O heslech a webových útocích

1. Bezpečnost na webu
Aneb jak si nechat hacknout web

2. Tato prezentace slouží pouze
ke studijním účelům

3. Kdo mě k tomu přivedl
Michal Špaček
https://www.michalspacek.cz/

4. HESLA
Hlava není na hesla http://www.slideshare.net/spaze/hlava-neni-na-
hesla?next_slideshow=1
Nejjednodužší způsob jak zjistit heslo je …. zeptat se (social engineering)
https://www.youtube.com/watch?v=opRMrEfAIil
Jak průměrná babička láme Wifi se svým rozpočtem a znalostmi
https://www.youtube.com/watch?v=rQJ9ORSVrhk

5. Hesla
Minimální délka hesla 8 znaků (tohle možná už neplatí), radši více … ale
Ph'nglui mglw'nafh Cthulhu R'lyeh
wgah'nagl fhtagn1

6. Hesla
https://haveibeenpwned.com/

7. Hesla
Hesla musí být
Dlouhá
Unikátní
Náhodná
Pro každou službu jiná
8qUJ1%s*ufCDmKrxCJJ&aPQ

8. Hesla
Tomas123
Po uživatelích chtějte pouze
minimální délku hesla
Vynucovat změnu hesla? NE

9. Hesla
Password managery
LastPass
1Password
Dashlane
KeePass

10. Hesla
2FA/2SV Authenticatory
Two factor Authentication vs. Two step verification
https://www.authy.com/
https://www.authenticatorplus.com/
Google Authenticator
Lze to nastavit u všech vetších služeb

11. Hesla
Výkon grafických karet
https://docs.google.com/spreadsheets/d/1B1S_t1Z0KsqByH3pNkYUM-
RCFMu860nlfSsYEqOoqco/edit#gid=1591672380
http://www.redmine.org/issues/24520
Using hashcat1 v3.10 with GPU: `R9 290X (+10Mhz) - AMDGPU-pro 16.40`[2], It's able to
compute:
4,102,360,845 sha1 hash per second.
94,960 scrypt hash per second.
12,070 bcrypt hash per second ( cost of 10 iirc ).
https://hashcat.net/hashcat - World's fastest and most advanced password recovery utility
Slovníky

12. Hesla
Plaintext password storage PHP detection: set password to 0x1234Ab and login
with 1193131 if you're in it's plaintext http://3v4l.org/K3ljr
md5('aabg7XSs') == md5('aabC9RqS')
sha1('aaO8zKZF') == sha1('aa3OFF9m')
Kdo jak ukládá hesla
https://pulse.michalspacek.cz/passwords/storages

13. Útoky
OWASP - The Open Web Application Security Project
https://www.owasp.org/index.php/Main_Page
78 druhů popsaných útoků

14. Útoky
Sql injection
https://www.michalspacek.cz/prednasky/webova-bezpecnost-gdgscl
Dotaz do databaze
SELECT * FROM users WHERE name = ‘$_GET[‘name’]‘ AND password = ’ $_GET[‘password’] ’;
Password = ' OR 1=1; -- -
SELECT * FROM users WHERE name = ‘milos‘ AND password = ‘’ OR 1=1 -- -;
Obrana: Escapování např.
mysqli_real_escape_string() - platí pro PHP < 7
PDO::quote()

15. Útoky
Cross site scripting (XSS)
Ukázka

16. Útoky
Cross site scripting (XSS)
XSS není jenom <script>alert(1)</script>
Víte co používá michalspacek.cz ze web server? Stačí se podívat do hlaviček.
Framework BeEF - https://youtu.be/fC8zPGBo_B8?t=14m35s
Obrana: Escapování
htmlSpecialChars((string) $s, ENT_QUOTES, 'UTF-8');
Content Security Policy

17. Útoky
Cross-site Request Forgery (CSRF nebo také XSRF)
Přiklad pro metodu GET
<img src=”http://nezabespecenyweb.cz/admin/delete/3”>
Obrana:
Vytváření dočasných validačních tokenů
Nette: $form->addProtection() - pro formuláře
Pro odkazy https://github.com/nextras/secured-links

18. Útoky
Session hijacking
PHPSESID: bbkN_UF7ilkqhsWA/AtK_Dmv_1hck5yKPy
Pokud je uživatel do služby přihlášen, přeberu v aplikaci jeho identitu
Nastavení Cookies
Http only
Secure (Vyžaduje HTTPS)
Obrana:
Session ID ukládat pouze do cookie (Http only, Secure)
HTTPS

19. Útoky
Remote execution code
Github search - $_GET sudo
Obrana:
Nikdy nevěř nikomu - uživaleský vstup nikdy nepředávat do funkce

20. Útoky
Man in the middle

21. Útoky
Man in the middle
WiFi hacking, hotspot - Odposlouchavani provozu
Obrana:
HTTPS
HSTS
VPN

22. Útoky
Man in the middle - HTTPS

23. Útoky
Man in the middle - HTTPS
Průvodce: https://movingtohttps.com/
Test: https://www.ssllabs.com/ssltest/
Michal Špaček - jak jsou na tom banky
https://docs.google.com/spreadsheets/d/1LI1Pk0IwAvD9FE4
ShHIU8ajT_NvEtGxO0VFW4OR78TY/edit#gid=0

24. Útoky
Man in the middle - HTTPS/HSTS
Cokoliv není na HTTPS může být podvrh.
HTTP Strict Transport Security (HSTS)
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
https://hstspreload.org/

25. Informace
Na internetu je spousta osobních informací.
Google, uložto,..
Fotky občanek, pasů.
Databazí s hesly.
Dávejte si pozor na to kam vaš data posíláte.

26. Informace
Vulnerabilities
Common Vulnerabilities and Exposures (CVE)
https://www.cvedetails.com/index.php

27. Informace
Vulnerabilities
Wordpress vulnerabilities
cokoliv vulnerabilities
Openssh heartblead - https://heartbleed.michalspacek.cz/
UPC generátor hesel pro modemy
https://upc.michalspacek.cz/

28. Učit se
http://www.safeweb.cz/testy/
https://github.com/spaze/exploited.cz

29. Živit se
Jak vydělávat hackovánim nelegálně
Bug bounty:
HackerOne https://www.hackerone.com/
https://www.t-mobile.cz/bug-bounty
...

30. Na závěr
Pokud se o nějaké zranitelnosti webu dozvíte dejte o tom
provozovateli webu vědet.
Někdo má i přesne definovaný postup, jak bezpečnostní
chyby hlásit.
A doufejte že vám poděkuje bez právních důsledků
(https://twitter.com/spazef0rze/status/794232535442132992).

31. Děkuji za pozornost
A především Michalovi Špačkovi za osvětu
Zdroje:
https://www.michalspacek.cz/
http://www.slideshare.net/spaze?utm_campaign=profiletracking&utm_medium=ss
site&utm_source=ssslideview
Miloš Janda