Embed Size (px)
Citation preview
Penetrační testování webových aplikací Seznam.cz
Kde nechal tesař díru…Roman Kümmel
Ovládnutí serveru Nedostatečná autorizace Získání obsahu
databází
Útoky proti cizímu účtu (nutné uživatelské přihlášení a návštěva útočné stránky)
Útoky proti cizímu účtu (nutné uživatelské
přihlášení a akce na útočné stránce)
Vę660ob660cný
Vę660ob660cný
Vę660ob660cný
all
Proč jsou penetrační testy důležité?
Pomáhají předcházet útokům, které by mohly mít negativní dopad na uživateleProvádí se před nasazením aplikace do ostrého provozu a následně i na ostré verzi
Testování zamezilo zveřejnění bezmála 200 potencionálně zranitelných míst různé závažnosti
Ovládnutí serveru Nedostatečná autorizace Získání obsahu
databází
Útoky proti cizímu účtu (nutné uživatelské přihlášení a návštěva útočné stránky)
Útoky proti cizímu účtu (nutné uživatelské
přihlášení a akce na útočné stránce)
Vę660ob660cný
Vę660ob660cný
Vę660ob660cný
all
Typy útoků:
Příklady nálezů:
Nezabezpečený uploadLocal (Remote) File Inclusion
Špatná konfigurace sdílených serverů
Neošetřený upload obrázků na rozhraní outsourcované službyŠpatná konfigurace webhostingových serverů SWEB.cz
Ovládnutí serveru Nedostatečná autorizace Získání obsahu
databází
Útoky proti cizímu účtu (nutné uživatelské přihlášení a návštěva útočné stránky)
Útoky proti cizímu účtu (nutné uživatelské
přihlášení a akce na útočné stránce)
Vę660ob660cný 27
Vę660ob660cný
all
Typy útoků:
Ukázka útoku:
SQL injectionForced browsing postupnou změnou ID v GET/POST proměnné
Nedostatečná autorizace
Mazání videíí a uživatelských komentářů na službě stream.cz
http://www.stream.cz/?m=video&a=delete_form&video_id=679055&page=0
Ovládnutí serveru Nedostatečná autorizace Získání obsahu
databází
Útoky proti cizímu účtu (nutné uživatelské přihlášení a návštěva útočné stránky)
Útoky proti cizímu účtu (nutné uživatelské
přihlášení a akce na útočné stránce)
Vę660ob660cný 27
Vę660ob660cný
all
Typy útoků:
Cross-Site Request Forgery (CSRF)Cross-Site Scripting (XSS)
Ovládnutí serveru Nedostatečná autorizace Získání obsahu
databází
Útoky proti cizímu účtu (nutné uživatelské přihlášení a návštěva útočné stránky)
Útoky proti cizímu účtu (nutné uživatelské
přihlášení a akce na útočné stránce)
Vę660ob660cný 27
Vę660ob660cný
all
Clickjacking
Typ zranitelnosti, který byl poprvé publikován v roce 2008Původně náchylné všechny služby na Seznam.cz
Příklad:Vložení e-mailové adresy pro přesměrování příchozích zpráv (demo)
Novinky2%
Tip2%
TV2% Zboží
2% Spolužáci3%
Sfinance3%
Sklik5%
Sport5%
Firmy5%
Lidé7%
Stream7%
Email11%
Mobilní služby45%
Podíl zachycených zranitelností v konkrétních službách
Vznik nových služeb na Seznam.cz
Nově vznikající služby jsou mnohem lépe zabezpečeny než tomu bylo v minulosti
Provádí se penetrační testy na beta-verzích před uvedením služby do ostrého provozu
I ty se můžeš zapojit!
Děkuji za pozornost
Proveď nějakou akci
+ COOKIES
zpět
Načti stránkuútočníka
<HTML> … <img src=“Proveď akci“> …</HTML>
