Upload
gecad-epayment
View
935
Download
4
Embed Size (px)
DESCRIPTION
Care sunt principalele vulnerabilitati ale unui magazin online si care sunt efectele acestora - Alexandru Molodoi, CTO GECAD NET
Citation preview
1 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
CUM şi DE CE să îmi securizez magazinul online
Alexandru Molodoi
Chief Technical Officer GECAD NET
Scoala de Afaceri ePayment, 26.02.2009
2 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Agenda
• Despre GECAD NET• Securitatea informatiei• Top vulnerabilitati magazine online• Nu am un magazin online securizat. Ce se poate
intampla?• Ce pot sa fac pentru a-mi securiza site-ul?
3 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Despre GECAD NET
• Cunoscuti pana in 2003 ca producator de tehnologii antivirus.• Dupa 2003, GECAD devine Grup iar in cadrul sau, GECAD NET
continua traditia in securitate IT.• In 2006, GECAD NET lanseaza propria solutie de securitate. SENTINET, care evalueaza infrastructura IT, o monitorizeaza,
alerteaza si raporteaza incidentele din reteaua companiei si nu numai.
• Din 2009 GECAD NET extinde parteneriatul cu Kaspersky atat in Romania cat si in Bulgaria pentru comercializarea solutilor de business.
• Focus pe servicii profesionale de IT pentru mediul business.
4 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Securitatea informatiei
5 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Vulnerabilitati
• SQL Injection• Cross Site Scripting (XSS)• Parameter tampering• Cookie Poisoning• Denial of Service (DoS)
6 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Impactul atacurilor• Furtul, modificarea sau distrugerea informatiilor din
bazele de date• Furtul identitatii clientilor• Efectuarea de tranzactii online de catre atacator in
numele utilizatorului atacat• Preluarea controlului total asupra website-ului sau
chiar a serverului• Modificarea paginilor – dezinformare sau
compromiterea imaginii magazinului online• Indisponibilitatea website-ului
7 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
SQL Injection
SQL Injection este o vulnerabilitate ce apare atunci cand datele primite de la utilizator nu sunt verificate corect ci pasate direct catre baza de date. In consecinta atacatorul poate schimba cererea la baza de date.
Vectori de atac:- Formulare- Search box-uri- Parametri din URL
8 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
SQL Injection
Efecte Furt de date (tabele intregi) (SELECT * FROM …) Modificare continut website (UPDATE tabel SET …) Distrugere de date (DELETE FROM …) Furtul identitatii utilizatorilor Efectuare de tranzactii online de cate atacator in numele
utilizatorului atacat Preluarea controlului website-ului Indisponibilitatea website-ului
9 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Cross Site Scripting (XSS)
XSS este o vulnerabilitate specifica aplicatiilor web ce permite injectare de cod “malitios” in paginile web vizitate de utilizatori vizati.
Vectori de atac:- Formulare- Parametri transmisi prin URL
10 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Cross Site Scripting (XSS)
Efecte Furtul identitatii utilizatorilor website-ului Efectuarea de tranzactii online in numele altor
utilizatori Rularea de continut malitios pe calculatoarele
utilizatorilor website-ului
11 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Parameter tampering
Atacurile de tip Web Parameter Tampering se bazeaza pe manipularea parametrilor transferati intre browser si server. Astfel sunt modificate datele de intrare ale aplicatiei, precum credentialele utilizatorului si parole de acces, preturi si cantitati ale produselor, etc. Aceste informatii sunt de obicei stocate in cookies, campuri invizibile de formulare sau URL Query Strings, si sunt utilizate pentru a creste functionalitatea si controlul asupra aplicatiei.
12 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Parameter tampering
Efecte Efectuare de comenzi online cu preturi modificate Accesarea de sectiuni neautorizate din website Modificare neautorizata de continut
13 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Cookie Poisoning
In cazul Cookie Poisoning un atacator poate modifica valorile parametrilor stocati in cookie inainte de a le trimite catre server. Daca, spre exemplu, un cookie stocheaza suma totala pe care un client o datoreaza pentru produsele din cosul sau virtual, printr-o modificare adusa acestei valori atacatorul poate prejudicia proprietarul website-ului ca urmare a platii unei sume mult mai mici pentru cumparaturile sale.
14 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Cookie Poisoning
Efecte Accesarea de sectiuni neautorizate din website Modificare neautorizata de continut
15 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Denial of Service (DoS)
Denial of Service este vulnerabilitatea care odata exploatata face aplicatia online indisponibila vizitatorilor. Una din modalitatile de exploatare este de a face un numar mare de cereri incercand saturarea numarului maxim de conexiuni.
16 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Denial of Service (DoS)
Efect Indisponibilitatea aplicatiei
17 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Cum imi protejez website-ul de efectele acestor vulnerabilitati?
18 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Definire specificatii si arhitectura
Securitatea aplicatiei se trateaza inca de la etapa de definire a specificatiilor si a arhitecturii aplicatiei web astfel incat aplicatia sa fie “Secure by Design”
19 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Dezvoltare aplicatie
Dezvoltatorii aplicatiei trebuie sa aiba notiuni de securitatea informatiei.
Pe parcursul dezvoltarii aplicatiei fiecare modul trebuie verificat si din punct de vedere al securitatii cu instrumente specializate.
20 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Release
Inainte de lansarea aplicatiei web aceasta trebuie auditata ca un tot unitar pentru vulnerabilitati de
platforma (Sistem operare, Apache, PHP, SQL etc.) de aplicatie (aplicatia web propriu-zisa)
21 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Auditare periodica
Periodic, trebuie auditat aplicatia deoarece: De cele mai multe ori se adauga functionalitati noi
adaugate in aplicatie Frecvent sunt descoperite vulnerabilitati noi (de
platforma si de aplicatie)
22 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Multumesc !
Alexandru [email protected]
23 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009
Q & A