Upload File

dev013 0wn3d: hacking ainda mais fácil em ajax web...

  • Home
  • Documents
  • DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança
6
Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM 2007 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1 DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites Rui Quintino [email protected] Arquitecto Software, DevScope DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites? Rui Quintino [email protected] Arquitecto Software, DevScope Patrocinadores

Upload: others

Post on 28-Jul-2020

1 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança

Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

DEV013

0wn3d: Hacking ainda mais fácil em AJAX Web SitesRui [email protected] Software, DevScope

DEV013

0wn3d: Hacking ainda mais fácil em AJAX Web Sites?Rui [email protected] Software, DevScope

Patrocinadores

Page 2: DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança

Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2

Agenda

Segurança Aplicações Web

Cenários Web 2.0

Cenários AJAX

Ataques Cross Site Request Forgery

Soluções & Boas Práticas

Segurança AplicacionalMotivação

Tão importante como a segurança de servidores e de rede

Foco na equipa de desenvolvimento

HTTPs, Firewalls, Anti Vírus & HotFixes sãoimprescindíveis, mas não garantem a segurança aplicacional

“75% dos ataques informáticos exploramfalhas aplicacionais” – Gartner Group

Web 2.0Hoje

Grande usabilidade

Combinação crescente de conteúdos

Orientação a serviços: Mash-Ups, Gadgets

Grande dependência de recursos OnLine

Tabbed browsing

Web 2.0Isto para dizer que…

Controlo do PC já não é objectivo primordial de um ataque

Recursos online são cada vez mais… “apetitosos”

Milhões de utilizadores

Diversidade de recursos valiosos

Page 3: DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança

Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

AJAXSegurança- o que traz de novo?

(Não esquecendo os problemas tradicionais: sql injection, xss, etc!)

Massificação XMLHTTP (nativo!)

Multi Threading

Controlo total de pedidos HTTP

Exposição de Web Services aumenta

Evolução/Estudo de JavaScript

AJAXSegurança- o que traz de novo?

XMLHTTP também é ferramenta de ataque!

Ataques AJAXCross Site Request ForgeryO que é?

Explora relação de confiança de um site nosseus utilizadores

Realmente simples… mas devastador!

Pouco divulgado

Page 4: DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança

Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4

Cross Site Request ForgeryO problema

A maioria dos sites pode ser explorada!

Potencial imenso:

ataque ips internos

configuração de routers, impressoras,

qualquer endpoint http standard que possa ser automatizado!

Cross Site Request ForgeryRealidade

MySpace Sammy Worm

XSS, XSRF, XMLHTTP

Bypass de Tokens

1M Utilizadores/ 24 Horas

…podia ter sido muito pior!

Yahoo Webmail Yamanner

Cross Site Request ForgerySoluções

Referer Header

ViewStateUserKey

Tokens

CAPTCHAs

A mínima falha XSS derrota grande parte destas defesas!

Conclusão

Aplicações AJAX Seguras

Segurança aplicações web tradicionais!

+Boas práticas AJAX

Atenção novos ataques Web 2.0

Worms, CSRF

Page 5: DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança

Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5

Resources/Recursos Úteis

Joe Stagner AJAX Security Webcastshttp://blogs.msdn.com/joestagner/archive/2007/01/12/upcoming-ajax-security-webcasts.aspx

Improving Web Application Security: Threats and Countermeasures

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/ThreatCounter.asp

Web Application Security Labhttp://ha.ckers.org/

Resources/Recursos Úteis

WhiteHat Securityhttp://www.whitehatsec.com/

OWASP (.NET)http://owasp.net/default.aspx

Web Application Security Consortiumhttp://webappsec.org/

Related Sessions/ParticipeNoutras Sessões

SEC006 : Publicação Segura de Aplicações com o Intelligent Application Gateway 2007: Análise Técnica Detalhada

Dia 22, 11:15

DEVHOL02 : Core Features of Windows

Cardspace

Dia 22, 17:00

Related Sessions/ParticipeNoutras Sessões

DEV025 : Segurança na Windows Communication Foundation: objectivos, modelos, padrões e pontos de extensão

Dia 22, 17:00

Page 6: DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sitesdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Ataques Cross Site Request Forgery Soluções& Boas Práticas Segurança

Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6

Pergunte aos EspecialistasObtenha Respostas às Suas Questões

Dia 21, 16:00-17:00

Questionário de AvaliaçãoPassatempo!

Complete o questionário de avaliação e devolva-o no balcão da recepção.

Habilite-se a ganhar uma Xbox 360 por dia!

DEV0130wn3d: Hacking ainda mais fácil em AJAX Web Sites

© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Digital Image Forgery Detection Using Zernike Moment and … · 2018-05-09 · forgery basics and various types of digital image forgery and forgery detection techniques [5]. Resmi

FORGERY Chapter X

Forgery, defamation, cyber stalking

Nego Forgery Cases

FORGERY VS. AUTHENTICITY

Forgery and Alteration

Detection of Forgery

Forgery Resilience Phase #2

MGT013 Gestão de Plataformas Heterogéneasdownload.microsoft.com/download/0/b/e/0be6834f-4fd...Plataformas suportadas: HP-UX, AIX, Solaris, Red Hat, SuSE Group Policy em Unix/Linux

forgery detection

UCM007 Conformidade e Retenção no Exchange Server 2007download.microsoft.com/download/0/b/e/0be6834f-4fd... · Client Access PBX or VoIP Public Folders Fax Applications: OWA Protocols:

UNISA UNIVERSITY OF SOUTH AFRICA /,4fd NELICIA STRAUSS … · UNISA UNIVERSITY OF SOUTH AFRICA /,4fd NELICIA STRAUSS (he requiremenVJ and (he (he degree c' BACHELOR OF COMMERCE in

4T A、B、CF BP.C.D. φD1 穴数-穴径 1.5 φD2 P.C.D. A B 2 使 用 例 4FD 50 4FD150 4FD175 4FD125 4FD100 4FD 65 4FD 75 4FD 38 4FD 25 φD2 穴径 P.C.D. 50 150 200 175 125 100

Spoutz forgery complaint

Forgery and Altered Documents

Scapy Packet Forgery

DMZ Ology Front Traversaldownload.microsoft.com/download/0/b/e/0be6834f-4fd...DMZ Zoology Microsoft Confidential In military terms this is where you put your unwanted soldiers (they

Handwriting And Forgery

Mortgage Forgery RICO

DEV 004 Desenvolvimento de Jogos com XNA Expressdownload.microsoft.com/download/0/b/e/0be6834f-4fd... · XNA for the Games Studio The XNA Build Process MSBUILD is the underlying build

fulltext digital forgery

Image forgery review

The Forgery [2058]

WORLD FORGERY CATALOGUE

Title of the Presentationdownload.microsoft.com/download/0/b/e/0be6834f-4fd... · On-demand streaming delivery Policy-based management ... Computing resources deployed in real-time

Digital image forgery detection

Compilation of Forgery Cases

Copy Move Forgery

Microsoft Exchange Server 2007: Storage Changesdownload.microsoft.com/download/0/b/e/0be6834f-4fd... · 2 TB limit on MBR partition limits how far this scales A capacity or corruption

A Brief Review: Copy-Move Forgery Detection · forgery (CMF). For copy-move forgery, the copied region may be rotated or flipped to fit the scene better. In copy–move image forgery,

Forgery pushers on trial

WHEN IS A FORGERY NOT A FORGERY › au › journals › JlIndigP › 2006 › 25.pdfJournal of Indigenous Policy Issue 6 WHEN IS A FORGERY NOT A FORGERY TANIA JOHNSON ∗ INTRODUCTION

Cross-Site Request Forgery

MCP2542FD/4FD, MCP2542WFD/4WFD Data Sheetww1.microchip.com/downloads/en/DeviceDoc/MCP2542FD-4FD... · 2019. 3. 23. · 2016-2019 Microchip Technology Inc. DS20005514B-page 1 MCP2542FD/4FD,

CBA Forgery scandal