![Page 1: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/1.jpg)
Útok na užívateľa zabezpečenej WWW aplikácie
Autor: Martin Zajíček
DCIT Consulting, http://www.dcit-consulting.sk
![Page 2: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/2.jpg)
2
Stručný prehľad prezentácie
� Východisková situácia prostredia WWW aplikácií
� Základné oblasti zraniteľností WWW aplikácií
� Ukážky možných infiltrácií cudzieho kódu
� Popis ukážkových útokov + predvedenie
� Hlavné odkazy prezentácie
![Page 3: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/3.jpg)
3
Špecifickosť WWW prostredia
� otvorenosť prostredia vzhľadom na pôvodnú ideu vzniku Internetu
� rôzne klientske platformy – operačný systém, prehliadač, atď.
� rôzne kódovania, atď.
![Page 4: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/4.jpg)
4
Zraniteľné miesta WWW aplikácií
� WWW server - konfigurácia služby,
absentujúce aktualizácie, pozostatky
testovacích a ladiacich nastavení,
neobmedzený prístup k administračným
rozhraniam
� WWW aplikácia - existencia „ľudovej
slovesnosti“, neznalosť problematiky
bezpečnosti – „SQL injection“ alebo Cross Site
Scripting (XSS), sú žiaľ stále v kurze
![Page 5: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/5.jpg)
5
Zraniteľné miesta WWW aplikácií
�Ostatné: absencia logovania a spracovania
logov prístupov
�Združenie The Open Web ApplicationSecurity Project pravidelne aktualizuje „TOP
TEN“ najčastejších chýb WWW – odporúčania
určené pre architektov, dizajnérov,
programátorov, vlastníkov aplikácií
![Page 6: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/6.jpg)
6
Zraniteľné miesta WWW aplikácií
� A1 - Cross Site Scripting (XSS)
� A2 - Injection Flaws
� A3 - Malicious File Execution
� A4 - Insecure Direct Object Reference
� A5 - Cross Site Request Forgery (CSRF)
� A6 - Information Leakage and Improper Error
Handling
� A7 - Broken Authentication and Session
Management
� A8 - Insecure Cryptographic Storage
� A9 - Insecure Communications
� A10 - Failure to Restrict URL Access
![Page 7: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/7.jpg)
7
Zraniteľné miesta WWW aplikácií
� Užívateľ – vysoké užívateľské práva,
minimálne zabezpečenie PC, slabé
povedomie o bezpečnostných rizikách =
možná infiltrácia škodlivého kódu v podobe
spyware, trójskeho koňa s cieľom
monitorovania, či úpravy komunikácie
• vzory „návnad“ na ďalších stranách prezentácie
![Page 8: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/8.jpg)
8
Ukážky
![Page 9: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/9.jpg)
9
Ukážky
![Page 10: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/10.jpg)
10
Ukážky
![Page 11: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/11.jpg)
11
Ukážky
![Page 12: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/12.jpg)
12
Typy útokov – ukážky
hacker
H
victim
v
https://banka...192.1.2.3
PC užívateľaWWW browser
Šifrovaný SSL kanál
MITM proxy166.6.6.6
šifrovaný SSL kanál
SSL 1
SSL
2
2. trójsky kôň3. SSL sm
erujúci
na falošný server
1. štandardný “bezpečný“ prístup
4. hacker vidí/upravuje obsah SSLkanálu
Útok typu Man-in-the-middle (MITM)
![Page 13: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/13.jpg)
13
Typy útokov – ukážky
� Útok typu Man-in-the-browser (MITB)
� princíp útoku je rovnaký
hacker
H
victim
v
https://banka...192.1.2.3
PC užívateľaWWW browser
Šifrovaný SSL kanál
2. trójsky kôň
1. štandardný “bezpečný“ prístup
3. hacker upravuje obsah SSL kanálu
![Page 14: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/14.jpg)
14
Ukážky
� Ukážka útokov
![Page 15: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/15.jpg)
15
Spôsob eliminácie hrozieb
� riešiť bezpečnosť WWW aplikácie už na
začiatku – pri návrhu riešenia, definovanie
záručných podmienok
� preveriť aplikáciu nezávislou treťou stranou
– kladný výsledok, či protokol o odstránení
nájdených prípadných nedostatkov
súčasťou preberacieho protokolu
� vzdelávať vlastných pracovníkov i užívateľov
![Page 16: Útok na užívateľa zabezpečenej WWW aplikácie€¦ · podobný útok je realizovateľný aj na ďalších ebankingovýchaplikáciách nespoliehaťsa len na „bezpečnosťWWW](https://reader033.vdocuments.pub/reader033/viewer/2022051923/6010a5a97ac27d3c023f10ce/html5/thumbnails/16.jpg)
16
Hlavné odkazy prezentácie
� podobný útok je realizovateľný aj na ďalších
ebankingových aplikáciách
� nespoliehať sa len na „bezpečnosť WWW
aplikácie“ a používať dostupné kontrolné
mechanizmy
� len antivírová ochrana je nedostatočná a
často krát nie sú dostatočné ani riešenia
komplexnej ochrany (personall
firewall+AV+antispyware)