Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
OWASP Top 10 Latvijā
Biežākās drošības problēmas 4mekļa lietojumos
Agris Krusts, IT Centrs, SIA
28.03.2019
Par mani
• Agris Krusts, SIA IT Centrs dibinātājs, drošības konsultants
• Drošības audi= un tes=, apmācība
• E-pasts: [email protected]
• TwiHer: @agris_krusts
• www.itcentrs.lv
© Agris Krusts, SIA IT Centrs 2
https://www.itcentrs.lv
© OWASP Top 10 2017 3
Datu avots
• Tīmekļa lietojumu drošības tes5 laika posmā 2015-2018
• ~ 130 sistēmas
• Paras5 testa vides
• Klasificēts atbilstoši OWASP Tes5ng Guide v4
• Detalizētāka sta5s5ka 5kai par "populārākajām" problēmām
• Salīdzinājums ar līdzīgiem da5em par 2011 - 2014
© Agris Krusts, SIA IT Centrs 4
Par pašu prezentāciju
• No OWASP Top 10 2017 neapska5ju
• A8:2017-Insecure DeserializaBon
• A10:2017-Insufficient Logging & Monitoring
• Netulkoju OWASP Top 10 virsrakstus
© Agris Krusts, SIA IT Centrs 5
Injekcijas
• Samazinājās no ~40% līdz aptuveni 10%
• Vēl ar vien lielākā daļa ir SQLi (7)
• Pārējās: XML un koda injekcijas
• Lielākā daļa ir grūK atrodamas aklās vai pilnīgi aklās (totally blind)
© Agris Krusts, SIA IT Centrs 6
Totally blind injekcijas
• SQL Server: 1;waitfor delay '0:0:10'--
• Postgress: (SELECT pg_sleep(10))
• MySQL: `select * from users where id = (select 1 union select sleep(1) limit 1)
© Agris Krusts, SIA IT Centrs 7
Broken Authen,ca,on and session management
Ievainojamas sistēmas
Sesijas fiksācija 11%
Logout problēmas 15%
Sesiju dzīves ilgums 13%
AutenAfikācijas apiešana 18%
Problēmas paroles atjaunošanas funkcionalitātē 7%
Vājas paroles 13%
© Agris Krusts, SIA IT Centrs 8
Broken Authen,ca,on and session management
• Sesijas fiksācija samazinājās no 30% līdz 11%
• Iztrūkstoši sīkdatņu parametri Secure un HttpOnly down samazinājās no 44% līdz 5%
• Vecākas sistēmas mēdz atstāt novārtā
© Agris Krusts, SIA IT Centrs 9
www.manabalss.lv demo
© Agris Krusts, SIA IT Centrs 10
11
www.manabalss.lv demo
• Youtube video
© Agris Krusts, SIA IT Centrs 12
https://youtu.be/vgeUc1wdcYY
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 13
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 14
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 15
www.manabalss.lv
© Agris Krusts, SIA IT Centrs 16
www.manabalss.lv
• Sesijas sīkdatnes vēr1ba pirms auten6fikācijas:Cookie: _mb_session=d68b496bb2db4400e9530374bff18a2d
• Sesijas sīkdatnes vēr1ba pēc auten6fikācijas:Set-Cookie: _mb_session=d68b496bb2db4400e9530374bff18a2d; domain=.manabalss.lv; path=/; expires=Wed, 27 Mar 2019 08:38:44 -0000; HttpOnly
© Agris Krusts, SIA IT Centrs 17
Sensi&ve Data Exposure
Systems
Pārlūka kešatmiņa 21%
SSL problēmas 31%
Sensis;vas informācijas pārsū;šana izmantojot HTTP
10%
© Agris Krusts, SIA IT Centrs 18
Sensi&ve Data Exposure
• SSL problēmas palielinājās no 27% līdz 31%
• Sensi;vas informācijas pārsū;šana ar HTTP samazinājās no 40% līdz 10%
© Agris Krusts, SIA IT Centrs 19
Pārlūka kešatmiņa
© Agris Krusts, SIA IT Centrs 20
Lapa pārlūkā© Agris Krusts, SIA IT Centrs 21
Servera atbilde© Agris Krusts, SIA IT Centrs 22
Atrodam atbilstošu kešatmiņas failu
© Agris Krusts, SIA IT Centrs 23
Fails teksta redaktorā© Agris Krusts, SIA IT Centrs 24
Bonuss: nedaudz auten-fikācijas datu
© Agris Krusts, SIA IT Centrs 25
Nedaudz par "Sensi&ve data exposure", kas nav minēts OWASP
© Agris Krusts, SIA IT Centrs 26
© Agris Krusts, SIA IT Centrs 27
© Agris Krusts, SIA IT Centrs 28
XML External En--es
• Atsevišķa kategorija
• Re2 sastopama Latvijā
• Izskatās līdzīgi ...
]>
&xxe;
© Agris Krusts, SIA IT Centrs 29
Broken Access Control
Systems
Direktoriju apstaigāšana (../) 1%
Autorizācijas apiešana 9%
Tieša piekļuve objek@em 11%
© Agris Krusts, SIA IT Centrs 30
© Agris Krusts, SIA IT Centrs 31
© Agris Krusts, SIA IT Centrs 32
Broken Access Control
• Autorizācijas problēmas kopumā samazinājušās no 40%
• Tieša piekļuve samazinājusiesno 33% līdz 11%
© Agris Krusts, SIA IT Centrs 33
Security Misconfigura1on
Systems
Konfigurācijas kļūdas 17%
Rezerves kopijas, nereferencē> faili ar sensi@vu informāciju u.c.
13%
Piekļuve adminstrācijas saskarnēm 9%
Iztrūkst HSTS galvenes 26%
© Agris Krusts, SIA IT Centrs 34
Using Components with Known Vulnerabili6es
• 239 komponen, 130 sistēmās!
© Agris Krusts, SIA IT Centrs 35
Drupalgeddon
© Agris Krusts, SIA IT Centrs 36
Cross-site scrip,ng
Systems
Dinamiskā 21%
DOM bāzētā 7%
Paliekošā 18%
© Agris Krusts, SIA IT Centrs 37
Cross-site scrip,ng
• Dinamiskā samazinājās no 46% un paliekošā no 36%
• Dinamiskā ir ar mazu risku, jo lielākā daļa pārlūko to bloķē
• Risks palielinās, jo daA parasA "ceļo" starp sistēmām
© Agris Krusts, SIA IT Centrs 38
© Agris Krusts, SIA IT Centrs 39
© Agris Krusts, SIA IT Centrs 40
Kopsavilkums
© Agris Krusts, SIA IT Centrs 41
Problēmu skaits
A1: Injec*on 10
A2: Broken Authen*ca*on and session management
134
A3 Sensi*ve Data Exposure 89
A4: XML External En**es 2
A5: Broken Access Control 27
A6: Security Misconfigura*on 97
A7: Cross-Site Scrip*ng 59
A9: Using Components with Known Vulnerabili*es 239
© Agris Krusts, SIA IT Centrs 42
Ci# novērojumi
• Tīmekļa lietojumi paliek drošāki, vismaz daži
• Vis;camāk pateico;es ietvadiem
• Bieži sistēmas drošība ir atkarīga no tā kuri izstrādātāji to ir viedojuši
• Drošības problēmas paliek ar vien grūtāk atrast un izmantot
• Jo jaunāka tehnoloģija, jo biežāk tā ;ek ieviesta nedroši
© Agris Krusts, SIA IT Centrs 43
Paldies par uzmanību!
Jautājumi!
P.S. Meklējam jaunus kolēģus
[email protected], Twi4er: @agris_krusts, +371 29151412Agris Krusts, @agris_krusts, +371 29151412, www.itcentrs.lv 44