Безопасность интернет-приложений осень 2013 лекция 1

10 лекций

3 домашних задания

3 семинара

экзамен

2

3

«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»

4

Интеграция js в браузеры

Появление PHP

1995-96

1997

Зарождение WWW

1990-92

MySQL 3.23

1995-2000

UNIX, tcp/ip

1969-70

5

6

«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»

7

8

«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»

9

«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготвитьдо того, каконо потребуется.»

10

«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»

11

12

13

14

15

Company profit

ZDI ~$2500+

Facebook $500+

Google csrf - $500, rce - $20000

PayPal sqlinj - $3000

Bounty programs list: http://goo.gl/gEFJ4

16

17

site

Dump all data, leave

Inject code, leave

Hide and wait

Resell access

18

19

USER

Hacked site

Bruteforced accs

Reused accs

Phishing

Trojan

Social engineering

20

21

Социальный спам

Перс. данные

Платежные данные

«виртуальная собственность»

USER

22

23

24

обьекты

сервер

заказы

пользователи

Платежные инструменты

сайт

злоумышленник

25

обьекты

сервер

заказы

пользователи

Платежные инструменты

злоумышленник

- конкурент- хакер- бот

сайт

26

обьекты

сервер

заказы

пользователи

Платежные инструменты

злоумышленник

нарушение работы

кража денег

получение доступа

перехват заказов

- конкурент- хакер- бот

сайт

27

нарушение работы

серверСайт: форма

заказов

конкурент

28

нарушение работы

серверСайт: форма

заказов

CaptchaIp blacklist

Облакопровайдер

конкурент

29

кража денег

Платежные инструменты: данные карт

Платежные инструменты:

счета

хакер

30

кража денег

Платежные инструменты: данные карт

Платежные инструменты:

счета

Отправка формы платежа по email НЕ процессить карты

хакер

31

Получение доступа

серверсайт

Хакер, бот

32

Получение доступа

серверсайт

Поддержка обновлений П.О.Security review кодаОграничения аутентификацииwaf, ips

Поддержка обновлений сервераНе использовать shared hostingОграничения аутентификации

Хакер, бот

33