Безопасность Веб-приложений Дмитрий Евтеев Эксперт по информационной безопасности
Угрозы Web-приложений Нарушение конфиденциальности Кража конфиденциальной информации, в том числе данных клиентов/партнеров Нарушение целостности Подмена заглавной страницы (deface) Распространение вредоносного программного обеспечения и запрещенного контента $500,000 украдено у грузоперевозчиков путем подмены данных на сайте ( Нарушение доступности Удаление содержимого DoS (Denial of Service) и DDoS (Distributed Denial of Service) атаки Внешние факторы и воздействия
Опасный мир Web-приложений Хакеры сфокусировали свое внимание на Web-сервисах 75% всех атак направлено на уровень Web- приложений (Gartner) 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS) Большинство Web-приложений уязвимы 90% сайтов являются уязвимыми (Watchfire) 78% уязвимых Web-приложений могут быть легко атакованы (Symantec) 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner) Согласно последним данным аналитиков IBM 75% атак приходиться на Web-приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
Опасный мир Web-приложений По данным компании Positive Technologies за 2008 год 83% сайтов содержат критические уязвимости 78% сайтов содержат уязвимости средней степени риска вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20% Данные основываются на проведении автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Внедрение операторов SQL» Web-сервер СУБД …. SELECT * from news where id = 6329 ….
Уязвимость типа «Внедрение операторов SQL» Web-сервер СУБД …. SELECT * from news where id = 6329 union select id,pwd,0 from… ….
Массовые заражения Web-приложений «Лаборатория Касперского» предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web-сайтов, зараженных одним и тем же интернет- червём Распределение критических уязвимостей по инфицированным сайтам
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Межсайтовое выполнение сценариев» Web-сервер … print " secureweb "; …
Уязвимость типа «Межсайтовое выполнение сценариев» Web-сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки: 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя 5. Например, передача Web-сессии (cookies) 6. Работа с Web-приложением от имени атакованного пользователя
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Утечка информации» Web-сервер
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Недостаточная аутентификация» Web-сервер
Уязвимость типа «Недостаточная аутентификация» Web-сервер
Уязвимости Web-приложений Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) -
Статистика используемых паролей в России Более 40% паролей можно взломать из-за простоты Статистика по паролям низкой стойкости у администраторов: Данные основываются на анализе более чем 185 тысяч паролей пользователей (
Опасный мир web-приложений: статистика за 2008 г.
Уязвимость типа «Обратный путь в директориях» Web-сервер …. $handle = fopen("positive.jpg","r"); $contents = fread($handle, filesize("positive.jpg")); ….
Уязвимость типа «Обратный путь в директориях» Web-сервер …. $handle = fopen("../../../../../../etc/passwd","r"); $contents = fread($handle, filesize("../../../../../../etc/passwd")); ….
Уязвимости web-приложений Уязвимость типа «Подделка HTTP-запросов» (Cross-Site Request Forgery, CSRF, XSRF) Практически не входит в статистику уязвимостей Positive Technologies и WASC по автоматизированным сканированиям (сложности при автоматизированном обнаружении) Ошибка в том или ином виде, в основном, встречается во всех анализированных web-приложениях Степень опасности уязвимости CSRF напрямую зависит от функций и задач, решаемых приложением Cross-Site Request Forgery – вид атаки, использующий функцию браузера по автоматической отправке идентификатора сессии с каждым GET/POST-запросом к web-приложению
Уязвимость типа «Подделка HTTP-запросов» Интернет-форум 1. Публикация сообщения: Интернет-банк (ibanking) 2. Пользователь посещает форум 3. Браузер загружает картинку по адресу: 4. Если сессия пользователя существует, то…
Уязвимости в «живой природе»
SQL Injection можно встретить даже на широко известных и крупных Интернет-ресурсах SQL Injection в «живой природе»
XSS – «головная боль» для всех web-проектов Cross-Site Scripting в «живой природе»
К чему приводит беззаботное отношение к безопасности web-приложений?
Мы немного посканировали… Инструментальное обследование сети Сканирование портов и сервисов Исследование защищенности web-приложения методом «черного ящика»
…обнаружили уязвимость в web-приложении… Сканирование сети Успешно подобран пароль! Эксплуатация SQL Injection Выполнение команд на сервере Повышение привилегий Атака на внутренние ресурсы
…захватили управление всей сетью. Сканирование сети Успешно подобран пароль! Эксплуатация SQL Injection Выполнение команд на сервере Повышение привилегий Атака на внутренние ресурсы Внутренний пентест Установка сканера MaxPatrol Поиск уязвимостей Эксплуатация уязвимостей Перемещение в ИС ЦО Проведение атаки на ресурсы ЦО Получение максимальных привилегий во всей сети!
Концепция безопасного Web-приложения Уязвимость не является свойством Web-приложения! Безопасность должна быть разумной Безопасность должна быть комплексной Безопасность – это непрерывный процесс
Концепция безопасного Web-приложения Из чего складывается защищенность Web-ресурса? Процесс разработки Web-приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения) Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации (CIS, etc) Обеспечение доступности Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP) Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)
Positive Technologies 7 лет работы в области информационной безопасности Предоставление консалтинговых и сервисных услуг в области ИБ тестирование на проникновение; проведение оценки уровня защищенности. Основные направления деятельности разработка одного из лучших сетевых сканеров XSpider; разработка уникального продукта - системы контроля защищенности и соответствия стандартам MaxPatrol; развитие специализированного портала Securitylab. Positive Technologies – лаборатория безопасности постоянный мониторинг новых уязвимостей; внутренняя система описания уязвимостей; одна из наиболее профессиональных команд в Европе; MaxPatrol – ежедневные обновления.
Спасибо за внимание!