SlideShare ist ein Scribd-Unternehmen logo

Owasp Top10 2010 RC1 PL

T
Think Secure

Polish translation+adds of OWASP TOP10 RC1

BildungTechnologie
1 von 13
Downloaden Sie, um offline zu lesen
  OWASP   The  Open  Web  Application  Security  Project                                 OWASP  Top  10  –  2010  rc1   Dziesięć  najbardziej  krytycznych  zagrożeń  w  web  aplikacjach   Release  Candidate  1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)   1    
1. Zmiany  w  najnowszym  dokumencie:   Dodano   Usunięto   Zmiana   A6   –   Security     (2004)   A10   –   Insecure   Misconfiguration   Configuration  Management   A8   –   Unvalidated   Redirects       and  Forwards     A3  –  Malicious  File  Execution       A6   –   Information   Leakage   and     Improper  Error  Handling     2. T10.  Poszczególne  punkty:     2.1 A1-­‐  Injection:  ‘błędy  wstrzyknięcia’,   zaliaczamy   do   nich   błędy:   SQL,   OS   shell,   LDAP,   XPath   Injection.   Błędy   te   powstają   podczas   przesłania   specjalnie   spreparowanych   danych   do   interpretera,   jako   część   zapytania   lub   polecenia(  prościej  mówiąc:  wartości  traktowane  są  jak  polecenia).    Jeżeli  dane  te,  nie  są  w   odpowiedni  sposób  filtrowane,  osoba  atakująca  ma  wówczas  możliwość  wywołania  własnych   poleceń/   zapytań.   Może   to   spowodować   dostęp   do   poufnych   informacji,   lub   nieautoryzowanych  działań  w  systemie.     Przykładowy  atak: Błąd  ten  jest  nadal  bardzo  popularny,  a  jego  ofiarą  padają  potężne  firmy.  Przykładem  może   być   całkiem   niedawny   atak   na   Yahoo   (http://news.softpedia.com/news/Yahoo-­‐Local-­‐Hacked-­‐ 120044.shtml).   Warte  uwagi:   http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet   http://www.owasp.org/index.php/Command_Injection   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Reviewing_Code_for_OS_Injection   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html   http://cwe.mitre.org/data/definitions/89.html   2    
    2.2 A2-­‐  Cross  Site  Scripting  (XSS):  ‘skrypty  międzyserwisowe’,   błędy   tego   typu   powstają   podczas   próby   wyświetlenia   w   przeglądarce   internetowej   danych   pochodzących   od   użytkownika,   bez   ich   wcześniejszej   walidacji.   Umożliwia   to   atakującemu,   wykonanie  skryptu  na  prawach  ofiary.  Efektem  może  być  przechwycenie  sesji  zalogowanego   użytkownika,   podmiana   zawartości   serwisu   lub   przekierowanie   użytkownika   na   stronę   zawierającą  inne  szkodliwe  skrypty  lub  oprogramowanie.     Przykładowy  atak:   XSS   polega   na   wykonaniu   kodu   HTML,   który   został   wprowadzony   przez   osobę   trzecia   a   jest   wykonywany   przez   dana   aplikacje.   Typowy   przykład   JavaScript   użytego   podczas   ataku   typu   XSS,  powodujący  wyświetlenie  okienka  z  zawartością  pliku  cookie:   <script>alert(document.cookie);</script>   Na  podstawie  informacji  z  ‘ciasteczka’  można  określić  m.in.  login,  hasło  ofiary.   Oczywiście  bardziej  wyrafinowane  metody  wykorzystania  tego  typu  błędów,  umożliwiają  np.   obserwowanie,   jakie   strony   przegląda   ofiara,   lub   tworzą   z   komputera   ofiary   komputer   zombie.     Warte  uwagi:   http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet   http://www.owasp.org/index.php/Cross-­‐site_Scripting_(XSS)   http://www.owasp.org/index.php/ESAPI   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Testing_for_Cross_site_scripting   http://cwe.mitre.org/data/definitions/79.html   http://ha.ckers.org/xss.html   3    
    2.3 A3-­‐   Broken   Authentication   and   Session   Management:   ‘niepoprawna   obsługa   uwierzytelniania  i  sesji’,   Bardzo często funkcje związane   z   autentykacją,   oraz   zarządzaniem   sesjami   nie   są   odpowiednio   zaimplementowane.   Umożliwia   to   osobom   atakującym   ujawnienie   haseł   (w   zależności   od   struktury   serwisu),   kluczy,   tokenów   sesji,   lub   wykonania   poleceń   na   prawach   zalogowanego  użytkownika.   Dlaczego   pojawiają   się   tego   typu   błędy?   HTTP   jest   protokołem   typu   ‘stateless’,   co   oznacza,   że   dane   odnośnie   zalogowanego   użytkownika   muszą   być   wysyłane   przy   każdym   odwołaniu  się  do  strony.  Wszelkie  dane  (przy braku aktywnego SSL)  pojawiają  się  w  postaci   niezaszyfrowanej,   umożliwiając   podsłuchanie   tych   danych   w   dowolnym   momencie.   Najczęstszym   problemem   są   dane   zawarte   w   tzw.   sesjach   (SessionID).   Odwołując   się   do   innego  serwisu  niż  tego  na  którym  jesteśmy  zalogowani,  jest  możliwość  przesłania  tego  typu   zmiennych   (np.   via   referrer).   W   takim   przypadku,   osoba   atakująca   ustawia   w   swojej   przeglądarce   sesję   odwiedzającego,   co   w   wielu   przypadkach   umożliwia   poprawne   zalogowanie  się  do  obcego  serwisu.     Przykładowy  atak:   Jesteśmy  zalogowani  w  popularnym  serwisie  randkowym  i  chcemy  pokazać  znajomej  osobie   ciekawe  zdjęcie  odnalezione  w  wyszukiwarce  tego  serwisu.  Link  wygląda  tak:     http://jakisserwisrandkowy/zdjecie-­‐10-­‐10/?sessionid=34923592752     Przekazując  w/w  link,  przekazujemy  również  dane  odnośnie  naszej  sesji.  Klikając  w  link,  jest   możliwość,  że  zostaniemy  automatycznie  zalogowani  jako  osoba  która  wysłała  nam  link.     Warte  uwagi:   http://cwe.mitre.org/data/definitions/287.html   http://www.owasp.org/index.php/Testing_for_authentication   http://www.owasp.org/index.php/Guide_to_Authentication   http://owasp-­‐esapi-­‐java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/User.html   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.html   4    
http://www.owasp.org/index.php/ASVS   2.4 A4-­‐   Insecure   Direct   Object   References:   ‘niezabezpieczone   bezpośrednie   odwołanie   do   obiektu’,   pojawia  się  kiedy  zostaje  ujawniona  referencja  do  wewnętrznego  obiektu.  Może  być  to  plik,   katalog  lub  wartość  klucza  z  bazy  danych.  Bez  kontroli  dostępu,  lub  innych  kontroli,  atakujący   może  manipulować  referencjami  w  celu  uzyskania  dostępu  do  poufnych  informacji.   Punkt   ten   może,   a   nawet   powinien,   służyć   jako   wprowadzenie   do   punktu   7.   Powody   występowania  błędu:   -­‐  ‘ukrywanie’  wrażliwych  informacji  w  polach  typu:  hidden   -­‐  nadmierne  ufanie  danym  wprowadzanym  przez  użytkownika   -­‐  brak  walidacji  tego  typu  danych  po  stornie  serwera.     Przykładowy  atak:   Omówię   dosyć   częsty   błąd,   umożliwiający   przeglądanie   danych   innych   osób,   np.   faktur,   lub   notatek.  Załóżmy,  że  istnieje  aplikacja  umożliwiająca  dokonywanie  płatności  za  internet  przez   internet.   Po   zalogowaniu   się   można   przeglądać   listę   dokonanych   opłat   oraz   własnych   danych   osobowych  przez  link:     http://platnoscizainternet.lan/?abonent=5654     Jeżeli  występuje  tego  typu  błąd,  to  po  zamianie  wartości  5654  na  1337,  najprawdopodobniej   będziemy  w  stanie  przejrzeć  dane  abonenta  o  id  1337.  Możliwości  jest  wiele,  w  zależności  od   struktury   serwisu.   Co   się   stanie,   jeżeli   dane   te   nie   są   brane   z   bazy   danych   ale   z   pliku   w   katalogu  /var/www/users/abonenci/5654?  Wtedy  wystarczy  zmienić  link  na:   http://platnoscizainternet.lan/?abonent=../../../../../../../etc/passwd     i  zamiast  danych  abonenta  widzimy  zawartość  pliku  /etc/passwd.     Warte  uwagi:   http://www.owasp.org/index.php/Top_10_2007-­‐Insecure_Direct_Object_Reference   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/org/owasp/esapi/AccessController.html   5    
http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html   http://www.owasp.org/index.php/ASVS   http://cwe.mitre.org/data/definitions/639.html   http://cwe.mitre.org/data/definitions/22.html   6    
    2.5 A5-­‐  Cross  Site  Request  Forgery:  ‘Fałszowanie  żądań’,   nieautoryzowany  użytkownik  wabiąc  ofiarę  na  swoją  stronę,  może  wykonywać  zapytania  jako   zalogowana   ofiara.   Atak   ma   na   celu   skłonić   użytkownika   zalogowanego   do   serwisu   internetowego   do uruchomienia   odnośnika,   który   wykona   w   wybranym   serwisie   akcję,   do   której  atakujący  nie  miałby  dostępu (np brak cookie).     Przykładowy  atak:   Użytkowniczka   Małgosia,   na   stałe   zalogowana   do   forum   internetowego,   może   w   pewnym   momencie  otworzyć  spreparowany  przez  Jasia  link:     http://forum/changedata.php?login=jasio&new_pass=123&mail=pwn3d@domena   Link   ten   zmieni   jej   dane   kontaktowe   albo   usunie   wątek   dyskusji.   Jako   link   może   również   posłużyć   obrazek,   którego   adres   został   odpowiednio   przygotowany,   a   konsekwencje   wykonanej  akcji  mogą  być  znacznie  poważniejsze.     Warte  uwagi:   http://www.owasp.org/index.php/CSRF   http://www.owasp.org/index.php/Cross-­‐ Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet   http://www.owasp.org/index.php/CSRFGuard   http://www.owasp.org/index.php/ESAPI   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.html   http://www.owasp.org/index.php/Testing_for_CSRF_(OWASP-­‐SM-­‐005)   http://www.owasp.org/index.php/CSRFTester   http://cwe.mitre.org/data/definitions/352.html   7    
    2.6 A6-­‐  Security  Misconfiguration:  ‘niepoprawne  ustawienia’,   dana   aplikacja,   Framework,   web   Server,   Server   aplikacji,   platforma;   powinny   posiadać   odpowiednie   ustawienia   mające   wpływ   na   bezpieczeństwo.   Wszelkie   ustawienia   powinny   zostać   zdefiniowane,   zaimplementowane,   oraz   utrzymywane   przez   cały   czas,   ponieważ   często   domyślne   ustawienia   w/   w   części   nie   zapewniają   żadnego   bezpieczeństwa.   Do   tego   typu   problemów   możemy   zaliczyć   zostawianie   domyślnych   haseł   oraz   konfiguracji,   możliwości   listowania   katalogów,   brak   podejmowania   akcji   w   przypadku   plików   typu   *.inc,   włączone  informacje  odnośnie  błędów  aplikacji  i  wiele  innych.     Warte  uwagi:   http://www.owasp.org/index.php/Configuration   http://www.owasp.org/index.php/Testing_for_configuration_management   http://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Management   http://www.owasp.org/index.php/ASVS   http://www.pcmag.com/article2/0,2817,11525,00.asp   http://cwe.mitre.org/data/definitions/2.html   8    
    2.7 A7-­‐  Failure  to  Restrict  URL  Access:  ‘Brak  zabezpieczeń  dostępu  przez  URL’,   wielokrotnie  dostęp  do  poufnych  danych,  lub  narzędzi  administracyjnych.  Aplikacje  powinny   wykonywać  dodatkowe  sprawdzanie  czy  dana  osoba  ma  dostęp  do  tego  typu  danych,  nawet   jeżeli  zna  ‘ukryte’  URL.     Przykładowy  atak:   Najczęściej  popełniany  błąd,  ‘ukrywanie’  panelu  administracyjnego  pod  URL:     http://serwis/adminsitracja  (oczywiście  może  to  być:  /admin/,  /adm/,  /panel/  itp....)     W  tym  momencie  programista  stwierdził:  ‘skoro  nie  ma  bezpośredniego  odwołania  do  panelu   administracyjnego   na   stronie   głównej   serwisu,   to   nikt   nie   wpadnie   na   pomysł   żeby   wpisać   /administracja/...więc   po   co   zakładać   logowanie   na   taki   panel’. Jak się okazuje, zawód niektórych ludzi polega właśnie na takim ‘wpadaniu na pomysł’ ;) Warte  uwagi:   http://www.owasp.org/index.php/Top_10_2007-­‐Failure_to_Restrict_URL_Access   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html   http://www.owasp.org/index.php/Guide_to_Authorization   http://www.owasp.org/index.php/Testing_for_Path_Traversal   http://www.owasp.org/index.php/Forced_browsing   http://www.owasp.org/index.php/ASVS   http://cwe.mitre.org/data/definitions/285.html   9    
    2.8 A8-­‐  Unvalidated  Redirects  and  Forwards:  ‘Brak  walidacji  Przekierowań’,   aplikacje   wielokrotnie   przekierowują   użytkownika   na   inne   strony   lub   serwisy   na   podstawie   przesłanych   danych.   Bez   odpowiedniej   walidacji   tych   danych,   użytkownik   może   zostać   skierowany   w   zupełnie   inne   miejsce,   np.   na   stronę   phishingową   lub   ze   szkodliwym   oprogramowaniem.     Przykładowy  atak:   Serwis  po  poprawnym  zalogowaniu  użytkownika,  wywołuje  następujący  adres:   http://serwis/redirect.php?strona=main.php     Wartość   zmiennej   ‘strona’,   określa   na   jaką   nazwę   strony/   pliku   ma   zostać   przekierowany   użytkownik.  Wykorzystując  błędną  obsługę  wartości  zmiennej,  możemy  wpisać:     http://serwis/redirect.php?strona=http://evil.com/malware.exe     co  w  rezultacie  przekieruje  użytkownika  na  stronę  ze  szkodliwym  oprogramowaniem.     Warte  uwagi:   http://www.owasp.org/index.php/Open_redirect   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperRespon se.html   http://cwe.mitre.org/data/definitions/601.html   http://cwe.mitre.org/data/definitions/601.html   http://googlewebmastercentral.blogspot.com/2009/01/open-­‐redirect-­‐urls-­‐is-­‐your-­‐site-­‐ being.html   10    
    2.9 A9-­‐  Insecure  Cryptographic  Storage:  ‘Błędy  szyfrowania  danych’,   aplikacje  w  wielu  przypadkach  przechowują  dane  poufne  w  niezaszyfrowanej  postaci.  Mogą   to  być  dane  typu  SSN  (Social  Security  Number),  dane  do  autentykacji,  dane  osobowe.   Poufne dane należy   przechowywać   w   zaszyfrowanej   postaci,   jednocześnie   zapewniając   dostateczny  poziom  szyfrowania.     Przykładowy  atak/  błąd:   Załóżmy,  że  wszystkie  dane  odnośnie  użytkowników  danego  serwisu  trzymane  są  w  bazie    w   postaci   niezaszyfrowanej,   loginy   hasła   dane   osobowe   itp.   Wykorzystując   np.   błąd   typu   Injection,   osoba   atakująca   jest   w   posiadaniu   tych   wszystkich   danych   w   niezakodowanej   postaci,  dzięki  czemu  może  je  niezwłocznie  wykorzystać  do  dalszych  ataków.  Wystarczyłoby   zastosować   najprostsze   szyfrowanie/   hashowanie   danych   (np.   haseł)   z   odpowiednim   ‘salt’em’,  co  ograniczyłoby  w  pewnym  stopniu  możliwości  wykorzystania  tych  danych.     Warte  uwagi:   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Top_10_2007-­‐Insecure_Cryptographic_Storage   http://www.owasp.org/index.php/Guide_to_Cryptography   http://www.owasp.org/index.php/Codereview-­‐Cryptography   http://cwe.mitre.org/data/definitions/312.html   http://cwe.mitre.org/data/definitions/326.html   11    
  2.10 A10-­‐   Insufficient   Transport   Layer   Protection:   ‘Niedostateczne   zabezpieczenia   wymiany  danych’,   aplikacje   często   nie   posiadają   odpowiednio   zabezpieczonych   kanałów   przesyłu   danych.   Może   to   być   brak   stosowania   SSL   podczas   logowania,   wygasłe   certyfikaty,   lub   zbyt   słabe   szyfrowanie  połączenia.     Przykładowy  atak:   Jak  już  było  wspomniane  wyżej,  brak  użycia  SSL  podczas  logowania  się  na  serwis  pocztowy,   lub   do   banku,   umożliwia   podsłuchanie   przesyłanych   danych,   bez   informowania   o   tym   użytkownika  (tak,  jestem  świadom  ostatnich  błędów  związanych  z  ‘*’  w  certyfikatach;)  ).     Warte  uwagi:   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet   http://www.owasp.org/index.php/Top_10_2007-­‐Insecure_Communications   http://www.owasp.org/index.php/Guide_to_Cryptography   http://www.owasp.org/index.php/Testing_for_SSL-­‐TLS   http://cwe.mitre.org/data/definitions/319.html   https://www.ssllabs.com/ssldb/index.html   http://csrc.nist.gov/publications/fips/fips140-­‐2/fips1402.pdf     12    
  Na   sam   koniec   chciałbym   dodać   od   siebie   jeszcze   jedno   zdanie,   niezwykle   ważne   przy   wykrywaniu,   oraz  zapobieganiu  błędom  w  aplikacjach:     „nigdy  nie  ufaj  danym  od  użytkownika”       13    

Empfohlen

Owasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaOwasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaThink Secure
 
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławKrzysztof Binkowski
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiastosecman_pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 

Empfohlen

Owasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaOwasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaThink Secure
 
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławKrzysztof Binkowski
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiastosecman_pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
HTML5: Atak i obrona
HTML5: Atak i obronaHTML5: Atak i obrona
HTML5: Atak i obronaKrzysztof Kotowicz
 
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjachPROIDEA
 
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjachPROIDEA
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Logicaltrust pl
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Bezpieczeństwo stron opartych na popularnych CMSach
Bezpieczeństwo stron opartych na popularnych CMSachBezpieczeństwo stron opartych na popularnych CMSach
Bezpieczeństwo stron opartych na popularnych CMSachagencjaadream
 
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treściąBezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treściąKatarzyna Javaheri-Szpak
 
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
 
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programistyPROIDEA
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
 
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...krakspot
 
Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Krzysztof Kotowicz
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyWydawnictwo Helion
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMaciej Sobianek
 

Weitere ähnliche Inhalte

Ähnlich wie Owasp Top10 2010 RC1 PL

4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjachPROIDEA
 
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjachPROIDEA
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Logicaltrust pl
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Bezpieczeństwo stron opartych na popularnych CMSach
Bezpieczeństwo stron opartych na popularnych CMSachBezpieczeństwo stron opartych na popularnych CMSach
Bezpieczeństwo stron opartych na popularnych CMSachagencjaadream
 
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treściąBezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treściąKatarzyna Javaheri-Szpak
 
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
 
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programistyPROIDEA
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
 
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...krakspot
 
Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Krzysztof Kotowicz
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyWydawnictwo Helion
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMaciej Sobianek
 

Ähnlich wie Owasp Top10 2010 RC1 PL (20)

HTML5: Atak i obrona
HTML5: Atak i obronaHTML5: Atak i obrona
HTML5: Atak i obrona
 
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
 
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
 
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
Bezpieczenstwo Portali Spolecznosciowych W Ujeciu Robakow Web 20 Pingwinaria2009
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
 
Bezpieczeństwo stron opartych na popularnych CMSach
Bezpieczeństwo stron opartych na popularnych CMSachBezpieczeństwo stron opartych na popularnych CMSach
Bezpieczeństwo stron opartych na popularnych CMSach
 
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treściąBezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
 
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
 
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
 
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
 
Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowyPHP5. Bezpieczne programowanie. Leksykon kieszonkowy
PHP5. Bezpieczne programowanie. Leksykon kieszonkowy
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
 

Owasp Top10 2010 RC1 PL

  • 1.   OWASP   The  Open  Web  Application  Security  Project                                 OWASP  Top  10  –  2010  rc1   Dziesięć  najbardziej  krytycznych  zagrożeń  w  web  aplikacjach   Release  Candidate  1 (tłum.+ zmiany: Michał Wiczyński, http://thinklikeninja.blogspot.com)   1    
  • 2. 1. Zmiany  w  najnowszym  dokumencie:   Dodano   Usunięto   Zmiana   A6   –   Security     (2004)   A10   –   Insecure   Misconfiguration   Configuration  Management   A8   –   Unvalidated   Redirects       and  Forwards     A3  –  Malicious  File  Execution       A6   –   Information   Leakage   and     Improper  Error  Handling     2. T10.  Poszczególne  punkty:     2.1 A1-­‐  Injection:  ‘błędy  wstrzyknięcia’,   zaliaczamy   do   nich   błędy:   SQL,   OS   shell,   LDAP,   XPath   Injection.   Błędy   te   powstają   podczas   przesłania   specjalnie   spreparowanych   danych   do   interpretera,   jako   część   zapytania   lub   polecenia(  prościej  mówiąc:  wartości  traktowane  są  jak  polecenia).    Jeżeli  dane  te,  nie  są  w   odpowiedni  sposób  filtrowane,  osoba  atakująca  ma  wówczas  możliwość  wywołania  własnych   poleceń/   zapytań.   Może   to   spowodować   dostęp   do   poufnych   informacji,   lub   nieautoryzowanych  działań  w  systemie.     Przykładowy  atak: Błąd  ten  jest  nadal  bardzo  popularny,  a  jego  ofiarą  padają  potężne  firmy.  Przykładem  może   być   całkiem   niedawny   atak   na   Yahoo   (http://news.softpedia.com/news/Yahoo-­‐Local-­‐Hacked-­‐ 120044.shtml).   Warte  uwagi:   http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet   http://www.owasp.org/index.php/Command_Injection   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Reviewing_Code_for_OS_Injection   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.html   http://cwe.mitre.org/data/definitions/89.html   2    
  • 3.     2.2 A2-­‐  Cross  Site  Scripting  (XSS):  ‘skrypty  międzyserwisowe’,   błędy   tego   typu   powstają   podczas   próby   wyświetlenia   w   przeglądarce   internetowej   danych   pochodzących   od   użytkownika,   bez   ich   wcześniejszej   walidacji.   Umożliwia   to   atakującemu,   wykonanie  skryptu  na  prawach  ofiary.  Efektem  może  być  przechwycenie  sesji  zalogowanego   użytkownika,   podmiana   zawartości   serwisu   lub   przekierowanie   użytkownika   na   stronę   zawierającą  inne  szkodliwe  skrypty  lub  oprogramowanie.     Przykładowy  atak:   XSS   polega   na   wykonaniu   kodu   HTML,   który   został   wprowadzony   przez   osobę   trzecia   a   jest   wykonywany   przez   dana   aplikacje.   Typowy   przykład   JavaScript   użytego   podczas   ataku   typu   XSS,  powodujący  wyświetlenie  okienka  z  zawartością  pliku  cookie:   <script>alert(document.cookie);</script>   Na  podstawie  informacji  z  ‘ciasteczka’  można  określić  m.in.  login,  hasło  ofiary.   Oczywiście  bardziej  wyrafinowane  metody  wykorzystania  tego  typu  błędów,  umożliwiają  np.   obserwowanie,   jakie   strony   przegląda   ofiara,   lub   tworzą   z   komputera   ofiary   komputer   zombie.     Warte  uwagi:   http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet   http://www.owasp.org/index.php/Cross-­‐site_Scripting_(XSS)   http://www.owasp.org/index.php/ESAPI   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Testing_for_Cross_site_scripting   http://cwe.mitre.org/data/definitions/79.html   http://ha.ckers.org/xss.html   3    
  • 4.     2.3 A3-­‐   Broken   Authentication   and   Session   Management:   ‘niepoprawna   obsługa   uwierzytelniania  i  sesji’,   Bardzo często funkcje związane   z   autentykacją,   oraz   zarządzaniem   sesjami   nie   są   odpowiednio   zaimplementowane.   Umożliwia   to   osobom   atakującym   ujawnienie   haseł   (w   zależności   od   struktury   serwisu),   kluczy,   tokenów   sesji,   lub   wykonania   poleceń   na   prawach   zalogowanego  użytkownika.   Dlaczego   pojawiają   się   tego   typu   błędy?   HTTP   jest   protokołem   typu   ‘stateless’,   co   oznacza,   że   dane   odnośnie   zalogowanego   użytkownika   muszą   być   wysyłane   przy   każdym   odwołaniu  się  do  strony.  Wszelkie  dane  (przy braku aktywnego SSL)  pojawiają  się  w  postaci   niezaszyfrowanej,   umożliwiając   podsłuchanie   tych   danych   w   dowolnym   momencie.   Najczęstszym   problemem   są   dane   zawarte   w   tzw.   sesjach   (SessionID).   Odwołując   się   do   innego  serwisu  niż  tego  na  którym  jesteśmy  zalogowani,  jest  możliwość  przesłania  tego  typu   zmiennych   (np.   via   referrer).   W   takim   przypadku,   osoba   atakująca   ustawia   w   swojej   przeglądarce   sesję   odwiedzającego,   co   w   wielu   przypadkach   umożliwia   poprawne   zalogowanie  się  do  obcego  serwisu.     Przykładowy  atak:   Jesteśmy  zalogowani  w  popularnym  serwisie  randkowym  i  chcemy  pokazać  znajomej  osobie   ciekawe  zdjęcie  odnalezione  w  wyszukiwarce  tego  serwisu.  Link  wygląda  tak:     http://jakisserwisrandkowy/zdjecie-­‐10-­‐10/?sessionid=34923592752     Przekazując  w/w  link,  przekazujemy  również  dane  odnośnie  naszej  sesji.  Klikając  w  link,  jest   możliwość,  że  zostaniemy  automatycznie  zalogowani  jako  osoba  która  wysłała  nam  link.     Warte  uwagi:   http://cwe.mitre.org/data/definitions/287.html   http://www.owasp.org/index.php/Testing_for_authentication   http://www.owasp.org/index.php/Guide_to_Authentication   http://owasp-­‐esapi-­‐java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/User.html   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.html   4    
  • 5. http://www.owasp.org/index.php/ASVS   2.4 A4-­‐   Insecure   Direct   Object   References:   ‘niezabezpieczone   bezpośrednie   odwołanie   do   obiektu’,   pojawia  się  kiedy  zostaje  ujawniona  referencja  do  wewnętrznego  obiektu.  Może  być  to  plik,   katalog  lub  wartość  klucza  z  bazy  danych.  Bez  kontroli  dostępu,  lub  innych  kontroli,  atakujący   może  manipulować  referencjami  w  celu  uzyskania  dostępu  do  poufnych  informacji.   Punkt   ten   może,   a   nawet   powinien,   służyć   jako   wprowadzenie   do   punktu   7.   Powody   występowania  błędu:   -­‐  ‘ukrywanie’  wrażliwych  informacji  w  polach  typu:  hidden   -­‐  nadmierne  ufanie  danym  wprowadzanym  przez  użytkownika   -­‐  brak  walidacji  tego  typu  danych  po  stornie  serwera.     Przykładowy  atak:   Omówię   dosyć   częsty   błąd,   umożliwiający   przeglądanie   danych   innych   osób,   np.   faktur,   lub   notatek.  Załóżmy,  że  istnieje  aplikacja  umożliwiająca  dokonywanie  płatności  za  internet  przez   internet.   Po   zalogowaniu   się   można   przeglądać   listę   dokonanych   opłat   oraz   własnych   danych   osobowych  przez  link:     http://platnoscizainternet.lan/?abonent=5654     Jeżeli  występuje  tego  typu  błąd,  to  po  zamianie  wartości  5654  na  1337,  najprawdopodobniej   będziemy  w  stanie  przejrzeć  dane  abonenta  o  id  1337.  Możliwości  jest  wiele,  w  zależności  od   struktury   serwisu.   Co   się   stanie,   jeżeli   dane   te   nie   są   brane   z   bazy   danych   ale   z   pliku   w   katalogu  /var/www/users/abonenci/5654?  Wtedy  wystarczy  zmienić  link  na:   http://platnoscizainternet.lan/?abonent=../../../../../../../etc/passwd     i  zamiast  danych  abonenta  widzimy  zawartość  pliku  /etc/passwd.     Warte  uwagi:   http://www.owasp.org/index.php/Top_10_2007-­‐Insecure_Direct_Object_Reference   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/org/owasp/esapi/AccessController.html   5    
  • 6. http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html   http://www.owasp.org/index.php/ASVS   http://cwe.mitre.org/data/definitions/639.html   http://cwe.mitre.org/data/definitions/22.html   6    
  • 7.     2.5 A5-­‐  Cross  Site  Request  Forgery:  ‘Fałszowanie  żądań’,   nieautoryzowany  użytkownik  wabiąc  ofiarę  na  swoją  stronę,  może  wykonywać  zapytania  jako   zalogowana   ofiara.   Atak   ma   na   celu   skłonić   użytkownika   zalogowanego   do   serwisu   internetowego   do uruchomienia   odnośnika,   który   wykona   w   wybranym   serwisie   akcję,   do   której  atakujący  nie  miałby  dostępu (np brak cookie).     Przykładowy  atak:   Użytkowniczka   Małgosia,   na   stałe   zalogowana   do   forum   internetowego,   może   w   pewnym   momencie  otworzyć  spreparowany  przez  Jasia  link:     http://forum/changedata.php?login=jasio&new_pass=123&mail=pwn3d@domena   Link   ten   zmieni   jej   dane   kontaktowe   albo   usunie   wątek   dyskusji.   Jako   link   może   również   posłużyć   obrazek,   którego   adres   został   odpowiednio   przygotowany,   a   konsekwencje   wykonanej  akcji  mogą  być  znacznie  poważniejsze.     Warte  uwagi:   http://www.owasp.org/index.php/CSRF   http://www.owasp.org/index.php/Cross-­‐ Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet   http://www.owasp.org/index.php/CSRFGuard   http://www.owasp.org/index.php/ESAPI   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.html   http://www.owasp.org/index.php/Testing_for_CSRF_(OWASP-­‐SM-­‐005)   http://www.owasp.org/index.php/CSRFTester   http://cwe.mitre.org/data/definitions/352.html   7    
  • 8.     2.6 A6-­‐  Security  Misconfiguration:  ‘niepoprawne  ustawienia’,   dana   aplikacja,   Framework,   web   Server,   Server   aplikacji,   platforma;   powinny   posiadać   odpowiednie   ustawienia   mające   wpływ   na   bezpieczeństwo.   Wszelkie   ustawienia   powinny   zostać   zdefiniowane,   zaimplementowane,   oraz   utrzymywane   przez   cały   czas,   ponieważ   często   domyślne   ustawienia   w/   w   części   nie   zapewniają   żadnego   bezpieczeństwa.   Do   tego   typu   problemów   możemy   zaliczyć   zostawianie   domyślnych   haseł   oraz   konfiguracji,   możliwości   listowania   katalogów,   brak   podejmowania   akcji   w   przypadku   plików   typu   *.inc,   włączone  informacje  odnośnie  błędów  aplikacji  i  wiele  innych.     Warte  uwagi:   http://www.owasp.org/index.php/Configuration   http://www.owasp.org/index.php/Testing_for_configuration_management   http://www.owasp.org/index.php/A10_2004_Insecure_Configuration_Management   http://www.owasp.org/index.php/ASVS   http://www.pcmag.com/article2/0,2817,11525,00.asp   http://cwe.mitre.org/data/definitions/2.html   8    
  • 9.     2.7 A7-­‐  Failure  to  Restrict  URL  Access:  ‘Brak  zabezpieczeń  dostępu  przez  URL’,   wielokrotnie  dostęp  do  poufnych  danych,  lub  narzędzi  administracyjnych.  Aplikacje  powinny   wykonywać  dodatkowe  sprawdzanie  czy  dana  osoba  ma  dostęp  do  tego  typu  danych,  nawet   jeżeli  zna  ‘ukryte’  URL.     Przykładowy  atak:   Najczęściej  popełniany  błąd,  ‘ukrywanie’  panelu  administracyjnego  pod  URL:     http://serwis/adminsitracja  (oczywiście  może  to  być:  /admin/,  /adm/,  /panel/  itp....)     W  tym  momencie  programista  stwierdził:  ‘skoro  nie  ma  bezpośredniego  odwołania  do  panelu   administracyjnego   na   stronie   głównej   serwisu,   to   nikt   nie   wpadnie   na   pomysł   żeby   wpisać   /administracja/...więc   po   co   zakładać   logowanie   na   taki   panel’. Jak się okazuje, zawód niektórych ludzi polega właśnie na takim ‘wpadaniu na pomysł’ ;) Warte  uwagi:   http://www.owasp.org/index.php/Top_10_2007-­‐Failure_to_Restrict_URL_Access   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.html   http://www.owasp.org/index.php/Guide_to_Authorization   http://www.owasp.org/index.php/Testing_for_Path_Traversal   http://www.owasp.org/index.php/Forced_browsing   http://www.owasp.org/index.php/ASVS   http://cwe.mitre.org/data/definitions/285.html   9    
  • 10.     2.8 A8-­‐  Unvalidated  Redirects  and  Forwards:  ‘Brak  walidacji  Przekierowań’,   aplikacje   wielokrotnie   przekierowują   użytkownika   na   inne   strony   lub   serwisy   na   podstawie   przesłanych   danych.   Bez   odpowiedniej   walidacji   tych   danych,   użytkownik   może   zostać   skierowany   w   zupełnie   inne   miejsce,   np.   na   stronę   phishingową   lub   ze   szkodliwym   oprogramowaniem.     Przykładowy  atak:   Serwis  po  poprawnym  zalogowaniu  użytkownika,  wywołuje  następujący  adres:   http://serwis/redirect.php?strona=main.php     Wartość   zmiennej   ‘strona’,   określa   na   jaką   nazwę   strony/   pliku   ma   zostać   przekierowany   użytkownik.  Wykorzystując  błędną  obsługę  wartości  zmiennej,  możemy  wpisać:     http://serwis/redirect.php?strona=http://evil.com/malware.exe     co  w  rezultacie  przekieruje  użytkownika  na  stronę  ze  szkodliwym  oprogramowaniem.     Warte  uwagi:   http://www.owasp.org/index.php/Open_redirect   http://owasp-­‐esapi-­‐ java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/filters/SecurityWrapperRespon se.html   http://cwe.mitre.org/data/definitions/601.html   http://cwe.mitre.org/data/definitions/601.html   http://googlewebmastercentral.blogspot.com/2009/01/open-­‐redirect-­‐urls-­‐is-­‐your-­‐site-­‐ being.html   10    
  • 11.     2.9 A9-­‐  Insecure  Cryptographic  Storage:  ‘Błędy  szyfrowania  danych’,   aplikacje  w  wielu  przypadkach  przechowują  dane  poufne  w  niezaszyfrowanej  postaci.  Mogą   to  być  dane  typu  SSN  (Social  Security  Number),  dane  do  autentykacji,  dane  osobowe.   Poufne dane należy   przechowywać   w   zaszyfrowanej   postaci,   jednocześnie   zapewniając   dostateczny  poziom  szyfrowania.     Przykładowy  atak/  błąd:   Załóżmy,  że  wszystkie  dane  odnośnie  użytkowników  danego  serwisu  trzymane  są  w  bazie    w   postaci   niezaszyfrowanej,   loginy   hasła   dane   osobowe   itp.   Wykorzystując   np.   błąd   typu   Injection,   osoba   atakująca   jest   w   posiadaniu   tych   wszystkich   danych   w   niezakodowanej   postaci,  dzięki  czemu  może  je  niezwłocznie  wykorzystać  do  dalszych  ataków.  Wystarczyłoby   zastosować   najprostsze   szyfrowanie/   hashowanie   danych   (np.   haseł)   z   odpowiednim   ‘salt’em’,  co  ograniczyłoby  w  pewnym  stopniu  możliwości  wykorzystania  tych  danych.     Warte  uwagi:   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Top_10_2007-­‐Insecure_Cryptographic_Storage   http://www.owasp.org/index.php/Guide_to_Cryptography   http://www.owasp.org/index.php/Codereview-­‐Cryptography   http://cwe.mitre.org/data/definitions/312.html   http://cwe.mitre.org/data/definitions/326.html   11    
  • 12.   2.10 A10-­‐   Insufficient   Transport   Layer   Protection:   ‘Niedostateczne   zabezpieczenia   wymiany  danych’,   aplikacje   często   nie   posiadają   odpowiednio   zabezpieczonych   kanałów   przesyłu   danych.   Może   to   być   brak   stosowania   SSL   podczas   logowania,   wygasłe   certyfikaty,   lub   zbyt   słabe   szyfrowanie  połączenia.     Przykładowy  atak:   Jak  już  było  wspomniane  wyżej,  brak  użycia  SSL  podczas  logowania  się  na  serwis  pocztowy,   lub   do   banku,   umożliwia   podsłuchanie   przesyłanych   danych,   bez   informowania   o   tym   użytkownika  (tak,  jestem  świadom  ostatnich  błędów  związanych  z  ‘*’  w  certyfikatach;)  ).     Warte  uwagi:   http://www.owasp.org/index.php/ASVS   http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet   http://www.owasp.org/index.php/Top_10_2007-­‐Insecure_Communications   http://www.owasp.org/index.php/Guide_to_Cryptography   http://www.owasp.org/index.php/Testing_for_SSL-­‐TLS   http://cwe.mitre.org/data/definitions/319.html   https://www.ssllabs.com/ssldb/index.html   http://csrc.nist.gov/publications/fips/fips140-­‐2/fips1402.pdf     12    
  • 13.   Na   sam   koniec   chciałbym   dodać   od   siebie   jeszcze   jedno   zdanie,   niezwykle   ważne   przy   wykrywaniu,   oraz  zapobieganiu  błędom  w  aplikacjach:     „nigdy  nie  ufaj  danym  od  użytkownika”       13