SlideShare a Scribd company logo

Web Threats

Download as PPT, PDF
Dmitry Evteev, profile picture
Dmitry Evteev

Документ анализирует актуальные угрозы в области веб-приложений, выделяя такие проблемы, как кража конфиденциальной информации и атаки типа DDoS. По данным компании Positive Technologies, 83% сайтов имеют критические уязвимости, что делает их легкой мишенью для хакеров. Отмечается необходимость комплексного подхода к безопасности веб-приложений, включая постоянный мониторинг и тестирование уязвимостей.

1 of 44
Downloaded 123 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Актуальные угрозы Web- приложений Дмитрий Евтеев Positive Technologies
Угрозы Web- приложений Нарушение конфиденциальности Кража конфиденциальной информации, в том числе данных клиентов/партнеров Нарушение целостности Подмена заглавной страницы ( deface ) Распространение вредоносного программного обеспечения и запрещенного контента $ 500,000 украдено у грузоперевозчиков путем подмены данных на сайте ( http://www.securitylab.ru/news/361590.php ) Нарушение доступности Удаление содержимого DoS ( Denial of Service ) и DDoS (Distributed Denial of Service) атаки Внешние факторы и воздействия
Опасный мир Web- приложений По данным компании Positive Technologies за 2008 год 83% сайтов содержат критические уязвимости 78% сайтов содержат уязвимости средней степени риска вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20% http://ptsecurity.ru/analytics.asp Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
Опасный мир Web- приложений Хакеры сфокусировали свое внимание на Web-сервисах 75% всех атак направлено на уровень Web-приложений (Gartner) 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS) Большинство Web-приложений уязвимы 90% сайтов являются уязвимыми (Watchfire) 78% уязвимых Web-приложений могут быть легко атакованы (Symantec) 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner) Согласно последним данным аналитиков IBM 75% атак приходиться на Web- приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .
Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .
Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .
Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .
Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .
Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .
Массовые заражения Web- приложений "Лаборатория Касперского" предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web -сайтов, зараженных одним и тем же интернет-червем Распределение критических уязвимостей по инфицированным сайтам
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер http://web/?search=secureweb … print &quot;<b>secureweb</b>&quot;; …
Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер http://web/?search=secureweb … print &quot;<b>secureweb</b>&quot;; …
Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости
Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке
Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя
Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя 5. Например, передача Web-сессии (cookies) 6. Работа с Web-приложением от имени атакованного пользователя
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Предсказуемое расположение ресурсов» Web- сервер http://web/test/ http://web/admin.php http://web/pwd.txt http://web/info.txt http://web/db/ http://web/readme.txt
Уязвимость типа «Предсказуемое расположение ресурсов» Web- сервер http://web/sql/ http://web/php.php http://web/phpmyadmin/ http://web/phpinfo.php http://web/adm/
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Подбор» Web- сервер http://web/secure/
Уязвимость типа «Подбор» Web- сервер http://web/secure/
Статистика используемых паролей в России Более 40% паролей можно взломать из-за простоты Статистика по паролям низкой стойкости у администраторов : Данные основываются на анализе более чем 185 тысяч паролей пользователей ( http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf ).
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Утечка информации» Web- сервер
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Недостаточная аутентификация» Web- сервер http://web/secure/
Уязвимость типа «Недостаточная аутентификация» Web- сервер http://web/secure/members.php
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Обратный путь в директориях» Web- сервер http://web/?file=positive.jpg … . $handle = fopen(&quot;positive.jpg&quot;,&quot;r&quot;); $contents = fread($handle, filesize(&quot;positive.jpg&quot;)); ….
Уязвимость типа «Обратный путь в директориях» Web- сервер http://web/?file=../../../../../../etc/passwd … . $handle = fopen(&quot;../../../../../../etc/passwd&quot;,&quot;r&quot;); $contents = fread($handle, filesize(&quot;../../../../../../etc/passwd&quot;)); ….
Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0
Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0
Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0
Критические уязвимости можно встретить даже на широко известных и крупных интернет - ресурсах Опасный мир Web- приложений
Концепция безопасного Web- приложения Уязвимость не является свойством Web-приложения! Безопасность должна быть разумной Безопасность должна быть комплексной Безопасность – это непрерывный процесс
Концепция безопасного Web- приложения Из чего складывается защищенность Web- ресурса ? Процесс разработки Web- приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения) Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации ( CIS , etc) Обеспечение доступности Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP) Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)
Positive Technologies 7 лет работы в области информационной безопасности Основные направления деятельности разработка одного из лучших сетевых сканеров XSpider ; разработка уникального продукта - системы контроля защищенности и соответствия стандартам MaxPatrol ; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab. Positive Technologies – лаборатория безопасности постоянный мониторинг новых уязвимостей; внутренняя система описания уязвимостей; одна из наиболее профессиональных команд в Европе; MaxPatrol – ежедневные обновления.
Спасибо за внимание! [email_address] http://devteev.blogspot.com/

More Related Content

PPT
Анализ защищенности интернет-проектов
Dmitry Evteev
 
PPT
Sergey Gordeychik SQADays 2008
guest5b66888
 
PPT
Оценка защищенности Web-приложений
SQALab
 
PPT
Безопасность веб-приложений сегодня
Dmitry Evteev
 
PPT
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
PPTX
Типовые сценарии атак на современные клиент-серверные приложения
Advanced monitoring
 
PDF
Web vulnerabilities-2018
malvvv
 
PPT
Dmitry Evteev Pt Devteev Ritconf V2
rit2010
 
Анализ защищенности интернет-проектов
Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
guest5b66888
 
Оценка защищенности Web-приложений
SQALab
 
Безопасность веб-приложений сегодня
Dmitry Evteev
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Типовые сценарии атак на современные клиент-серверные приложения
Advanced monitoring
 
Web vulnerabilities-2018
malvvv
 
Dmitry Evteev Pt Devteev Ritconf V2
rit2010
 

What's hot (20)

PPTX
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Advanced monitoring
 
PPTX
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Advanced monitoring
 
PPTX
Cisco Social Network Security
Cisco Russia
 
PPTX
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Advanced monitoring
 
PPTX
Threat Intelligence вам поможет, если его правильно приготовить…
Advanced monitoring
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
PDF
Вирусы-шифровальщики и фишинг
Sergey Borisov
 
PDF
Positive technologies а.гончаров
Denial Solopov
 
PDF
Адаптивное сканирование для Cisco IronPort S-Series
Cisco Russia
 
PDF
Основные угрозы безопасности веб-сайтов
SiteSecure
 
PDF
Fin vulnerabilities
malvvv
 
PPT
Sergey Gordeychik, Application Security in real word
qqlan
 
PDF
Анализ уязвимостей ПО
Sergey Borisov
 
PPTX
Расследование инцидентов ИБ с помощью открытых интернет-источников
Advanced monitoring
 
PDF
Safety and Security of Web-applications (Document)
MrCoffee94
 
PPT
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
PPT
Реальные опасности виртуального мира.
Dmitry Evteev
 
PPTX
Web Gateway
Andrei Novikau
 
PPT
Безопасность
1С-Битрикс
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Advanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Advanced monitoring
 
Cisco Social Network Security
Cisco Russia
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Advanced monitoring
 
Threat Intelligence вам поможет, если его правильно приготовить…
Advanced monitoring
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Вирусы-шифровальщики и фишинг
Sergey Borisov
 
Positive technologies а.гончаров
Denial Solopov
 
Адаптивное сканирование для Cisco IronPort S-Series
Cisco Russia
 
Основные угрозы безопасности веб-сайтов
SiteSecure
 
Fin vulnerabilities
malvvv
 
Sergey Gordeychik, Application Security in real word
qqlan
 
Анализ уязвимостей ПО
Sergey Borisov
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Advanced monitoring
 
Safety and Security of Web-applications (Document)
MrCoffee94
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
Реальные опасности виртуального мира.
Dmitry Evteev
 
Web Gateway
Andrei Novikau
 
Безопасность
1С-Битрикс
 
Ad

Viewers also liked (20)

PPTX
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
PPTX
penetest VS. APT
Dmitry Evteev
 
PPTX
Атаки на web-приложения. Основы
Positive Hack Days
 
PPTX
Сергей Щербель - Атаки XML eXternal Entity
Positive Hack Days
 
PPT
Как я перестал бояться токенов и полюбил одноразовые пароли
Dmitry Evteev
 
PPTX
Stonesoft: ИБ в банке: мульти или моно?
Expolink
 
PPT
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
PPT
PT MIFI Labxss
Dmitry Evteev
 
PPT
WAF наше все?!
Dmitry Evteev
 
PPT
PT MIFI Labxss
Dmitry Evteev
 
PPT
Практика проведения DDoS-тестирований
Dmitry Evteev
 
PPT
Мобильный офис глазами пентестера
Dmitry Evteev
 
PPT
Advanced Sql Injection
Dmitry Evteev
 
PDF
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
 
PPT
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 
PPT
Penetration testing (AS IS)
Dmitry Evteev
 
PPT
Ruscrypto CTF 2010 Full Disclosure
Dmitry Evteev
 
PPT
PT Hackday#2
Dmitry Evteev
 
PPT
PHDays CTF 2011 Quals/Afterparty: как это было
Dmitry Evteev
 
PPT
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
penetest VS. APT
Dmitry Evteev
 
Атаки на web-приложения. Основы
Positive Hack Days
 
Сергей Щербель - Атаки XML eXternal Entity
Positive Hack Days
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Dmitry Evteev
 
Stonesoft: ИБ в банке: мульти или моно?
Expolink
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
PT MIFI Labxss
Dmitry Evteev
 
WAF наше все?!
Dmitry Evteev
 
PT MIFI Labxss
Dmitry Evteev
 
Практика проведения DDoS-тестирований
Dmitry Evteev
 
Мобильный офис глазами пентестера
Dmitry Evteev
 
Advanced Sql Injection
Dmitry Evteev
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
 
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 
Penetration testing (AS IS)
Dmitry Evteev
 
Ruscrypto CTF 2010 Full Disclosure
Dmitry Evteev
 
PT Hackday#2
Dmitry Evteev
 
PHDays CTF 2011 Quals/Afterparty: как это было
Dmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Ad

Similar to Web Threats (20)

PPT
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
PDF
Pt devteev-risspa
yaevents
 
PPT
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
PPT
безопасность веб проектов сергей рыжиков
Media Gorod
 
PDF
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Badoo Development
 
PPTX
Websense смешанные атаки и угрозы Web 2 0 готовы ли вы к 2009
Nick Turunov
 
PDF
Cognitive Threat Analytics
Cisco Russia
 
PDF
Безопасность сайта: мифы и реальность — Петр Волков
Yandex
 
PDF
Практика исследования защищенности российских компаний.
Cisco Russia
 
PPTX
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Alexey Kachalin
 
PPTX
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
PPTX
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
PDF
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
PPTX
Site secure (maxim_lagutin)
SiteSecure
 
PDF
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
PPT
Risspa app sec trend micro
yaevents
 
PPT
Risspa app sec trend micro
yaevents
 
PPTX
Основной вектор атак — приложения
ЭЛВИС-ПЛЮС
 
PPTX
Безопаность SAP-систем
Alexey Kachalin
 
PDF
Risspa domxss
yaevents
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Pt devteev-risspa
yaevents
 
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
безопасность веб проектов сергей рыжиков
Media Gorod
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Badoo Development
 
Websense смешанные атаки и угрозы Web 2 0 готовы ли вы к 2009
Nick Turunov
 
Cognitive Threat Analytics
Cisco Russia
 
Безопасность сайта: мифы и реальность — Петр Волков
Yandex
 
Практика исследования защищенности российских компаний.
Cisco Russia
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Alexey Kachalin
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Site secure (maxim_lagutin)
SiteSecure
 
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
Risspa app sec trend micro
yaevents
 
Risspa app sec trend micro
yaevents
 
Основной вектор атак — приложения
ЭЛВИС-ПЛЮС
 
Безопаность SAP-систем
Alexey Kachalin
 
Risspa domxss
yaevents
 

More from Dmitry Evteev (14)

PPTX
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PPTX
Демонстрация атаки на ДБО
Dmitry Evteev
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
PPTX
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
PPTX
Услуги PT для банков
Dmitry Evteev
 
PPTX
PHDays 2012: Future Now
Dmitry Evteev
 
PPTX
Такой (не)безопасный веб
Dmitry Evteev
 
PPTX
Собираем команду хакеров
Dmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
PPTX
Как взламывают сети государственных учреждений
Dmitry Evteev
 
DOC
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
DOC
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
PPT
Ломаем (и строим) вместе
Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Демонстрация атаки на ДБО
Dmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
Услуги PT для банков
Dmitry Evteev
 
PHDays 2012: Future Now
Dmitry Evteev
 
Такой (не)безопасный веб
Dmitry Evteev
 
Собираем команду хакеров
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
Ломаем (и строим) вместе
Dmitry Evteev
 

Web Threats

  • 1. Актуальные угрозы Web- приложений Дмитрий Евтеев Positive Technologies
  • 2. Угрозы Web- приложений Нарушение конфиденциальности Кража конфиденциальной информации, в том числе данных клиентов/партнеров Нарушение целостности Подмена заглавной страницы ( deface ) Распространение вредоносного программного обеспечения и запрещенного контента $ 500,000 украдено у грузоперевозчиков путем подмены данных на сайте ( http://www.securitylab.ru/news/361590.php ) Нарушение доступности Удаление содержимого DoS ( Denial of Service ) и DDoS (Distributed Denial of Service) атаки Внешние факторы и воздействия
  • 3. Опасный мир Web- приложений По данным компании Positive Technologies за 2008 год 83% сайтов содержат критические уязвимости 78% сайтов содержат уязвимости средней степени риска вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20% http://ptsecurity.ru/analytics.asp Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.
  • 4. Опасный мир Web- приложений Хакеры сфокусировали свое внимание на Web-сервисах 75% всех атак направлено на уровень Web-приложений (Gartner) 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS) Большинство Web-приложений уязвимы 90% сайтов являются уязвимыми (Watchfire) 78% уязвимых Web-приложений могут быть легко атакованы (Symantec) 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner) Согласно последним данным аналитиков IBM 75% атак приходиться на Web- приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
  • 5. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 6. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 7. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .
  • 8. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .
  • 9. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329&print=Y … . SELECT * from news where id = 6329 … .
  • 10. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .
  • 11. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .
  • 12. Уязвимость типа «Внедрение операторов SQL » Web- сервер СУБД http://web/? id=6329+union+select+id,pwd,0+from... … . SELECT * from news where id = 6329 union select id,pwd,0 from… … .
  • 13. Массовые заражения Web- приложений &quot;Лаборатория Касперского&quot; предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web -сайтов, зараженных одним и тем же интернет-червем Распределение критических уязвимостей по инфицированным сайтам
  • 14. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 15. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер http://web/?search=secureweb … print &quot;<b>secureweb</b>&quot;; …
  • 16. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер http://web/?search=secureweb … print &quot;<b>secureweb</b>&quot;; …
  • 17. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости
  • 18. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке
  • 19. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя
  • 20. Уязвимость типа «Межсайтовое выполнение сценариев» Web- сервер 1. fuzzing, поиск уязвимости 2. Передача «заряженной» ссылки : http://web/?search=secureweb&quot;><script>...</script> 3. Переход по ссылке 4. Выполнение исполняемого кода в браузере пользователя 5. Например, передача Web-сессии (cookies) 6. Работа с Web-приложением от имени атакованного пользователя
  • 21. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 22. Уязвимость типа «Предсказуемое расположение ресурсов» Web- сервер http://web/test/ http://web/admin.php http://web/pwd.txt http://web/info.txt http://web/db/ http://web/readme.txt
  • 23. Уязвимость типа «Предсказуемое расположение ресурсов» Web- сервер http://web/sql/ http://web/php.php http://web/phpmyadmin/ http://web/phpinfo.php http://web/adm/
  • 24. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 25. Уязвимость типа «Подбор» Web- сервер http://web/secure/
  • 26. Уязвимость типа «Подбор» Web- сервер http://web/secure/
  • 27. Статистика используемых паролей в России Более 40% паролей можно взломать из-за простоты Статистика по паролям низкой стойкости у администраторов : Данные основываются на анализе более чем 185 тысяч паролей пользователей ( http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf ).
  • 28. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 29. Уязвимость типа «Утечка информации» Web- сервер
  • 30. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 31. Уязвимость типа «Недостаточная аутентификация» Web- сервер http://web/secure/
  • 32. Уязвимость типа «Недостаточная аутентификация» Web- сервер http://web/secure/members.php
  • 33. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 34. Уязвимость типа «Обратный путь в директориях» Web- сервер http://web/?file=positive.jpg … . $handle = fopen(&quot;positive.jpg&quot;,&quot;r&quot;); $contents = fread($handle, filesize(&quot;positive.jpg&quot;)); ….
  • 35. Уязвимость типа «Обратный путь в директориях» Web- сервер http://web/?file=../../../../../../etc/passwd … . $handle = fopen(&quot;../../../../../../etc/passwd&quot;,&quot;r&quot;); $contents = fread($handle, filesize(&quot;../../../../../../etc/passwd&quot;)); ….
  • 36. Уязвимости Web -приложений Статистика уязвимостей Web- приложений Positive Technologies за 2008 год ( Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp
  • 37. Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0
  • 38. Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0
  • 39. Уязвимость типа «Идентификация приложений» Web- сервер http://web/ CMS: Tribiq CMS VERSION: 5.0
  • 40. Критические уязвимости можно встретить даже на широко известных и крупных интернет - ресурсах Опасный мир Web- приложений
  • 41. Концепция безопасного Web- приложения Уязвимость не является свойством Web-приложения! Безопасность должна быть разумной Безопасность должна быть комплексной Безопасность – это непрерывный процесс
  • 42. Концепция безопасного Web- приложения Из чего складывается защищенность Web- ресурса ? Процесс разработки Web- приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения) Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации ( CIS , etc) Обеспечение доступности Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP) Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)
  • 43. Positive Technologies 7 лет работы в области информационной безопасности Основные направления деятельности разработка одного из лучших сетевых сканеров XSpider ; разработка уникального продукта - системы контроля защищенности и соответствия стандартам MaxPatrol ; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab. Positive Technologies – лаборатория безопасности постоянный мониторинг новых уязвимостей; внутренняя система описания уязвимостей; одна из наиболее профессиональных команд в Европе; MaxPatrol – ежедневные обновления.
  • 44. Спасибо за внимание! [email_address] http://devteev.blogspot.com/