Upload
advanced-monitoring
View
87
Download
0
Embed Size (px)
Citation preview
©2016, ОАО «ИнфоТеКС».
Примеры подобных приложений
Microsoft Exchange Server + Microsoft Outlook + Outlook
Web Access (OWA)
1С:Предприятие
ДБО ("Банк-клиент" и "веб-клиент") + АБС
Средства защиты информации (СЗИ)
Scada + HMI
©2016, ОАО «ИнфоТеКС».
Основные угрозы при эксплуатации уязвимостей клиентской части выполнение произвольного кода и повышение
привилегий на клиентской машине ("толстый" клиент)
получение доступа к конфиденциальным данным
пользователя ("толстый" и "тонкий" клиент)
подмена пользовательских команд ("толстый" и
"тонкий" клиент)
атака на других пользователей приложения с позиции
легитимного пользователя
©2016, ОАО «ИнфоТеКС».
Основные угрозы при эксплуатации уязвимостей серверной части получение доступа к данным пользователей на
сервере
получение привилегий администратора приложения на
сервере
выведение сервера из строя (DoS)
выполнение произвольного кода и повышение
привилегий на сервере
©2016, ОАО «ИнфоТеКС».
Повышение привилегий на клиентском компьютереЦель – от имени пользователя выполнить код с правами «NT AUTHORITY\SYSTEM»
Анализ расположения
файлов ПО
Места поиска подключаемых
библиотек
Проверка подлинности
подгружаемых библиотек
Создание прокси-dll
Выполнение произвольного кода с правами
«NT AUTHORITY»
Результат – благодаря установленному приложению «пострадала» безопасность всей ОС пользователя
Рекомендации – учитывать архитектурные особенности клиентской ОС, проверять подлинность системных и собственных компонентов
©2016, ОАО «ИнфоТеКС».
Выполнение команд с правами администратора приложенияЦель – от имени администратора выполнять команды в контексте приложения
Анализ защищенности Front-
end
Вертикальное повышение привилегий
Атака на «Тонкого» клиента
администратора
Анализ защищенности
Back-end
Выполнение управляющих
команд
Результат – получение полного контроля над приложением, полный или частичный доступ к данным пользователей
Рекомендации – анализ защищенности веб-части приложения, повышенные требования безопасности к компьютеру администратора, контролировать все входные данные
©2016, ОАО «ИнфоТеКС».
Получение доступа к данным других пользователейЦель – получить доступ к данным других пользователей, а также выполнять команды в контексте приложения от их имени
Анализ защищенности Front-
end
Горизонтальное повышение привилегий
Атака на «Тонкого»
клиента пользователя
Атака с позиции администратора
приложения
Доступ к данным
пользователей
Результат – возможность выполнять операции от других пользователей, доступ к личным данным
Рекомендации – анализ защищенности веб-части приложения, повышенные осведомленности пользователей, использование СЗИ
©2016, ОАО «ИнфоТеКС».
Отправка данных пользователей
Банк-клиент
Автоматизированная банковская система
Администратор«Тонкий» клиент
Веб-сервер нарушителя