Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ThinkPHP #2: Безопасность веб приложений

thinkphp_com_ua
July 06, 2012
Programming
1
3.3k

ThinkPHP #2: Безопасность веб приложений

thinkphp_com_ua

July 06, 2012
Tweet

More Decks by thinkphp_com_ua

See All by thinkphp_com_ua
ThinkPHP #7: Оптимизация верстки для High-Density дисплеев
thinkphp_com_ua
0
2.1k
ThinkPHP #7: Адаптация веб-сайта под различные дисплеи
thinkphp_com_ua
0
2.1k
ThinkPHP #7: Bluz - наш код как музыка
thinkphp_com_ua
0
2k
ThinkPHP #6: Usability кода
thinkphp_com_ua
0
1.3k
ThinkPHP #6: Нелёгкий труд интервьюера
thinkphp_com_ua
2
1.3k
ThinkPHP #6: Адаптивный дизайн - время пришло!
thinkphp_com_ua
0
1.4k
ThinkPHP #3: Highload не кусается
thinkphp_com_ua
1
1.9k
ThinkPHP #3: Оптимизация быстродействия Веб-сайта
thinkphp_com_ua
1
1.8k
ThinkPHP #3: Дизайн пользовательских интерфейсов для разработчиков
thinkphp_com_ua
1
1.8k

Other Decks in Programming

See All in Programming
はてなリモートインターンシップ2022 フロントエンドブートキャンプ 講義資料
hatena
0
110
MapLibre GL JS とCSSアニメーションでできること
satoshi7190
0
190
MeetUP4_データマネジメント_20221208
brainpadpr
0
330
Use KMM to call the API of the National Tax Agency
akkeylab
0
290
Above All, Make It Fun! #fjordbootcamp / make it fun
kakutani
6
540
Ruby Pattern Matching
bkuhlmann
0
600
監視せなあかんし、五大紙だけにオオカミってな🐺🐺🐺🐺🐺
sadnessojisan
0
350
10年以上続くプロダクトの フロントエンド刷新プロジェクトのふりかえり
yotahada3
2
270
Zynq MP SoC で楽しむエッジコンピューティング ~RTLプログラミングのススメ~
ryuz88
0
160
Amebaブログの会員画面システム刷新の道程
ryotasugawara
1
200
tidy_rpart
bk_18
0
390
AWS App Runnerがそろそろ本番環境でも使い物になりそう
n1215
PRO
0
820

Featured

See All Featured
Why Our Code Smells
bkeepers
PRO
326
55k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
10
1.3k
Rebuilding a faster, lazier Slack
samanthasiow
69
7.5k
Music & Morning Musume
bryan
36
4.6k
Mobile First: as difficult as doing things right
swwweet
213
7.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.2k
What’s in a name? Adding method to the madness
productmarketing
12
1.9k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.1k
The Art of Programming - Codeland 2020
erikaheidi
35
11k

Transcript

  1. Безопасность веб приложений ThinkPHP #2 thinkphp.com.ua #thinkphp

  2. Дмитрий Рудой компания Unitecsys ведущий разработчик платежи банковскими картам через

    интернет и в сетях самообслуживания по #thinkphp

  3. Что такое безопасность? #thinkphp

  4. Информационная безопасность Классически, безопасность информации складывается из трех составляющих: •

    Конфиденциальности, • Целостности, • Доступности. #thinkphp

  5. В чем угроза? #thinkphp

  6. Категории атак #thinkphp

  7. • Злоупотребление функциональностью • Атаки на структуры данных • Встраиваемый

    вредоносный код • Использование аутентификации • Инъекции • Атака отслеживания путей • Атаки с использованием вероятностных методов Манипуляции с протоколом • Истощение ресурсов • Манипуляции с ресурсами • Sniffing #thinkphp

  8. Злоупотребление функциональностью • Блокировка аккаунта (многократный логин) • 2+ на

    один запрос • Мобильный код • Отслеживание путей #thinkphp

  9. Атаки на структуры данных • Переполнение буфера • Переполнение буфера,

    используя переменные окружения • Переполнение бинарных ресурсных файлов #thinkphp

  10. Встраиваемый вредоносный код • Cross-Site Request Forgery (CSRF) • Трояны

    #thinkphp

  11. Использование аутентификации • Блокировка аккаунта (многократный логин) • Cross-Site Request

    Forgery (CSRF) • Фиксация сессии • Предсказание сессии #thinkphp

  12. Инъекции • Инъекция аргументов • SQL-инъекции • XPath-инъекции (XML) •

    Инъекции кода (php, js) • Инъекции комманд ОС • Eval Injection • Инъекции форматирования строк • LDAP –инъекции • Отказ регулярных выражений • Инъекции ресурсов • SSI -инъекции #thinkphp

  13. Атаки с использованием вероятностных методов • Brute force attack •

    Криптоанализ #thinkphp

  14. Манипуляции с ресурсами • Инъекция комментариев (MS Access: %00 )

    • Инъекция специальных символов (IP "+++ATH0" ) • Двойное кодирование (“../” - "%252E%252E%252F" ) • Принудительный просмотр (login в url) • Отслеживание путей (?file=secret.doc%00.pdf ) • Отслеживание относительных путей ("../" ) • Манипуляция с настройками (conn.setCatalog(request.getParameter(“catalog”)); ) • Шпионское ПО • Использование Unicode (“../” - %C0AE%C0AE%C0AF ) #thinkphp

  15. Как с этим жить? :) #thinkphp

  16. Как обеспечить безопасность? #thinkphp

  17. Принципы • Безопасность на всех уровнях • Позитивная модель безопасности

    • Сбой надежности (получение доступа в результате сбоя) • Запуск с минимальными привилегиями • Избегать безопасности на основе неизвестности • Безопасность должна быть простой • Обнаружение вторжений (логгирование) • Не доверять инфраструктуре • Не доверять сервисам • Безопасность по умолчанию #thinkphp

  18. Безопасность по умолчанию #thinkphp

  19. Ссылки WASC - http://www.webappsec.org CERT - http://www.cert.org CGISecurity – http://www.cgisecurity.net

    CVE MITRE - http://cve.mitre.org OWASP – http://www.owasp.org SQL Security - http://www.sqlsecurity.com Web Application Security Podcasts - http://www.mightyseek.com/category/podcasts/ Defacement #thinkphp

  20. Спасибо за внимание! E-mail: [email protected] Skype: dmytrorudiy #thinkphp