Безопасность веб приложений ThinkPHP #2 thinkphp.com.ua #thinkphp 

Дмитрий Рудой компания Unitecsys ведущий разработчик платежи банковскими картам через интернет и в сетях самообслуживания по #thinkphp 

Что такое безопасность? #thinkphp 

Информационная безопасность Классически, безопасность информации складывается из трех составляющих: • Конфиденциальности, • Целостности, • Доступности. #thinkphp 

В чем угроза? #thinkphp 

Категории атак #thinkphp 

• Злоупотребление функциональностью • Атаки на структуры данных • Встраиваемый вредоносный код • Использование аутентификации • Инъекции • Атака отслеживания путей • Атаки с использованием вероятностных методов Манипуляции с протоколом • Истощение ресурсов • Манипуляции с ресурсами • Sniffing #thinkphp 

Злоупотребление функциональностью • Блокировка аккаунта (многократный логин) • 2+ на один запрос • Мобильный код • Отслеживание путей #thinkphp 

Атаки на структуры данных • Переполнение буфера • Переполнение буфера, используя переменные окружения • Переполнение бинарных ресурсных файлов #thinkphp 

Встраиваемый вредоносный код • Cross-Site Request Forgery (CSRF) • Трояны #thinkphp 

Использование аутентификации • Блокировка аккаунта (многократный логин) • Cross-Site Request Forgery (CSRF) • Фиксация сессии • Предсказание сессии #thinkphp 

Инъекции • Инъекция аргументов • SQL-инъекции • XPath-инъекции (XML) • Инъекции кода (php, js) • Инъекции комманд ОС • Eval Injection • Инъекции форматирования строк • LDAP –инъекции • Отказ регулярных выражений • Инъекции ресурсов • SSI -инъекции #thinkphp 

Атаки с использованием вероятностных методов • Brute force attack • Криптоанализ #thinkphp 

Манипуляции с ресурсами • Инъекция комментариев (MS Access: %00 ) • Инъекция специальных символов (IP "+++ATH0" ) • Двойное кодирование (“../” - "%252E%252E%252F" ) • Принудительный просмотр (login в url) • Отслеживание путей (?file=secret.doc%00.pdf ) • Отслеживание относительных путей ("../" ) • Манипуляция с настройками (conn.setCatalog(request.getParameter(“catalog”)); ) • Шпионское ПО • Использование Unicode (“../” - %C0AE%C0AE%C0AF ) #thinkphp 

Как с этим жить? :) #thinkphp 

Как обеспечить безопасность? #thinkphp 

Принципы • Безопасность на всех уровнях • Позитивная модель безопасности • Сбой надежности (получение доступа в результате сбоя) • Запуск с минимальными привилегиями • Избегать безопасности на основе неизвестности • Безопасность должна быть простой • Обнаружение вторжений (логгирование) • Не доверять инфраструктуре • Не доверять сервисам • Безопасность по умолчанию #thinkphp 

Безопасность по умолчанию #thinkphp 

Ссылки WASC - http://www.webappsec.org CERT - http://www.cert.org CGISecurity – http://www.cgisecurity.net CVE MITRE - http://cve.mitre.org OWASP – http://www.owasp.org SQL Security - http://www.sqlsecurity.com Web Application Security Podcasts - http://www.mightyseek.com/category/podcasts/ Defacement #thinkphp 

Спасибо за внимание! E-mail: [email protected] Skype: dmytrorudiy #thinkphp