Опасный мир web

реклама
Безопасность Веб-приложений
Дмитрий Евтеев
Эксперт по информационной безопасности
Угрозы Web-приложений
Нарушение конфиденциальности
• Кража конфиденциальной информации, в том числе данных
клиентов/партнеров
Нарушение целостности
• Подмена заглавной страницы (deface)
• Распространение вредоносного программного обеспечения и запрещенного
контента
• $500,000 украдено у грузоперевозчиков путем подмены данных на сайте
(http://www.securitylab.ru/news/361590.php)
Нарушение доступности
• Удаление содержимого
• DoS (Denial of Service) и DDoS (Distributed Denial of Service) атаки
• Внешние факторы и воздействия
Опасный мир Web-приложений
Хакеры сфокусировали свое внимание на
Web-сервисах
• 75% всех атак направлено на уровень Webприложений (Gartner)
• 60% всех зафиксированных атак в настоящее
время нацелено на эксплуатацию уязвимостей
в Web-приложениях (SANS)
Большинство Web-приложений уязвимы
• 90% сайтов являются уязвимыми (Watchfire)
• 78% уязвимых Web-приложений могут быть
легко атакованы (Symantec)
• 80% организаций к 2010 году столкнутся с
хотя бы одним инцидентом, связанным с
безопасностью web-приложений (Gartner)
Согласно последним данным аналитиков IBM 75% атак приходиться на Web-приложения, в то
время как на обеспечение их безопасности тратиться только 10% от общих затрат.
Опасный мир Web-приложений
По данным компании Positive Technologies за 2008 год
• 83% сайтов содержат критические уязвимости
• 78% сайтов содержат уязвимости средней степени риска
• вероятность автоматизированного заражения страниц
уязвимого Web-приложения вредоносным кодом
составляет приблизительно 15-20%
http://ptsecurity.ru/analytics.asp
Данные основываются на проведении 16121 автоматических сканирований, детальном анализе
59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Внедрение операторов SQL»
Web-сервер
http://web/?id=6329&print=Y
….
SELECT * from news where id = 6329
….
СУБД
Уязвимость типа «Внедрение операторов SQL»
Web-сервер
http://web/?id=6329+union+select+id,pwd,0+from...
….
SELECT * from news where id = 6329 union select id,pwd,0 from…
….
СУБД
Массовые заражения Web-приложений
«Лаборатория Касперского» предупреждает о массовом взломе
- на 10,000 серверов были размещены опасные ссылки
ScanSafe сообщают об обнаружении в сети Интернет более
64,000 web-сайтов, зараженных одним и тем же интернетчервём
Распределение критических уязвимостей по инфицированным сайтам
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Межсайтовое выполнение
сценариев»
Web-сервер
http://web/?search=secureweb
…
print "<b>secureweb</b>";
…
Уязвимость типа «Межсайтовое выполнение
сценариев»
3. Переход по ссылке
Web-сервер
6. Работа с Web-приложением от
имени атакованного пользователя
4. Выполнение исполняемого
кода в браузере пользователя
5. Например, передача
Web-сессии (cookies)
2. Передача «заряженной» ссылки:
http://web/?search=secureweb"><script>...</script>
1. fuzzing, поиск
уязвимости
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Утечка информации»
http://web/readme.txt
http://web/data.txt
http://web/pwd.txt
http://web/usr.txt
http://web/phpinfo.php
http://web/adm/
http://web/test/
http://web/admins.dat
http://web/info.txt
http://web/db/
http://web/php.php
Web-сервер
http://web/sql/
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Недостаточная аутентификация»
Web-сервер
http://web/secure/
Уязвимость типа «Недостаточная аутентификация»
Web-сервер
http://web/secure/members.php
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год
(Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Статистика используемых паролей в России
Более 40% паролей можно взломать из-за простоты
Статистика по паролям низкой стойкости у
администраторов:
Данные основываются на анализе более чем 185 тысяч паролей пользователей
(http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf).
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Обратный путь в директориях»
Web-сервер
http://web/?file=positive.jpg
….
$handle = fopen("positive.jpg","r");
$contents = fread($handle, filesize("positive.jpg"));
….
Уязвимость типа «Обратный путь в директориях»
Web-сервер
http://web/?file=../../../../../../etc/passwd
….
$handle = fopen("../../../../../../etc/passwd","r");
$contents = fread($handle, filesize("../../../../../../etc/passwd"));
….
Уязвимости web-приложений
Уязвимость типа «Подделка HTTP-запросов» (Cross-Site Request
Forgery, CSRF, XSRF)
• Практически не входит в статистику уязвимостей Positive Technologies и WASC
по автоматизированным сканированиям (сложности при автоматизированном
обнаружении)
• Ошибка в том или ином виде, в основном, встречается во всех
анализированных web-приложениях
• Степень опасности уязвимости CSRF напрямую зависит от функций и задач,
решаемых приложением
Cross-Site Request Forgery – вид атаки, использующий функцию
браузера по автоматической отправке идентификатора сессии с
каждым GET/POST-запросом к web-приложению
Уязвимость типа «Подделка HTTP-запросов»
2. Пользователь посещает форум
Интернет-форум
3. Браузер загружает картинку по адресу:
http://ibanking/action?...
Интернет-банк
(ibanking)
4. Если сессия пользователя существует, то…
1. Публикация сообщения:
<img src=http://ibanking/action?account=12345&amount=500&for=54321>
Уязвимости в «живой природе»
SQL Injection в «живой природе»
SQL Injection можно встретить даже на широко
известных и крупных Интернет-ресурсах
Cross-Site Scripting в «живой природе»
XSS – «головная боль» для всех web-проектов
К чему приводит беззаботное отношение к
безопасности web-приложений?
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
РАБОЧИЕ
СТАНЦИИ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
WEBСЕРВЕР
СЕРВЕРЫ
СЕРВЕРЫ
РАБОЧИЕ
СТАНЦИИ
ГОЛОВНОЙ
ОФИС
ФИЛИАЛ
Мы немного посканировали…
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
РАБОЧИЕ
СТАНЦИИ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
ФИЛИАЛ
Инструментальное
обследование сети
Сканирование портов и
сервисов
WEBСЕРВЕР
СЕРВЕРЫ
СЕРВЕРЫ
АНАЛИЗ
ЗАЩИЩЕННОСТИ
РАБОЧИЕ
СТАНЦИИ
ПРОВЕДЕНИЕ
ПРОВЕРОК
ГОЛОВНОЙ
ОФИС
MP SERVER
ПРОВЕДЕНИЕ
ПРОВЕРОК
Рабочее
место
аудитора
Исследование защищенности
web-приложения методом
«черного ящика»
…обнаружили уязвимость в web-приложении…
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
РАБОЧИЕ
СТАНЦИИ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
ФИЛИАЛ
Сканирование сети
Успешно подобран
пароль!
•
WEBСЕРВЕР
СЕРВЕРЫ
•
СЕРВЕРЫ
ПОДОБРАН
ПАРОЛЬ
РАБОЧИЕ
СТАНЦИИ
ПРОВЕДЕНИЕ
ПРОВЕРОК
ГОЛОВНОЙ
ОФИС
MP SERVER
ПРОВЕДЕНИЕ
ПРОВЕРОК
Рабочее
место
аудитора
•
•
Эксплуатация SQL
Injection
Выполнение команд на
сервере
Повышение привилегий
Атака на внутренние
ресурсы
…захватили управление всей сетью.
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
РАБОЧИЕ
СТАНЦИИ
Внутренний пентест/аудит по
результатам пентеста
ФИЛИАЛ
Сканирование сети
Успешно подобран
пароль!
Внутренний пентест/аудит
по результатам пентеста
•
WEBСЕРВЕР
СЕРВЕРЫ
•
СЕРВЕРЫ
ПОДОБРАН
ПАРОЛЬ
Внутренний пентест
РАБОЧИЕ
СТАНЦИИ
ПРОВЕДЕНИЕ
ПРОВЕРОК
ГОЛОВНОЙ
ОФИС
•
•
Эксплуатация SQL
Injection
Выполнение команд на
сервере
Повышение привилегий
Атака на внутренние
ресурсы
MP SERVER
ПРОВЕДЕНИЕ
ПРОВЕРОК
•
•
•
Установка сканера
MaxPatrol
Поиск уязвимостей
Эксплуатация
уязвимостей
Перемещение в ИС ЦО
Рабочее
место
аудитора
•
Проведение атаки на
ресурсы ЦО
Получение максимальных
привилегий во всей сети!
Концепция безопасного Web-приложения
Уязвимость не является свойством Web-приложения!
Безопасность должна быть разумной
Безопасность должна быть комплексной
Безопасность – это непрерывный процесс
Концепция безопасного Web-приложения
Из чего складывается защищенность Web-ресурса?
Процесс разработки Web-приложения
 Жизненный цикл разработки программного обеспечения (SDLC)
 Требования к информационной безопасности (архитектура приложения)
Непрерывный мониторинг
 IDS/IPS
 Web Application Firewall (WAF)
Состояние промышленной среды
 Поддержка актуального состояния
ОС/ПО и сопутствующих компонентов
 Безопасные конфигурации (CIS, etc)
 Обеспечение доступности
Анализ защищенности
 Проверка выполнения требований к информационной безопасности
 Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP)
Positive Technologies
7 лет работы в области информационной безопасности
Предоставление консалтинговых и сервисных услуг в области ИБ
• тестирование на проникновение;
• проведение оценки уровня защищенности.
Основные направления деятельности
• разработка одного из лучших сетевых сканеров XSpider;
• разработка уникального продукта - системы контроля защищенности
и соответствия стандартам MaxPatrol;
• развитие специализированного портала Securitylab.
Positive Technologies – лаборатория безопасности
• постоянный мониторинг новых уязвимостей;
• внутренняя система описания уязвимостей;
• одна из наиболее профессиональных команд в Европе;
• MaxPatrol – ежедневные обновления.
Спасибо за внимание!
devteev@ptsecurity.ru
http://devteev.blogspot.com/
Скачать