a nastíníme různé možnosti řešení. Přednáška bude moci sloužit i jako checklist toho, na co byste při provozu webu neměli zapomenout.

Advertisement
Advertisement

More Related Content

Advertisement

Webmeetup #3

  1. 1. https://lynt.cz @smitka Vláďa Smitka vladimir.smitka@lynt.cz @smitka Lynt services s.r.o. 03.11.2018 1 Nejčastější problémy moderních webů aneb co vše se může pokazit
  2. 2. https://lynt.cz @smitka Spustil jsem web 03.11.2018 2
  3. 3. https://lynt.cz @smitka Rychlost • Rychlé mobilní sítě, štědré datové tarify, ale… 03.11.2018 3 Latence
  4. 4. https://lynt.cz @smitka Ping –l 1200 03.11.2018 4 2G 3G 4G metro pevné připojení
  5. 5. https://lynt.cz @smitka03.11.2018 5
  6. 6. https://lynt.cz @smitka Měření Plzen.cz • https://www.webpagetest.org/result/190202_07 _f08f74e941a1e9db29877d3a8d0cc9e2/1/details / • https://gtmetrix.com/reports/plzen.cz/sOcbAhw U • https://yellowlab.tools/result/f93eflxduo • https://tools.pingdom.com/#5a2b59388a400000 • https://developers.google.com/speed/pagespeed /insights/?hl=cs&url=plzen.cz&tab=desktop 03.11.2018 6
  7. 7. https://lynt.cz @smitka Fáze načítání 03.11.2018 7
  8. 8. https://lynt.cz @smitka Měření • Co nejblíže, bez omezení rychlosti • Jak je dlouhý první požadavek? • Kdy se začne s vykreslováním? • Kdy je web interaktivní? • Jak je web velký? • Kolik požadavků dělá a na kolik domén? 03.11.2018 8
  9. 9. https://lynt.cz @smitka Jak mít rychlý web? FE • Optimalizované obrázky – Správné formáty, velikost, src-set/picture element – https://tinypng.com/ • Minifikace a komprese textových souborů – Gzip, Brotli • Málo požadavků a šetření s webfonty • Expires hlavičky • Lazy loading, async javascript 03.11.2018 9
  10. 10. https://lynt.cz @smitka Jak mít rychlý web? BE • Cachování v aplikaci • Moderní protokoly – HTTP/2 – TLS1.3 • Keepalive, CDN 03.11.2018 10
  11. 11. https://lynt.cz @smitka HTTPS 03.11.2018 11 Výhody • Bezpečné  • Nelze modifikovat • Nelze odposlechnout • Můžu použít HTTP/2 • Google Merchant Center Nevýhody • ???
  12. 12. https://lynt.cz @smitka Kdy jste aktualizovali svůj router? • https://routersecurity.org/bugs.php 03.11.2018 12
  13. 13. https://lynt.cz @smitka HTTPS je potřeba nastavit správně • https://plzen.cz • A co třeba pmdp.cz? • Minimum plzeňských „oficiálních“ webů je na HTTPS… 03.11.2018 13
  14. 14. https://lynt.cz @smitka03.11.2018 14
  15. 15. https://lynt.cz @smitka PMDP.CZ • Proč nemá zámeček i když přistoupím přes HTTPS? • https://www.whynopadlock.com/results/2d31c1d5- a78e-4f56-beb2-fb9bc5ceb585 03.11.2018 15
  16. 16. https://lynt.cz @smitka Uživatelské vstupy • https://webik/?search=abc $hledat = $_GET["search"]; … Výsledky hledání <b>$hledat</b> jsou … ?search=<script>zlavec()</script> 03.11.2018 16
  17. 17. https://lynt.cz @smitka Uživatelské vstupy • https://webik/?search=abc $hledat = $_GET["search"]; … $sql = "SELECT * FROM clanky WHERE text LIKE '%$hledat%'" ?search=' AND 1=1 AND '%'='% 03.11.2018 17
  18. 18. https://lynt.cz @smitka Uživatelské vstupy • Parametry v adrese • Formuláře • Nahrané soubory • Cookies • User-agent • HTTP hlavičky 03.11.2018 18
  19. 19. https://lynt.cz @smitka XSS • Reálné ukázky na webech, které možná znáte :-) 03.11.2018 19
  20. 20. https://lynt.cz @smitka A horší chyby…. • Neošetřené vstupy = riziko SQLi 03.11.2018 20 Ukázka – výpis databází z MSSQL serveru
  21. 21. https://lynt.cz @smitka Bezpečnostní HTTP hlavičky • Redukce dopadů problémů • https://securityheaders.com/?q=http%3A%2F %2Fwww.pmdp.cz&followRedirects=on 03.11.2018 21
  22. 22. https://lynt.cz @smitka Zapomenuté soubory • Phpinfo • Adminer/PhpMyAdmin • .git • Přístupné konfigy - config.neon, yml, ini • Zálohy 03.11.2018 22
  23. 23. https://lynt.cz @smitka03.11.2018 23
  24. 24. https://lynt.cz @smitka Hesla • Jak vaše aplikace uchovává hesla? 03.11.2018 24 MD5 PHPASS BCRYPT GTX1060 8x Tesla V100 * GTX1060 8x Tesla V100 * GTX1060 8x Tesla V100 * Hash/s 11446 M 442 G 3557 k 95 M 7610 435 k 8 znaků 18 s 0,5 s 16 hod 36 min 317 dní 6 dní 8 znaků velká/malá /čísla 5 hod 8 min 2 roky 26 dní 900 let 16 let * Google Cloud - 6$/hod Podstatné zrychlení: Písmena<19/20>##(!+*)
  25. 25. https://lynt.cz @smitka Souhrn - bezpečně • Ošetřené vstupy! Testovat proti XSS, SQLi! • HTTPS, dobře nastavené! – https://www.ssllabs.com/ssltest/ • Silné hashování hesel – Tip: zkuste si https://haveibeenpwned.com/ • Aktualizace • CSRF Tokeny u formulářů • Pozor na zapomenuté soubory • Bezpečnostní HTTP hlavičky • Vypnuté ladící výpisy a výpisy adresářů 03.11.2018 25
  26. 26. https://lynt.cz @smitka Další trable • Jak vypadá vaše 404? – vrací 200? – default bílá chybová stránka? – prozrazuje informace – FPD, verze? – stacktrace? • Chodí vám maily? – https://www.mail-tester.com/ 03.11.2018 26
  27. 27. https://lynt.cz @smitka Další příležitosti • Analýza logů serveru • Pravidelné testování broken linků • Testování na mobilu (mouse over menu?) 03.11.2018 27
  28. 28. https://lynt.cz @smitka Moje výzkumy a články • Stav WordPress instalací v ČR – https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum • Průzkum WordPress na Slovensku – https://lynt.cz/blog/wordpress-v-sk-pruzkum • Technické zpracování webů prezidentských kandidátů – https://lynt.cz/blog/prezident-2018 • Nejčastější problémy moderních webů – https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu • Globální scan otevřených .git repozitářů – https://lynt.cz/blog/globalni-scan-otevrenych-git-repozitaru 03.11.2018 28
  29. 29. https://lynt.cz @smitka Díky za pozornost! 03.11.2018 29 Sledujte můj twitter @smitka. Koukněte na mé starší prezentace na SlideShare. Hlasování o nejlepší web hacking techniky: https://portswigger.net/polls/top-10-web-hacking-techniques-2018 WordPress CTF k WordCamp Praha 2019 https://2019.prague.wordcamp.org/hacking-soutez-o-10-volnych-vstupenek-na-wordcamp/

×