Создание безопасных Веб-приложений Алексей Кирсанов ведущий разработчик компании «Битрикс»

Презентация:



Advertisements
Похожие презентации
БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ. СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место.
Advertisements

Практика противодействия сетевым атакам на интернет-сайты Сергей Рыжиков директор ООО «Битрикс» РИФ-2006 Секция «Информационная безопасность»
Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности.
Безопасность веб-проектов Защита сайтов от взломов и атак Сергей Рыжиков директор компании «Битрикс»
Основные понятия информационной безопасности Выполнила: студент ВМИ-256, Майя Кутырева Проверила: Анастасия Валерьевна Шамакина, программист отдела распределенных.
Тестирование безопасности или Security and Access Control Testing.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»
Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Технологии и продукты Microsoft в обеспечении ИБ Лекция 2. Моделирование угроз ИБ: различные подходы.
11 класс (c) Angelflyfree, Основные определения Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
11 класс (c) Angelflyfree, Основные определения Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
© 2005, Aladdin Безопасность СУБД Oracle ВВЕДЕНИЕ.
Единая система аутентификации Обзор решения Москва, 2012г.
Слайд 1 БЕЗОПАСНОСТЬ КОМПЬТЕРНЫХ СЕТЕЙ Курс БТ03 Дмитрий В. Ершов: У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА.
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
Слайд 68 ЗАЩИТНЫЕ МЕХАНИЗМЫ И СРЕДСТВА У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 1 – Тема 3.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
УРОВЕНЬ ПРИЛОЖЕНИЙ АТАКИ НА СЕТЕВЫЕ СЛУЖБЫ ОТКАЗ В ОБСЛУЖИВАНИИ (DOS, DDOS) СМИРНОВ АНДРЕЙ ИВТ
Транксрипт:

Создание безопасных Веб-приложений Алексей Кирсанов ведущий разработчик компании «Битрикс»

Ошибки безопасности Существенные и не существенные ошибки Ошибки безопасности всегда существенные Результаты взлома приложения

Понятие безопасности Конфиденциальность - данные доступны только тем людям, для которых они предназначены Целостность - данные и системные ресурсы изменяются только надлежащим способом и только надлежащими людьми Доступность - системы готовы к работе по требованию и обеспечивают приемлемую производительность Аутентификация - устанавливается подлинность пользователя (кто есть пользователь) Авторизация - пользователям явным образом предоставляется (или не предоставляется) доступ к ресурсам Невозможность аннулирования - пользователи не могут выполнить действие и впоследствии отказаться признать его выполнение

Уязвимость Веб-приложений Протокол HTTP очень простой и не поддерживает сохранение состояния Нет необходимости прибегать к сложным специализированным средствам для отправки пакетов Каждый запрос к веб-приложению содержит все необходимые данные, а значит можно формировать запрос за запросом без необходимости подготовки чего-либо типа сессии Пользователь имеет полный контроль над навигацией по приложению Пользователю доступна часть исходного кода приложения (HTML, JavaScript) Почти все веб-приложения допускают анонимный доступ, по крайней мере, к странице входа. Эта страница может быть использована для атаки Веб-приложения являются последним бастионом между Интернетом и внутренними ресурсами (например, базой данных). Значит, они являются целью нападения

Основные ошибки Использование входных данных (ввода) без проверки SQL Injection Cross-Site Scripting Directory Traversal Недостаточный контроль доступа Ошибки аутентификации Недостаточная проверка выходных данных Cross-Site Scripting Недостаточная обработка ошибок Небезопасное хранение секретов DoS

Основные принципы Разработка механизмов безопасности должна быть включена в весь цикл разработки приложения Определение потенциальных проблем. Моделирование угроз. Минимально необходимые привилегии Надежный код Отслеживание и сохранение действий пользователя Разумное использование криптографии Развертывание приложения

Моделирование угроз - STRIDE Моделирование угроз – изучение архитектуры приложения и его составных частей с целью обнаружения и устранения проблем безопасности Spoofing identity - подмена идентификацииАутентификация Tampering – подделкаЦелостность Repudiation – отказ Невозможность аннулирования Information disclosure - раскрытие информации Конфиденциальность DoS - отказ в обслуживанииДоступность Elevation of privilege - повышение полномочий Авторизация

Моделирование угроз - компоненты Разделение приложения на компоненты Потоки данных – передача данных между компонентами Хранилища данных Процессы Посредники – конечные точки (люди, веб-службы,…) Магазин 1 Магазин 2 Магазин N Процесс сбора данных База данных По то ки Хра ни ли ща Про цес сы Пос ред ни ки Подмена идентификации ++ Подделка+++ Отказ++ Раскрытие информации +++ Отказ в обслуживании+++ Повышение полномочий +

Аудит безопасности Для обеспечения высокого уровня защищенности необходимо заказать независимый аудит информационной безопасности у сторонних компаний Непрерывный аудит обеспечит независимый экспертный надзор и сохранит уровень безопасности приложения на высоком достигнутом уровне