Безопасность интернет-приложений осень 2013 лекция 5
TRANSCRIPT
![Page 1: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/1.jpg)
![Page 2: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/2.jpg)
2
«Кто?»
«Что разрешено?»
«Что делал?»
![Page 3: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/3.jpg)
3
ldap, radius, soap
AAAWEB
Log
![Page 4: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/4.jpg)
4
Html form-based http basic auth/digest authMultifactor
SSL certs/smartcardsOpenID
![Page 5: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/5.jpg)
5
- Пустое значение- Слишком короткий- Пароль = логин- Пароль по умолчанию- Словарный пароль
![Page 6: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/6.jpg)
6
![Page 7: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/7.jpg)
7
рабочая станция роутер
провайдер
хостинг
локальная сеть
![Page 8: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/8.jpg)
8
- SSL/TLS- Challenge-response
![Page 9: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/9.jpg)
9
- Периодическая смена (устаревание) - Смена при инциденте (disaster plan)
Типичные ошибки:- Сообщение «пользователь отсутствует»- Отсутствие подтверждения старого пароля- Отсутствие защиты от перебора старого пароля- csrf
![Page 10: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/10.jpg)
10
- Оповещение ссылкой на смену- Смена при следующем входе- Создание и отправка нового
![Page 11: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/11.jpg)
11
Типичные ошибки:- Простые челленджи (секретные вопросы)- Подбор секретного вопроса- Раскрытие данных пользователя- Логин при вводе правильного челленджа- Отправка кода восстановления на указанный адрес/номер- Подбор «одноразовой ссылки»
![Page 12: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/12.jpg)
12
$nc somehost.com
GET / HTTP/1.1
Host: somehost.com
Cookie: Storeduser=mike
HTTP/1.1 200 Ok
Server: nginx
Date: Fri, 12 Nov 2012 14:42:04 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: session=mike:0b0a2371cc93f46b; secure; HttpOnly
Content-Length: 5279
![Page 13: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/13.jpg)
13
trim(passwd): “ pass”, “pass”, “p.ass”,”@@pass”
substr(passwd,0,8): “password”,”password1234”
tolower(passwd):”password”,”PASSWORD”,”Password”
![Page 14: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/14.jpg)
14
Типичные ошибки:- Отправка пароля в открытом виде по email- Бессрочный “account activation”- Подбираемый “account activation”
![Page 15: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/15.jpg)
15
Типичные ошибки:- store(passwd)- store(md5(passwd))- store(customcrypt(passwd))
![Page 16: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/16.jpg)
16
- ошибки создания сессии- ошибки валидации- ошибки хранения
![Page 17: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/17.jpg)
17
randomseed(const);session = md5(rand());
session = base64(“user:”+login + “date:”+date);
session = md5(passwd);
session = md5(timestamp()+passwd);
session = encrypt(user.data);
![Page 18: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/18.jpg)
18
GET-метод:somesite.com?sess=0102030010394&a=1
- Попадание в логи- Кеш поиска- Реферреры
Даунгрейд с https к http - Перехват на сетевом уровне
![Page 19: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/19.jpg)
19
Чтение сообщений
Модерация
Изменение настроек
САЙТ
пользовательмодераторадмин
![Page 20: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/20.jpg)
20
Чтение сообщений
Модерация
Изменение настроек
САЙТ
пользовательмодераторадмин
![Page 21: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/21.jpg)
21
Чтение сообщений
Модерация
Изменение настроек
САЙТ
пользовательмодераторадмин
![Page 22: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/22.jpg)
22
Чтение сообщений
Модерация
Изменение настроек
САЙТ
пользовательмодераторадмин
![Page 23: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/23.jpg)
23
Чтение сообщений
Модерация
Изменение настроек
САЙТ
пользовательмодераторадмин
![Page 24: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/24.jpg)
24
Чтение сообщений
Модерация
Изменение настроек
САЙТ
пользовательмодераторадмин
![Page 25: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/25.jpg)
25
- Прямой вызов ресурса
- Контроль доступа параметром
- Нарушение последовательности вызовов
- Контроль доступа реферерром
- Контроль по местоположению
![Page 26: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/26.jpg)
26
Выбор товаровПереход в
корзинуОплата Доставка
![Page 27: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/27.jpg)
27
Выбор товаровПереход в
корзинуОплата Доставка
![Page 28: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/28.jpg)
28
Выбор товаровПереход в
корзинуОплата Доставка
![Page 29: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/29.jpg)
29
LET’S PLAY!
![Page 30: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/30.jpg)
30
Set-Cookie: hand=10,J,Q,K,A
Set-Cookie: hand=2,3,5,J,Q
![Page 31: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/31.jpg)
31
Cookie: hand=10,J,Q,K,A
![Page 32: Безопасность интернет-приложений осень 2013 лекция 5](https://reader034.vdocuments.net/reader034/viewer/2022052316/557ef169d8b42ad17d8b4c57/html5/thumbnails/32.jpg)
32
Cookie: hand=10,J,Q,K,A
Cookie: hand=Q,Q,Q,Q,Q
WIN!