-
OWASP Top 10 Latvijā
Biežākās drošības problēmas 4mekļa lietojumos
Agris Krusts, IT Centrs, SIA
28.03.2019
-
Par mani
• Agris Krusts, SIA IT Centrs dibinātājs, drošības
konsultants
• Drošības audi= un tes=, apmācība
• E-pasts: [email protected]
• TwiHer: @agris_krusts
• www.itcentrs.lv
© Agris Krusts, SIA IT Centrs 2
https://www.itcentrs.lv
-
© OWASP Top 10 2017 3
-
Datu avots
• Tīmekļa lietojumu drošības tes5 laika posmā 2015-2018
• ~ 130 sistēmas
• Paras5 testa vides
• Klasificēts atbilstoši OWASP Tes5ng Guide v4
• Detalizētāka sta5s5ka 5kai par "populārākajām" problēmām
• Salīdzinājums ar līdzīgiem da5em par 2011 - 2014
© Agris Krusts, SIA IT Centrs 4
-
Par pašu prezentāciju
• No OWASP Top 10 2017 neapska5ju
• A8:2017-Insecure DeserializaBon
• A10:2017-Insufficient Logging & Monitoring
• Netulkoju OWASP Top 10 virsrakstus
© Agris Krusts, SIA IT Centrs 5
-
Injekcijas
• Samazinājās no ~40% līdz aptuveni 10%
• Vēl ar vien lielākā daļa ir SQLi (7)
• Pārējās: XML un koda injekcijas
• Lielākā daļa ir grūK atrodamas aklās vai pilnīgi aklās
(totally blind)
© Agris Krusts, SIA IT Centrs 6
-
Totally blind injekcijas
• SQL Server: 1;waitfor delay '0:0:10'--
• Postgress: (SELECT pg_sleep(10))
• MySQL: `select * from users where id = (select 1 union select
sleep(1) limit 1)
© Agris Krusts, SIA IT Centrs 7
-
Broken Authen,ca,on and session management
Ievainojamas sistēmas
Sesijas fiksācija 11%
Logout problēmas 15%
Sesiju dzīves ilgums 13%
AutenAfikācijas apiešana 18%
Problēmas paroles atjaunošanas funkcionalitātē 7%
Vājas paroles 13%
© Agris Krusts, SIA IT Centrs 8
-
Broken Authen,ca,on and session management
• Sesijas fiksācija samazinājās no 30% līdz 11%
• Iztrūkstoši sīkdatņu parametri Secure un HttpOnly down
samazinājās no 44% līdz 5%
• Vecākas sistēmas mēdz atstāt novārtā
© Agris Krusts, SIA IT Centrs 9
-
www.manabalss.lv demo
© Agris Krusts, SIA IT Centrs 10
-
11
-
www.manabalss.lv demo
• Youtube video
© Agris Krusts, SIA IT Centrs 12
https://youtu.be/vgeUc1wdcYY
-
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 13
-
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 14
-
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 15
-
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 16
-
www.manabalss.lv
• Sesijas sīkdatnes vēr1ba pirms auten6fikācijas:Cookie:
_mb_session=d68b496bb2db4400e9530374bff18a2d
• Sesijas sīkdatnes vēr1ba pēc auten6fikācijas:Set-Cookie:
_mb_session=d68b496bb2db4400e9530374bff18a2d; domain=.manabalss.lv;
path=/; expires=Wed, 27 Mar 2019 08:38:44 -0000; HttpOnly
© Agris Krusts, SIA IT Centrs 17
-
Sensi&ve Data Exposure
Systems
Pārlūka kešatmiņa 21%
SSL problēmas 31%
Sensis;vas informācijas pārsū;šana izmantojot HTTP
10%
© Agris Krusts, SIA IT Centrs 18
-
Sensi&ve Data Exposure
• SSL problēmas palielinājās no 27% līdz 31%
• Sensi;vas informācijas pārsū;šana ar HTTP samazinājās no 40%
līdz 10%
© Agris Krusts, SIA IT Centrs 19
-
Pārlūka kešatmiņa
© Agris Krusts, SIA IT Centrs 20
-
Lapa pārlūkā© Agris Krusts, SIA IT Centrs 21
-
Servera atbilde© Agris Krusts, SIA IT Centrs 22
-
Atrodam atbilstošu kešatmiņas failu
© Agris Krusts, SIA IT Centrs 23
-
Fails teksta redaktorā© Agris Krusts, SIA IT Centrs 24
-
Bonuss: nedaudz auten-fikācijas datu
© Agris Krusts, SIA IT Centrs 25
-
Nedaudz par "Sensi&ve data exposure", kas nav minēts
OWASP
© Agris Krusts, SIA IT Centrs 26
-
© Agris Krusts, SIA IT Centrs 27
-
© Agris Krusts, SIA IT Centrs 28
-
XML External En--es
• Atsevišķa kategorija
• Re2 sastopama Latvijā
• Izskatās līdzīgi ...
]>
&xxe;
© Agris Krusts, SIA IT Centrs 29
-
Broken Access Control
Systems
Direktoriju apstaigāšana (../) 1%
Autorizācijas apiešana 9%
Tieša piekļuve objek@em 11%
© Agris Krusts, SIA IT Centrs 30
-
© Agris Krusts, SIA IT Centrs 31
-
© Agris Krusts, SIA IT Centrs 32
-
Broken Access Control
• Autorizācijas problēmas kopumā samazinājušās no 40%
• Tieša piekļuve samazinājusiesno 33% līdz 11%
© Agris Krusts, SIA IT Centrs 33
-
Security Misconfigura1on
Systems
Konfigurācijas kļūdas 17%
Rezerves kopijas, nereferencē> faili ar sensi@vu informāciju
u.c.
13%
Piekļuve adminstrācijas saskarnēm 9%
Iztrūkst HSTS galvenes 26%
© Agris Krusts, SIA IT Centrs 34
-
Using Components with Known Vulnerabili6es
• 239 komponen, 130 sistēmās!
© Agris Krusts, SIA IT Centrs 35
-
Drupalgeddon
© Agris Krusts, SIA IT Centrs 36
-
Cross-site scrip,ng
Systems
Dinamiskā 21%
DOM bāzētā 7%
Paliekošā 18%
© Agris Krusts, SIA IT Centrs 37
-
Cross-site scrip,ng
• Dinamiskā samazinājās no 46% un paliekošā no 36%
• Dinamiskā ir ar mazu risku, jo lielākā daļa pārlūko to
bloķē
• Risks palielinās, jo daA parasA "ceļo" starp sistēmām
© Agris Krusts, SIA IT Centrs 38
-
© Agris Krusts, SIA IT Centrs 39
-
© Agris Krusts, SIA IT Centrs 40
-
Kopsavilkums
© Agris Krusts, SIA IT Centrs 41
-
Problēmu skaits
A1: Injec*on 10
A2: Broken Authen*ca*on and session management
134
A3 Sensi*ve Data Exposure 89
A4: XML External En**es 2
A5: Broken Access Control 27
A6: Security Misconfigura*on 97
A7: Cross-Site Scrip*ng 59
A9: Using Components with Known Vulnerabili*es 239
© Agris Krusts, SIA IT Centrs 42
-
Ci# novērojumi
• Tīmekļa lietojumi paliek drošāki, vismaz daži
• Vis;camāk pateico;es ietvadiem
• Bieži sistēmas drošība ir atkarīga no tā kuri izstrādātāji to
ir viedojuši
• Drošības problēmas paliek ar vien grūtāk atrast un
izmantot
• Jo jaunāka tehnoloģija, jo biežāk tā ;ek ieviesta nedroši
© Agris Krusts, SIA IT Centrs 43
-
Paldies par uzmanību!
Jautājumi!
P.S. Meklējam jaunus kolēģus
[email protected], Twi4er: @agris_krusts, +371
29151412Agris Krusts, @agris_krusts, +371 29151412, www.itcentrs.lv
44
