Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ThinkPHP #2: Безопасность веб приложений

4769e8ad10f8a1d453dd6e59ecdbcbe4?s=47 thinkphp_com_ua
July 06, 2012
Programming
1
3.3k

ThinkPHP #2: Безопасность веб приложений

4769e8ad10f8a1d453dd6e59ecdbcbe4?s=128

thinkphp_com_ua

July 06, 2012
Tweet

More Decks by thinkphp_com_ua

See All by thinkphp_com_ua
ThinkPHP #7: Оптимизация верстки для High-Density дисплеев
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
0
2.1k
ThinkPHP #7: Адаптация веб-сайта под различные дисплеи
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
0
2.1k
ThinkPHP #7: Bluz - наш код как музыка
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
0
2k
ThinkPHP #6: Usability кода
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
0
1.3k
ThinkPHP #6: Нелёгкий труд интервьюера
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
2
1.3k
ThinkPHP #6: Адаптивный дизайн - время пришло!
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
0
1.3k
ThinkPHP #3: Highload не кусается
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
1
1.9k
ThinkPHP #3: Оптимизация быстродействия Веб-сайта
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
1
1.8k
ThinkPHP #3: Дизайн пользовательских интерфейсов для разработчиков
4769e8ad10f8a1d453dd6e59ecdbcbe4?s=48 thinkphp_com_ua
1
1.8k

Other Decks in Programming

See All in Programming
OSS貢献を気軽にしたい Let's Go Talk #1
Aa0368c69701536321af9db1ae552b45?s=48 yuyaabo
2
240
ZOZOTOWNにおけるDatadogの活用と、それを支える全社管理者の取り組み / 2022-07-27
198d69383210fbec8c6bea4a35863c9d?s=48 tippy
1
3.3k
Google IO 2022 社内LT会 / What's new in Android development tools
B65b9817b6cdb9bc923b82657a3162b7?s=48 shingo_kobayashi
1
420
Pythonで鉄道指向プログラミング
Cc15f7fbb06e96bdb56992e3d42ea8cd?s=48 usabarashi
0
130
MLOps勉強会_リアルタイムトラフィックのサーバレスMLOps基盤_20220810
7771ba477a3bee861bc62012a143bffe?s=48 strsaito
1
430
Go1.19で採用された Pattern-defeating Quicksort の紹介
4d78b749c315e21a956053dcbf0508a9?s=48 po3rin
7
1.3k
ベストプラクティス・ドリフト
A15b71ae6fbdecb3216bdcba552d9a77?s=48 sssssssssssshhhhhhhhhh
1
210
Pythonによる開発をアップデートするライブラリの紹介
4b46b5f1acab7f5a64c0036c1fc39f31?s=48 daikikatsuragawa
1
610
How to start contributing to Kubernetes Projects
Db3181d9b15867e445d87720bfc59577?s=48 ydfu
0
140
ストア評価「2.4」だったCOCOARアプリを1年で「4.4」になんとかした方法@Cloud CIRCUS Meetup #2
3518f5ec9ebb241abc3569eb5cfc7d2a?s=48 1901drama
0
180
それ全部エラーメッセージに書いてあるよ!〜独学でPHPプログラミングが上達するたった一つの方法〜
B793da271a45d149b52f507bca9f137c?s=48 77web
1
160
2022 - COSCUP - 打造高速 Ruby 專案開發流程
888339de9e7a88688b6acb30d33e66cd?s=48 elct9620
0
100

Featured

See All Featured
The Brand Is Dead. Long Live the Brand.
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
46
2.7k
A designer walks into a library…
15f2b8221f247985a27a627d2ece72f0?s=48 pauljervisheath
196
16k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
107
16k
Why You Should Never Use an ORM
88bc30284c6a424b63a92aad27d0ba36?s=48 jnunemaker
PRO
47
7.7k
Designing for Performance
245cee81a9c424266e5e401d844ea881?s=48 lara
597
64k
ReactJS: Keep Simple. Everything can be a component!
Af6a12710770ad9a7cfd08c97efd40d3?s=48 pedronauck
655
120k
What’s in a name? Adding method to the madness
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
11
1.6k
jQuery: Nuts, Bolts and Bling
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
6.4k
Distributed Sagas: A Protocol for Coordinating Microservices
9128d500301ae51524e887bb680f471d?s=48 caitiem20
316
19k
Building Adaptive Systems
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
25
1.2k
How New CSS Is Changing Everything About Graphic Design on the Web
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
213
11k
Code Review Best Practice
3d6ace9554821d552146413bcdf874f6?s=48 trishagee
44
9.7k

Transcript

  1. Безопасность веб приложений ThinkPHP #2 thinkphp.com.ua #thinkphp

  2. Дмитрий Рудой компания Unitecsys ведущий разработчик платежи банковскими картам через

    интернет и в сетях самообслуживания по #thinkphp

  3. Что такое безопасность? #thinkphp

  4. Информационная безопасность Классически, безопасность информации складывается из трех составляющих: •

    Конфиденциальности, • Целостности, • Доступности. #thinkphp

  5. В чем угроза? #thinkphp

  6. Категории атак #thinkphp

  7. • Злоупотребление функциональностью • Атаки на структуры данных • Встраиваемый

    вредоносный код • Использование аутентификации • Инъекции • Атака отслеживания путей • Атаки с использованием вероятностных методов Манипуляции с протоколом • Истощение ресурсов • Манипуляции с ресурсами • Sniffing #thinkphp

  8. Злоупотребление функциональностью • Блокировка аккаунта (многократный логин) • 2+ на

    один запрос • Мобильный код • Отслеживание путей #thinkphp

  9. Атаки на структуры данных • Переполнение буфера • Переполнение буфера,

    используя переменные окружения • Переполнение бинарных ресурсных файлов #thinkphp

  10. Встраиваемый вредоносный код • Cross-Site Request Forgery (CSRF) • Трояны

    #thinkphp

  11. Использование аутентификации • Блокировка аккаунта (многократный логин) • Cross-Site Request

    Forgery (CSRF) • Фиксация сессии • Предсказание сессии #thinkphp

  12. Инъекции • Инъекция аргументов • SQL-инъекции • XPath-инъекции (XML) •

    Инъекции кода (php, js) • Инъекции комманд ОС • Eval Injection • Инъекции форматирования строк • LDAP –инъекции • Отказ регулярных выражений • Инъекции ресурсов • SSI -инъекции #thinkphp

  13. Атаки с использованием вероятностных методов • Brute force attack •

    Криптоанализ #thinkphp

  14. Манипуляции с ресурсами • Инъекция комментариев (MS Access: %00 )

    • Инъекция специальных символов (IP "+++ATH0" ) • Двойное кодирование (“../” - "%252E%252E%252F" ) • Принудительный просмотр (login в url) • Отслеживание путей (?file=secret.doc%00.pdf ) • Отслеживание относительных путей ("../" ) • Манипуляция с настройками (conn.setCatalog(request.getParameter(“catalog”)); ) • Шпионское ПО • Использование Unicode (“../” - %C0AE%C0AE%C0AF ) #thinkphp

  15. Как с этим жить? :) #thinkphp

  16. Как обеспечить безопасность? #thinkphp

  17. Принципы • Безопасность на всех уровнях • Позитивная модель безопасности

    • Сбой надежности (получение доступа в результате сбоя) • Запуск с минимальными привилегиями • Избегать безопасности на основе неизвестности • Безопасность должна быть простой • Обнаружение вторжений (логгирование) • Не доверять инфраструктуре • Не доверять сервисам • Безопасность по умолчанию #thinkphp

  18. Безопасность по умолчанию #thinkphp

  19. Ссылки WASC - http://www.webappsec.org CERT - http://www.cert.org CGISecurity – http://www.cgisecurity.net

    CVE MITRE - http://cve.mitre.org OWASP – http://www.owasp.org SQL Security - http://www.sqlsecurity.com Web Application Security Podcasts - http://www.mightyseek.com/category/podcasts/ Defacement #thinkphp

  20. Спасибо за внимание! E-mail: m_dma@mail.ru Skype: dmytrorudiy #thinkphp