Воркшоп по анализ защищённости веб-приложений
- 1. Анализ защищённости веб- приложений Омар Ганиев Летняя школа «Развитие CTF в России» Дубна, 2014
- 2. whoami • Beched (ahack.ru, @ahack_ru) • Матфак НИУ-ВШЭ • RDot.Org (CTF) team • Анализ защищённости в IncSecurity
- 3. План • Методология тестирования на проникновение веб-приложений • Модель угроз и нарушителя • WASC, OWASP • ... • Это скучно, и у нас 2 часа, давайте просто ломать!
- 4. И всё же OWASP • Схематичные шаги по методологии OWASP: • Reconnaissance • Auth testing • Session testing • Input validation testing • Cryptography • Business logic testing • Client-side testing
- 5. Реальность • Low hanging fruits • О, клёвый баг! • “CTF mode” = ON • Вытянем через него все «флаги» и уже потом будем следовать плану • Рассмотрим некоторые шаги на примерах, основанных на реальных приложениях
- 6. Teaser • Приложение “Teaser” • Схематичная модель системы контекстной рекламы, анализирующей каждого пользователя и его интересы • Угрозы: компрометация сервера, кража данных, раскрытие персональных данных, фишинговые атаки, массовые атаки
- 7. Teaser • Найдём параметры • Найдём имена сценариев • Найдём уязвимости и разработаем сценарии атаки
- 8. Teaser • Full path disclosure, XSS, DOM based XSS, JSONP hijacking
- 9. iBank • Модель системы Дистанционного Банковского Обслуживания • Мобильное приложение • Угрозы: кража денег
- 10. iBank • Декомпилируем мобильное приложение • Изучим протокол • Используем криптографические ошибки
- 11. iBank • Padding oracle, hash length extension • Ошибки округления • Ошибки в знаке
- 12. Personal cabinet • Типичный интерфейс авторизации • Восстановление пароля • Угрозы: компрометация аккаунта
- 13. Personal cabinet • Найдём исходный текст веб-приложения • ???
- 14. Personal cabinet • Предсказуемое инициализирующее значение rand() • Раскрытие данных в HTTP ответе