web threats
DESCRIPTION
TRANSCRIPT
![Page 1: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/1.jpg)
Актуальные угрозы Web-приложений
Дмитрий Евтеев
Positive Technologies
![Page 2: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/2.jpg)
Угрозы Web-приложений
Нарушение конфиденциальности• Кража конфиденциальной информации, в том числе данных
клиентов/партнеров
Нарушение целостности• Подмена заглавной страницы (deface)• Распространение вредоносного программного обеспечения и
запрещенного контента
• $500,000 украдено у грузоперевозчиков путем подмены данных на сайте (http://www.securitylab.ru/news/361590.php)
Нарушение доступности• Удаление содержимого• DoS (Denial of Service) и DDoS (Distributed Denial of Service) атаки• Внешние факторы и воздействия
![Page 3: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/3.jpg)
Опасный мир Web-приложений
По данным компании Positive Technologies за 2008 год
• 83% сайтов содержат критические уязвимости
• 78% сайтов содержат уязвимости средней степени риска
• вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20%
http://ptsecurity.ru/analytics.asp
Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
![Page 4: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/4.jpg)
Опасный мир Web-приложений
Хакеры сфокусировали свое внимание на Web-сервисах
• 75% всех атак направлено на уровень Web-приложений (Gartner)
• 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS)
Большинство Web-приложений уязвимы
• 90% сайтов являются уязвимыми (Watchfire)
• 78% уязвимых Web-приложений могут быть легко атакованы (Symantec)
• 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner)
Согласно последним данным аналитиков IBM 75% атак приходиться на Web-приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
![Page 5: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/5.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 6: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/6.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 7: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/7.jpg)
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329&print=Y
….SELECT * from news where id = 6329….
![Page 8: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/8.jpg)
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329&print=Y
….SELECT * from news where id = 6329….
![Page 9: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/9.jpg)
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329&print=Y
….SELECT * from news where id = 6329….
![Page 10: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/10.jpg)
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
![Page 11: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/11.jpg)
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
![Page 12: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/12.jpg)
Уязвимость типа «Внедрение операторов SQL»
Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...
….SELECT * from news where id = 6329 union select id,pwd,0 from…….
![Page 13: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/13.jpg)
Массовые заражения Web-приложений
"Лаборатория Касперского" предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки
ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web-сайтов, зараженных одним и тем же интернет-червем
Распределение критических уязвимостей по инфицированным сайтам
![Page 14: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/14.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 15: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/15.jpg)
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-серверhttp://web/?search=secureweb
…print "<b>secureweb</b>";…
![Page 16: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/16.jpg)
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-серверhttp://web/?search=secureweb
…print "<b>secureweb</b>";…
![Page 17: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/17.jpg)
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
![Page 18: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/18.jpg)
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>
3. Переход по ссылке
![Page 19: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/19.jpg)
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>
3. Переход по ссылке
4. Выполнение исполняемогокода в браузере пользователя
![Page 20: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/20.jpg)
Уязвимость типа «Межсайтовое выполнение сценариев»
Web-сервер
1. fuzzing, поиск уязвимости
2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>
3. Переход по ссылке
4. Выполнение исполняемогокода в браузере пользователя
5. Например, передача Web-сессии (cookies)
6. Работа с Web-приложением от имени атакованного пользователя
![Page 21: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/21.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 22: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/22.jpg)
Уязвимость типа «Предсказуемое расположение ресурсов»
Web-сервер
http://web/test/http://web/admin.php
http://web/pwd.txt
http://web/info.txt http://web/db/
http://web/readme.txt
![Page 23: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/23.jpg)
Уязвимость типа «Предсказуемое расположение ресурсов»
Web-серверhttp://web/sql/http://web/php.php
http://web/phpmyadmin/ http://web/phpinfo.phphttp://web/adm/
![Page 24: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/24.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 25: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/25.jpg)
Уязвимость типа «Подбор»
Web-серверhttp://web/secure/
![Page 26: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/26.jpg)
Уязвимость типа «Подбор»
Web-серверhttp://web/secure/
![Page 27: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/27.jpg)
Статистика используемых паролей в России
Более 40% паролей можно взломать из-за простоты
Статистика по паролям низкой стойкости у администраторов:
Данные основываются на анализе более чем 185 тысяч паролей пользователей (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf).
![Page 28: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/28.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 29: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/29.jpg)
Уязвимость типа «Утечка информации»
Web-сервер
![Page 30: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/30.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 31: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/31.jpg)
Уязвимость типа «Недостаточная аутентификация»
Web-серверhttp://web/secure/
![Page 32: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/32.jpg)
Уязвимость типа «Недостаточная аутентификация»
Web-серверhttp://web/secure/members.php
![Page 33: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/33.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 34: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/34.jpg)
Уязвимость типа «Обратный путь в директориях»
Web-серверhttp://web/?file=positive.jpg
….$handle = fopen("positive.jpg","r"); $contents = fread($handle, filesize("positive.jpg")); ….
![Page 35: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/35.jpg)
Уязвимость типа «Обратный путь в директориях»
Web-серверhttp://web/?file=../../../../../../etc/passwd
….$handle = fopen("../../../../../../etc/passwd","r"); $contents = fread($handle, filesize("../../../../../../etc/passwd")); ….
![Page 36: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/36.jpg)
Уязвимости Web-приложений
Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
![Page 37: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/37.jpg)
Уязвимость типа «Идентификация приложений»
Web-серверhttp://web/
CMS: Tribiq CMS VERSION: 5.0
![Page 38: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/38.jpg)
Уязвимость типа «Идентификация приложений»
Web-серверhttp://web/
CMS: Tribiq CMS VERSION: 5.0
![Page 39: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/39.jpg)
Уязвимость типа «Идентификация приложений»
Web-серверhttp://web/
CMS: Tribiq CMS VERSION: 5.0
![Page 40: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/40.jpg)
Критические уязвимости можно встретить даже на широко известных и крупных интернет-ресурсах
Опасный мир Web-приложений
![Page 41: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/41.jpg)
Концепция безопасного Web-приложения
Уязвимость не является свойством Web-приложения!
Безопасность должна быть разумной
Безопасность должна быть комплексной
Безопасность – это непрерывный процесс
![Page 42: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/42.jpg)
Концепция безопасного Web-приложения
Из чего складывается защищенность Web-ресурса?
Процесс разработки Web-приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения)
Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации (CIS, etc) Обеспечение доступности
Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP)
Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)
![Page 43: Web Threats](https://reader033.vdocuments.site/reader033/viewer/2022061220/54ba553b4a7959d73a8b45e2/html5/thumbnails/43.jpg)
Positive Technologies
7 лет работы в области информационной безопасности
Основные направления деятельности• разработка одного из лучших сетевых сканеров XSpider;• разработка уникального продукта - системы контроля
защищенности и соответствия стандартам MaxPatrol;• предоставление консалтинговых и сервисных услуг в области
информационной безопасности; • развитие специализированного портала Securitylab.
Positive Technologies – лаборатория безопасности• постоянный мониторинг новых уязвимостей;• внутренняя система описания уязвимостей;• одна из наиболее профессиональных команд в Европе;• MaxPatrol – ежедневные обновления.