Безопасность интернет-приложений осень 2013 лекция 1
TRANSCRIPT
10 лекций
3 домашних задания
3 семинара
экзамен
2
3
«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»
4
Интеграция js в браузеры
Появление PHP
1995-96
1997
Зарождение WWW
1990-92
MySQL 3.23
1995-2000
UNIX, tcp/ip
1969-70
5
6
«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»
7
8
«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»
9
«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготвитьдо того, каконо потребуется.»
10
«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»
11
12
13
14
15
Company profit
ZDI ~$2500+
Facebook $500+
Google csrf - $500, rce - $20000
PayPal sqlinj - $3000
Bounty programs list: http://goo.gl/gEFJ4
16
17
site
Dump all data, leave
Inject code, leave
Hide and wait
Resell access
18
19
USER
Hacked site
Bruteforced accs
Reused accs
Phishing
Trojan
Social engineering
20
21
Социальный спам
Перс. данные
Платежные данные
«виртуальная собственность»
USER
22
23
24
обьекты
сервер
заказы
пользователи
Платежные инструменты
сайт
злоумышленник
25
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
- конкурент- хакер- бот
сайт
26
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
нарушение работы
кража денег
получение доступа
перехват заказов
- конкурент- хакер- бот
сайт
27
нарушение работы
серверСайт: форма
заказов
конкурент
28
нарушение работы
серверСайт: форма
заказов
CaptchaIp blacklist
Облакопровайдер
конкурент
29
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
хакер
30
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
Отправка формы платежа по email НЕ процессить карты
хакер
31
Получение доступа
серверсайт
Хакер, бот
32
Получение доступа
серверсайт
Поддержка обновлений П.О.Security review кодаОграничения аутентификацииwaf, ips
Поддержка обновлений сервераНе использовать shared hostingОграничения аутентификации
Хакер, бот
33