View
287
Download
2
Category
Preview:
Citation preview
Безопасность интернет-приложений
Лекция 1, «Риски и угрозы»Рабоволюк Ярослав
2
Программа курса
10 лекций 3 домашних задания 3 семинара экзамен
3
Интернет – враждебная среда
«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»
Сун Цзы
4
Краткая история
Интеграция js в браузерыApache, Mysql, php, asp
1995-96
Зарождение WWW
1989-92
MySQL 3.23, jsp
1995-2000
UNIX, tcp/ip
1969-70
5
Краткая история
Основные мотивы:
- Интерес- Слава- Деньги
6
Краткая история
«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»
Сун Цзы
7
Наше время
Основные мотивы, наши дни:
- Деньги- Деньги- Деньги
8
Наше время
“ethical hackers”
«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»
Сун Цзы
9
Наше время
Script kiddies
«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготвить до того, каконо потребуется.»
Сун Цзы
10
Наше время
Pro job
«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»
Сун Цзы
11
Наше время
Anonymous
12
Наше время
Goverment
13
Наше время
Bots
14
Рынок киберкрайма
White hats
- Исследования в области ИБ- reward-программы, bounty hunting- Тестирование на проникновение
15
Рынок киберкрайма
Reward programsCompany profit
ZDI ~$2500+
Facebook $500+
Google csrf - $500, rce - $20000
PayPal sqlinj - $3000
Bounty programs list: http://goo.gl/gEFJ4
16
Рынок киберкрайма
Black hats
- Исследования в области ИБ- reward-программы, bounty hunting- Разработка и продажа эксплойтов- Кража аккаунтов- Кража/использование данных- Ботнет- Ифрейм-траффик- Спам, партнерки- Кардинг- «конкурентная разведка»- Кража виртуальных артефактов
17
Рынок киберкрайма
Сценарий: сайт взломан
site
Dump all data, leave
Inject code, leave
Hide and wait
Resell access
18
Рынок киберкрайма
пользователи
- 90% - низкий уровень знаний - Избегают сложностей- Склонны доверять знакомой среде
19
Рынок киберкрайма
Цель: аккаунт пользователя
USER
Hacked site
Bruteforced accs
Reused accs
Phishing
Trojan
Social engineering
20
Рынок киберкрайма
Phishing
21
Рынок киберкрайма
Сценарий: аккаунт взломан
Социальный спам
Перс. данные
Платежные данные
«виртуальная собственность»
USER
22
Модель угроз
Интернет-магазин
- Продажа шин- Форма заказов: ввод имени, телефона, адреса- Возможность зарегистрироваться- Платежный инструмент: наличные, выставление
счета, прием оплаты по карте- Статистика по заказам
23
Модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
сайт
злоумышленник
24
Модель угроз
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
- конкурент- хакер- бот
сайт
Интернет-магазин
25
Модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
нарушение работы
кража денег
получение доступа
перехват заказов
- конкурент- хакер- бот
сайт
26
Модель угроз
Интернет-магазин
нарушение работы
серверСайт: форма заказов
конкурент
27
Модель угроз
Интернет-магазин
нарушение работы
серверСайт: форма заказов
CaptchaIp blacklist
Облакопровайдер
конкурент
28
Модель угроз
Интернет-магазин
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
хакер
29
Модель угроз
Интернет-магазин
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
Отправка формы платежа по email НЕ процессить карты
хакер
30
Модель угроз
Интернет-магазин
Получение доступа
серверсайт
Хакер, бот
31
Модель угроз
Интернет-магазин
Получение доступа
серверсайт
Поддержка обновлений П.О.Security review кодаОграничения аутентификацииwaf, ips
Поддержка обновлений сервераНе использовать shared hostingОграничения аутентификации
Хакер, бот
32
Модель угроз
Домашнее задание: image hosting
- Регистрации нет.- Форма ввода url либо загрузки файла- Возвращает короткую ссылку на изображение и
html-код для вставки.
Recommended