7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Spletni napadi v praksi 7/1/2019 6:19 PM Spletni napadi v praksi Miha Pihler “Doing security related stuff” eCTRL d.o.o. 2 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Microsoft MVP – Windows Security SloWUG Community Lead eCTRL d.o.o. MCSA, MCSE, MCT, CISSP, ... Microsoft MVP – Windows Security SloWUG Community Lead www.slowug.org Blog www.krneki.net www.krneki.net/blog www.krneki.net/BE Solastnik in soavtor www.parhelia-tools.com
Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek
Zgodovina spletnih napadov Večinoma za zabavo Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov in po možnosti ustaviti Internet Buffer overflow napadi Črvi CodeRed http://en.wikipedia.org/wiki/Code_Red_worm Nimda http://en.wikipedia.org/wiki/Nimda_(computer_worm)
Code red GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Zgodovina spletnih napadov Večinoma za zabavo Kaj je bolj zabavno kot okužiti tisoče spletnih strežnikov… Bolj zabavno je okužiti tisoče računalnikov in s tem zaslužiti...
Aplikacije 21,5% XSS 14% SQL “Injections” 9,5% php “includes” 7,9 "buffer overflows“ 14.9.2006 Cca. 90% vseh strani ima XSS ranljivosti 9.4.2008 Jeremiah Grossman, WhiteHat Security Graf: http://en.wikipedia.org/wiki/Cross-site_scripting http://www.darkreading.com/document.asp?doc_id=103774 http://www.ebizq.net/blogs/mike_rothman/2008/04/the_enemy_of_application_secur.php http://www.sans.org/newsletters/newsbites/newsbites.php?vol=9&issue=15 https://forums.symantec.com/syment/blog/article?message.uid=305917
Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek
Sporočila o napakah
Sporočila o napakah
Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek
Google Hacking Enostavno Veliko prosto dostopnih informacij Brez posebnih “hacking” orodij Raziskovalec je lahko enostavno anonimen TOR proxy Veliko prosto dostopnih informacij Lahko so osnova za napade
Demo “Google hacking” http://johnny.ihackstuff.com/ghdb.php 7/1/2019 6:19 PM Demo “Google hacking” http://johnny.ihackstuff.com/ghdb.php http://johnny.ihackstuff.com/ghdb.php ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Google Hacking Zaščita 7/1/2019 6:19 PM Google Hacking Zaščita Iskanje nezaščitenih informacij in sistemov… ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek
Injection in XSS napadi SQL Injection Brisanje Razkrivanje informacij Dodajanje informacij XSS napadi Pogosto je zlonamerna koda del spletnega foruma Izpostavljene so popularne strani
Injection in XSS napadi Kdo je kriv? Slabo napisane spletne aplikacije Uporaba slabe kode iz knjig/primerov
Manipulacija URL naslovov Enostavno Vsi URL naslovi so izpostavljeni SSL ne pomaga ;-) Uporabnik lahko vpliva na URL in njegovo vsebino Možna je uporaba orodij kot so Fiddler Izogibanje “client side” preverjanju vnosov Popravljanje polj – npr. Hidden field
Demo Manipulacija URL naslovov Injection napad Password generator HEX URL (password-stealing trojan) Del botneta
Injection napadi Zaščita 7/1/2019 6:19 PM Injection napadi Zaščita Dobro napisane spletne aplikacije Preverjanje vnosov! Vsa polja! ‘ znak... Na strani odjemalca : na strani strežnika Redno testiranje aplikacij! Po spremembah Orodja za testiranje Scrawlr Microsoft Source Code Analyzer for SQL Injection http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en https://download.spidynamics.com/Products/scrawlr/ ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Injection napadi Zaščita 7/1/2019 6:19 PM Injection napadi Zaščita Orodja za testiranje Scrawlr Microsoft Source Code Analyzer for SQL Injection Spletni viri How To: Protect From SQL Injection in ASP.NET %41%43%45%20%54%65%61%6d Hello Secure World http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en https://download.spidynamics.com/Products/scrawlr/ http://msdn.microsoft.com/en-us/library/ms998271.aspx http://blogs.msdn.com/hackers/default.aspx http://www.microsoft.com/click/hellosecureworld/default.mspx ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Injection napadi Zaščita… 7/1/2019 6:20 PM Injection napadi Zaščita… Konfiguracija omrežja Izhod iz DMZ Aplikacijski spletni požarni zidovi ISA Server URL Scan 3.0 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Demo ISA Server URL Scan 3.0 7/1/2019 6:20 PM Demo ISA Server URL Scan 3.0 Deluje na IIS 5.1 dalje – vključno z IIS 7 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Kje vse srečamo spletne strežnike Pogoste naprave, ki jih je možno upravljati na daljavo Usmerjevalniki Pa ne samo SOHO! Hladilniki Mikrovalovne pečice
Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek
Od strežnika do odjemalca Napadi zaradi dobičkov Boti Spam, Phising Prehodni strežniki (proxy) DDoS na konkurenčne spletne strani Kako dobiti bote? XSS
Demo Napadi na odjemalce DNS in usmerjevalniki 7/1/2019 6:20 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Varovanje odjemalcev Izbira brskalnika IE DNS napad je neodvisen od odjemalca in brskalnika Rešitev je izključitev jave IE Protected mode Integrity levels
Agenda Zgodovina spletnih napadov Sporočila o napakah Google hacking Injection napadi Od strežnika do odjemalca Varovanje odjemalcev Povzetek
Povzetek Za varnejše strežnike in omrežja DDoS napadi Konfiguracija omrežja Zakaj izhod iz DMZ? Nameščeni popravki (OS, aplikacije, …) Varovanje informacij (Google hacking) Šifriranje podatkov Uporaba NTFS (na IIS strežniku) Ločevanje razvojnega in prod. okolja
Povzetek Za varnejše strežnike in omrežja Napadi na aplikacije Varno napisane spletne aplikacije Rutinsko preverjanje vseh sprememb Testiranje z različnimi orodji Uporaba aplikacijskih filtrov ISA URL Scan
Povzetek Za varnejše strežnike in omrežja “Web hosting” Bo potencialno varoval vaše omrežje Kadar ni možno preveriti izvorne kode Druge spletne strani lahko potencialno ogrozijo vašo spletno stran
Q&A www.krneki.net/BE www.krneki.net 7/1/2019 6:20 PM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.