Procesy biznesowe z

perspektywy atakującego

Mateusz Olejarka

4Developers, 20.04.2015

• Starszy Specjalista ds. Bezpieczeństwa IT, SecuRing

• Ocena bezpieczeństwa aplikacji webowych i mobilnych

• Trener

• (Były) programista

• OWASP Poland, członek zarządu

Kto zacz?

• Bezpieczeństwo procesów

• Przyda się

• Przykłady i techniki

• Pytania

Agenda

Czemu testować bezpieczeństwo procesów?

Na co ta wiedza mi?

Ja zajmuję się programowaniem a nie bezpieczeństwem! ;)

Bezpieczeństwo procesów?!

Błędy na poziomie:

• Logiki procesu

• Implementacji procesu

Bezpieczeństwo procesów?!

Web developer

• Pokazuje pola ukryte na formularzu

• Zdejmuje ograniczenie długości pól

• Uaktywnia pola zablokowane (disabled)

• Zamiana pól wyboru na tekstowe

Przyda się

HTTP proxy

Przyda się

Przeglądarka SerwerProxy

• Omówienie procesu

• Jak go zaatakować?

• Co było nie tak?

• Techniki testowania

Proces - schemat

• Edycja elementu danych

• Przypomnienie hasła

• Zmiana nr telefonu do autoryzacji SMS

• Zlecenie z autoryzacją X 3

Przykłady

Proces

• Wybór elementu danych z listy

• Zmiana danych

• Zapisanie zmian (+ ew. autoryzacja)

Edycja elementu danych

Proces

• Wybór elementu danych z listy

• Zmiana danych

• Zapisanie zmian (+ ew. autoryzacja)

Identyfikator elementu danych w polu ukrytym jest kroku 1 i 2

Edycja elementu danych

Proces

• Podanie adresu email

• Podanie kodu otrzymanego na email

• Zmiana hasła

Przypomnienie hasła

Przypomnienie hasła

Przypomnienie hasłabob@securing.pl

MANIPULACJA PARAMETRAMI UKRYTYMI I ZABLOKOWANYMI DO EDYCJI

Technika nr 1

Proces

• Podanie treści kodu sms, który przyszedł na stary telefon

• Podanie nowego numeru telefonu

• Podanie treści kodu sms, który przyszedł na nowy telefon

• Zapisanie zmiany

Zmiana nr telefonu

WERYFIKACJA WALIDACJI WYMAGANYCH PARAMETRÓW (FORMAT I WARTOŚĆ)

Technika nr 2

Proces

• Uzupełnienie danych zlecenia

• Możliwa autoryzacja od razu, lub zapisanie operacji do

późniejszej autoryzacji

Zlecenie z autoryzacją

Proces

• Uzupełnienie danych zlecenia

• Możliwa autoryzacja od razu, lub zapisanie operacji do

późniejszej autoryzacji

Podpowiedź: Proszę Państwa, to jest proste ;)

Zlecenie z autoryzacją

POMINIĘCIE PARAMETRU I JEGO WARTOŚCI PODCZAS WYKONANIA AKCJI NA FORMULARZU

Technika nr 3

Proces

• Uzupełnienie danych zlecenia

• Możliwa autoryzacja od razu, lub zapisanie operacji do

późniejszej autoryzacji

Zlecenie z autoryzacją

Proces

• Uzupełnienie danych zlecenia

• Możliwa autoryzacja od razu, lub zapisanie operacji do

późniejszej autoryzacji

Podczas wykonania autoryzacji przesyłane są dane transakcji

Zlecenie z autoryzacją

POWTÓRZENIE OPERACJI AUTORYZACJI ZE ZMIENIONYMI DANYMI

Technika nr 4

Proces

• Uzupełnienie danych zlecenia

• Możliwa autoryzacja od razu, lub zapisanie operacji do

późniejszej autoryzacji

Zlecenie z autoryzacją

Proces

• Uzupełnienie danych zlecenia

• Możliwa autoryzacja od razu, lub zapisanie operacji do

późniejszej autoryzacji

Dostępne akcje na formularzu to:

• signandsend

• save

Zlecenie z autoryzacją

EKSPERYMENTUJ!

Technika nr 5

Dziękuję, zapraszam na darmowe konsultacje ! ->

www.securing.pl/konsultacje

mateusz.olejarka@securing.pl