Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ThinkPHP #2: Безопасность веб приложений

thinkphp_com_ua
July 06, 2012
Programming
1
3.4k

ThinkPHP #2: Безопасность веб приложений

thinkphp_com_ua

July 06, 2012
Tweet

More Decks by thinkphp_com_ua

See All by thinkphp_com_ua
ThinkPHP #7: Оптимизация верстки для High-Density дисплеев
thinkphp_com_ua
0
2.2k
ThinkPHP #7: Адаптация веб-сайта под различные дисплеи
thinkphp_com_ua
0
2.3k
ThinkPHP #7: Bluz - наш код как музыка
thinkphp_com_ua
0
2.1k
ThinkPHP #6: Usability кода
thinkphp_com_ua
0
1.4k
ThinkPHP #6: Нелёгкий труд интервьюера
thinkphp_com_ua
2
1.4k
ThinkPHP #6: Адаптивный дизайн - время пришло!
thinkphp_com_ua
0
1.5k
ThinkPHP #3: Highload не кусается
thinkphp_com_ua
1
1.9k
ThinkPHP #3: Оптимизация быстродействия Веб-сайта
thinkphp_com_ua
1
1.9k
ThinkPHP #3: Дизайн пользовательских интерфейсов для разработчиков
thinkphp_com_ua
1
1.9k

Other Decks in Programming

See All in Programming
Amazon CloudWatchの地味だけど強力な機能紹介!
itotsum
0
180
生成AIを使ったQAアプリケーションの作成 - ハンズオン補足資料
oracle4engineer
PRO
3
250
RubyKaigi Dev Meeting 2025
tenderlove
1
390
Contribute to Comunities | React Tokyo Meetup #4 LT
sasagar
0
560
SwiftDataのカスタムデータストアを試してみた
1mash0
0
100
PHPで書いたAPIをGoに書き換えてみた 〜パフォーマンス改善の可能性を探る実験レポート〜
koguuum
0
180
Unlock the Potential of Swift Code Generation
rockname
0
270
スモールスタートで始めるためのLambda×モノリス(Lambdalith)
akihisaikeda
2
300
note の Elasticsearch 更新系を支える技術
tchov
0
150
iOSアプリで測る!名古屋駅までの 方向と距離
ryunakayama
0
110
サービスレベルを管理してアジャイルを加速しよう!! / slm-accelerate-agility
tomoyakitaura
1
190
generative-ai-use-cases(GenU)の推しポイント ~2025年4月版~
hideg
1
300

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
5
540
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
32
5.4k
Fontdeck: Realign not Redesign
paulrobertlloyd
84
5.5k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
135
33k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.6k
Build The Right Thing And Hit Your Dates
maggiecrowley
35
2.6k
GraphQLとの向き合い方2022年版
quramy
46
14k
VelocityConf: Rendering Performance Case Studies
addyosmani
329
24k

Transcript

  1. Безопасность веб приложений ThinkPHP #2 thinkphp.com.ua #thinkphp

  2. Дмитрий Рудой компания Unitecsys ведущий разработчик платежи банковскими картам через

    интернет и в сетях самообслуживания по #thinkphp

  3. Что такое безопасность? #thinkphp

  4. Информационная безопасность Классически, безопасность информации складывается из трех составляющих: •

    Конфиденциальности, • Целостности, • Доступности. #thinkphp

  5. В чем угроза? #thinkphp

  6. Категории атак #thinkphp

  7. • Злоупотребление функциональностью • Атаки на структуры данных • Встраиваемый

    вредоносный код • Использование аутентификации • Инъекции • Атака отслеживания путей • Атаки с использованием вероятностных методов Манипуляции с протоколом • Истощение ресурсов • Манипуляции с ресурсами • Sniffing #thinkphp

  8. Злоупотребление функциональностью • Блокировка аккаунта (многократный логин) • 2+ на

    один запрос • Мобильный код • Отслеживание путей #thinkphp

  9. Атаки на структуры данных • Переполнение буфера • Переполнение буфера,

    используя переменные окружения • Переполнение бинарных ресурсных файлов #thinkphp

  10. Встраиваемый вредоносный код • Cross-Site Request Forgery (CSRF) • Трояны

    #thinkphp

  11. Использование аутентификации • Блокировка аккаунта (многократный логин) • Cross-Site Request

    Forgery (CSRF) • Фиксация сессии • Предсказание сессии #thinkphp

  12. Инъекции • Инъекция аргументов • SQL-инъекции • XPath-инъекции (XML) •

    Инъекции кода (php, js) • Инъекции комманд ОС • Eval Injection • Инъекции форматирования строк • LDAP –инъекции • Отказ регулярных выражений • Инъекции ресурсов • SSI -инъекции #thinkphp

  13. Атаки с использованием вероятностных методов • Brute force attack •

    Криптоанализ #thinkphp

  14. Манипуляции с ресурсами • Инъекция комментариев (MS Access: %00 )

    • Инъекция специальных символов (IP "+++ATH0" ) • Двойное кодирование (“../” - "%252E%252E%252F" ) • Принудительный просмотр (login в url) • Отслеживание путей (?file=secret.doc%00.pdf ) • Отслеживание относительных путей ("../" ) • Манипуляция с настройками (conn.setCatalog(request.getParameter(“catalog”)); ) • Шпионское ПО • Использование Unicode (“../” - %C0AE%C0AE%C0AF ) #thinkphp

  15. Как с этим жить? :) #thinkphp

  16. Как обеспечить безопасность? #thinkphp

  17. Принципы • Безопасность на всех уровнях • Позитивная модель безопасности

    • Сбой надежности (получение доступа в результате сбоя) • Запуск с минимальными привилегиями • Избегать безопасности на основе неизвестности • Безопасность должна быть простой • Обнаружение вторжений (логгирование) • Не доверять инфраструктуре • Не доверять сервисам • Безопасность по умолчанию #thinkphp

  18. Безопасность по умолчанию #thinkphp

  19. Ссылки WASC - http://www.webappsec.org CERT - http://www.cert.org CGISecurity – http://www.cgisecurity.net

    CVE MITRE - http://cve.mitre.org OWASP – http://www.owasp.org SQL Security - http://www.sqlsecurity.com Web Application Security Podcasts - http://www.mightyseek.com/category/podcasts/ Defacement #thinkphp

  20. Спасибо за внимание! E-mail: [email protected] Skype: dmytrorudiy #thinkphp