3. Kdo mě k tomu přivedl
Michal Špaček
https://www.michalspacek.cz/
4. HESLA
Hlava není na hesla http://www.slideshare.net/spaze/hlava-neni-na-
hesla?next_slideshow=1
Nejjednodužší způsob jak zjistit heslo je …. zeptat se (social engineering)
https://www.youtube.com/watch?v=opRMrEfAIil
Jak průměrná babička láme Wifi se svým rozpočtem a znalostmi
https://www.youtube.com/watch?v=rQJ9ORSVrhk
5. Hesla
Minimální délka hesla 8 znaků (tohle možná už neplatí), radši více … ale
Ph'nglui mglw'nafh Cthulhu R'lyeh
wgah'nagl fhtagn1
10. Hesla
2FA/2SV Authenticatory
Two factor Authentication vs. Two step verification
https://www.authy.com/
https://www.authenticatorplus.com/
Google Authenticator
Lze to nastavit u všech vetších služeb
12. Hesla
Plaintext password storage PHP detection: set password to 0x1234Ab and login
with 1193131 if you're in it's plaintext http://3v4l.org/K3ljr
md5('aabg7XSs') == md5('aabC9RqS')
sha1('aaO8zKZF') == sha1('aa3OFF9m')
Kdo jak ukládá hesla
https://pulse.michalspacek.cz/passwords/storages
13. Útoky
OWASP - The Open Web Application Security Project
https://www.owasp.org/index.php/Main_Page
78 druhů popsaných útoků
14. Útoky
Sql injection
https://www.michalspacek.cz/prednasky/webova-bezpecnost-gdgscl
Dotaz do databaze
SELECT * FROM users WHERE name = ‘$_GET[‘name’]‘ AND password = ’ $_GET[‘password’] ’;
Password = ' OR 1=1; -- -
SELECT * FROM users WHERE name = ‘milos‘ AND password = ‘’ OR 1=1 -- -;
Obrana: Escapování např.
mysqli_real_escape_string() - platí pro PHP < 7
PDO::quote()
16. Útoky
Cross site scripting (XSS)
XSS není jenom <script>alert(1)</script>
Víte co používá michalspacek.cz ze web server? Stačí se podívat do hlaviček.
Framework BeEF - https://youtu.be/fC8zPGBo_B8?t=14m35s
Obrana: Escapování
htmlSpecialChars((string) $s, ENT_QUOTES, 'UTF-8');
Content Security Policy
17. Útoky
Cross-site Request Forgery (CSRF nebo také XSRF)
Přiklad pro metodu GET
<img src=”http://nezabespecenyweb.cz/admin/delete/3”>
Obrana:
Vytváření dočasných validačních tokenů
Nette: $form->addProtection() - pro formuláře
Pro odkazy https://github.com/nextras/secured-links
23. Útoky
Man in the middle - HTTPS
Průvodce: https://movingtohttps.com/
Test: https://www.ssllabs.com/ssltest/
Michal Špaček - jak jsou na tom banky
https://docs.google.com/spreadsheets/d/1LI1Pk0IwAvD9FE4
ShHIU8ajT_NvEtGxO0VFW4OR78TY/edit#gid=0
24. Útoky
Man in the middle - HTTPS/HSTS
Cokoliv není na HTTPS může být podvrh.
HTTP Strict Transport Security (HSTS)
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
https://hstspreload.org/
25. Informace
Na internetu je spousta osobních informací.
Google, uložto,..
Fotky občanek, pasů.
Databazí s hesly.
Dávejte si pozor na to kam vaš data posíláte.
29. Živit se
Jak vydělávat hackovánim nelegálně
Bug bounty:
HackerOne https://www.hackerone.com/
https://www.t-mobile.cz/bug-bounty
...
30. Na závěr
Pokud se o nějaké zranitelnosti webu dozvíte dejte o tom
provozovateli webu vědet.
Někdo má i přesne definovaný postup, jak bezpečnostní
chyby hlásit.
A doufejte že vám poděkuje bez právních důsledků
(https://twitter.com/spazef0rze/status/794232535442132992).
31. Děkuji za pozornost
A především Michalovi Špačkovi za osvětu
Zdroje:
https://www.michalspacek.cz/
http://www.slideshare.net/spaze?utm_campaign=profiletracking&utm_medium=ss
site&utm_source=ssslideview
Miloš Janda